一點乾貨:Web菜鳥的ISC之旅
距離ISC已經有點久了,這段時間都用來把參會經歷晒晒,現在感覺差不多晒乾了,所以還是總結下在這次大會中看到、聽到、學到關於安全相關的一點見聞,儘量乾貨。對這次大會的感覺呢,主要因為會議面向群體覆蓋面很廣,議題也很多,作為一個學習技術的菜鳥,興趣點比較少,所以覺得整體技術乾貨還是比較少,很多議題一看是“業務拓展經理”、“高階產品經理”等領導來講,就知道不是講技術的,讓人昏昏欲睡。長話短說。
1、IoT
IoT:Internet of Things ,萬物互聯;
網際網路時代從“PC網際網路”到“手機網際網路”再到“IoT萬物互聯”;比如現在的各種智慧手錶,智慧眼鏡,智慧電視,那麼不遠的未來,我們的電燈甚至都內建了cpu,可以直接接入網際網路。
而我們客戶端的安全呢,也從“電腦衛士”,到“手機衛士”,到了萬物互聯的時候,不可能給每個智慧硬體都做個衛士,那就統一在出入口管理,所以有了現在的智慧路由器,可以在路由器上部署“家居衛士”。
周鴻禕說,到了IoT時代,也就到了重新發明輪子的時代,其實這點看360的產品頁也就有所感受了:
2、大資料時代的使用者隱私保護
關於這一點呢,周鴻禕提出了3點“大資料安全準則”
1)資訊是使用者的個人資產;
2)安全傳輸,安全儲存;
3)平等交換,授權使用;
據說360某發言人在一個分論壇展示使用者資料的時候,就有人提問說“你們這樣用資料符合周董提議的安全準則嗎”,結果當然就不了了之。
隨著安全意識的提高,斯洛登,豔照門等事件的發生,對普通使用者來說,隱私問題越來越重視,但是估計現在沒有哪家公司能做到絕不收集和儲存涉及使用者隱私的行為資訊。所以說,現在的網際網路時代,對我們來說,可以說是一個無處藏身的時代,且行且珍惜。
3、2013年日本、美國、中國資訊保安投資分佈
日本:安全硬體:5% 安全軟體:24% 安全服務:71%
美國:安全硬體:15% 安全軟體:41% 安全服務:44%
中國:安全硬體:51% 安全軟體:23% 安全服務:26%
由此可以看出,中國和發達國家在資訊保安領域的“意識差距”,可能從事相關資訊保安工作的人也能感受到,向企事業單位,尤其是政府單位提供安全裝置和服務的時候,他們很看輕軟體和服務,而看重硬體,感覺具體的裝置是實打實的,擺在那裡感覺就有說服力,好像硬體就能就說明他們在資訊保安方便確實做了工作和努力。比如,一套軟體的防護系統,賣1萬,他們就很不情願,說你一個軟體值什麼錢,可如果銷售方再搭配個定製的計算機,賣20萬他們都能接受..........每次想到這裡,心頭萬馬奔騰。
其實說實話,軟體往往是研發人員的智慧結晶,而服務,背後對應的是資訊保安人才。在資訊保安領域,人才才是最貴的。很多單位買回去的裝置,由於沒有專業人員維護,往往處於閒置狀態,或者就是串接到網路中,預設設定一點沒改,安全功能只有預設開啟的開了,出了問題也不曉得怎麼解決。而一旦你有了專業技術人員的支援,即使是普通的裝置,也能通過配置發揮出相應的安全功能。所以,對“安全服務”和“安全軟體”的重視,真正表現的是對安全人才的重視。
4、雲端計算的幾個相關概念
1)IaaS (Infrastructure as a Service,基礎架構即服務) 通過網際網路提供了資料中心、基礎架構硬體和軟體資源。IaaS可以提供伺服器、作業系統、磁碟儲存、資料庫和/或資訊資源。
2)PaaS (Platform as a Service,平臺即服務) 提供了基礎架構,軟體開發者可以在這個基礎架構之上建設新的應用,或者擴充套件已有的應用,同時卻不必購買開發、質量控制或生產伺服器。
3)SaaS (Software as a Service,軟體即服務) 是最為成熟、最出名,也是得到最廣泛應用的一種雲端計算。大家可以將它理解為一種軟體分佈模式,在這種模式下,應用軟體安裝在廠商或者服務供應商那裡,使用者可以通過某個網路來使用這些軟體,通常使用的網路是網際網路。
PaaS、IaaS和SaaS之間的區別並不是那麼重要,因為這三種模式都是採用外包的方式,減輕企業負擔,降低管理、維護伺服器硬體、網路硬體、基礎架構軟體和/或應用軟體的人力成本。從更高的層次上看,它們都試圖去解決同一個商業問題——用盡可能少甚至是為零的資本支出,獲得功能、擴充套件能力、服務和商業價值。當某種雲端計算的模式獲得了成功,這三者之間的界限就會進一步模糊。成功的SaaS或IaaS服務可以很容易地延伸到平臺領域。
注意,雲平臺不光要防護外部的各種攻擊,使用者的資料在服務商的資料中心中,還需要防內。只有真正地資料安全才是使用者確信擁有自己保險櫃的核心。而云上的資料一般是不會丟的,都有備份,希望未來雲端儲存能值得信賴。
5、“電腦保安”已經成為一種有價值的商業活動
那麼問題來了!
+首先,賺錢是商業的主要目的,以PC防護軟體為例;
+那麼,如果廠家把安全服務做得太好,讓您感受不到威脅的存在,你也就不再需要安全服務了?
+但反之,如果廠家把安全服務做得不好,那麼你為什麼還要花錢去購買它呢?
+那麼銷售方該怎麼去向消費者推銷我們的安全軟體呢?
一個答案是:FUD
-F 恐懼:壞事即將發生在你身上,它已經在別人身上發生了
-U 不確定:你怎麼知道自己是安全的,誰是看著你的守護者?
-D 懷疑 即使是NSA(美國國家安全域性)也不能保住自己的祕密
在製造恐懼、不確定與疑惑後,你就需要幫助消費者釋放這些恐懼
那麼,快來使用給我們的產品吧,用了你就安全了,NSA已經在使用我們的產品了。
6、DoS攻擊理論
1)資源枯竭造成拒絕服務
2)關鍵資源示例:CPU時間,檔案控制代碼,磁碟空間,記憶體空間,程序中條目,連入埠,網路頻寬,內部匯流排頻寬等
7、Web掃描
1)全自動掃描器:基於爬蟲和字典等,只能達到70%-80%的覆蓋頁面,難以應對Web應用複雜的操作邏輯。 如:孤島頁面、需要登入系統、具備複雜的互動邏輯的應用。
2)半自動漏洞掃描
業務重放+url映象,實現高度覆蓋:
+業務重放,測試過程使用burpsuite、fiddler
+HTTP(S)業務流量錄製與重放掃描、手工修改業務資料流、對手機APP也適用
+檢測邏輯漏洞:水平許可權繞過、訂單修改、隱藏域修改。
+侷限:時間滯後/token,流量重發時,不能保證重現業務流程及bug;難以覆蓋所有業務連結;漏洞檢測技術滯後於攻擊技術,無法解決0Day漏洞。
3)被動式漏洞分析:應對0Day和孤島頁面。國外產品:Nessus PVS被動式掃描
+旁路被動式掃描,全流量資料分析
+檢測方式:被動式掃描不需要聯網,不會主動發出url請求,也不發出任何資料包。
PVS和IDS的區別:
a. 更關注漏洞感知,而不是入侵;如頁面出現sql報錯資訊,可觸發pvs報警,但不會出發ids報警。
b. 報警結果不一樣,pvs按照漏洞的風險等級,ids按照黑客的攻擊手段報警。
c. 雙向分析資料報文;
d. 更關注於web應用,OWASP TOP10的攻擊手段。
e. 按攻擊影響報警(分析雙向報文),而不是按攻擊手段去報警(分析單向報文)
注意:Nessus的PVS只是一個思路,它專注與網路及主機漏洞,對Web應用的監測能力有限。我們需要重新設計一個針對web的PVS出來:WebPVS。
8、Web日誌分析
1)日誌分析的價值
網站優化:時間(time),路徑(url),人物(sourceip),地點(path),訪客分佈(user-aent),頻寬資源(bytes),爬蟲資訊(bot)
發現攻擊:時間(time),地點(path),人物(sourceip),起因(vulnerability/webshell)、經過(attack),結果(status 200/404/403/500)
發現漏洞:起因(vulnerability),經過(scan url),結果(status 200/404/403/500,命中詞)
2)一些注意點
允許小範圍誤報,拒絕漏報;
精確報警不是日誌分析的職責;
攻擊隱藏在異常中,找異常最重要。
3)關鍵詞是日誌分析的建模基礎
傳統關鍵詞:system、exec、phpinfo、phpspy、powered by、union select...
不常見的關鍵詞:CSS,bgcolor,js
關鍵詞的型別:行為關鍵詞、指紋關鍵詞。
關鍵詞的邏輯:當出現關鍵詞A時,必然出現關鍵詞B或者C,出現B給80,出現C給20分。
還有就是,程式自動提取關鍵詞(比如一段字元或者二進位制序列),這裡說的第二種關鍵詞就是人看不懂的關鍵詞。比如通過檔案偏移讓程式自動提取後門關鍵詞。通過檔案行數或者位元組數偏移來隨機取單端不連續的指紋關鍵詞。通過遍歷連結獲取行為關鍵詞。
9、基於Web的DDoS
1)出現頻率最高的DDoS後門檔名
abc.php,
xl.php,
Xml.php,
dedetag.class.php,
counti.php,
plase.php,
cba.php,
os.php,
practical.php,
abbb.php 。
2)出現頻率最高目錄
/plus/,
/templets/,
/include/,
/data/,
/api/,
/cache/,
/admin/,
/UploadFiles/,
/ 。
3)最常被攻擊的埠
80,53,21,22
4)
+開放雲平臺是日漸興起的後門藏匿地
+PHPwebshell自帶DDoS功能的越來越多
+有些建站公司建站同時植入後門
+大部分出現後門的網站都是中小型的電商或者企業
+大部分的攻擊客戶端來自小說閱讀器、**私服登陸器等
[最後]
通過360和知道創宇提供的一些資料,簡單說下Web安全的一些現狀(資料來源一般是公司相關安全產品的服務資料)。
1)全國每年有24萬網站被黑,其中政府網站2萬(總數10萬)
2)全國超過17%的站點存在明顯的高危漏洞;
3)中國目前大約240萬個網站使用了.cn的域名,是主要的攻擊目標。
4)接近10%的網站引用了第三方元件;
5)超過3.3%的網站所安裝的元件是在無補丁狀態下使用;
6)每天全網針對Web站點的攻擊超過3億次。
7)2014上半年,被植入後門的網站中84.8%是被境外控制
8)0day 從曝光到爆發:大約1周時間(從開始研究demo到大範圍爆發)
9)漏洞修復率低,半衰期的威脅
“心臟滴血漏洞”,在中國網站中,72小時的時候,只有18%的修復率。
4月爆發的“心臟滴血漏洞”,到9月,還有16%的全域性使用者沒修復,11%的重要使用者未修復。
最後的最後,就不放美女圖了,安全就應該純粹一點,別搞得安全圈跟娛樂圈一樣。
轉載於:https://my.oschina.net/bluefly/blog/331699