作为从业8年的网安人,日常工作处理和应对各类网络安全问题,积累下一些经验和心得体会想借FB平台分享给大家,希望能帮助和启发到大家。
主要遇到的问题主要有弱口令、命令执行、文件上传、信息泄露,最后是自己处置这些问题的一些心得体会,讨论和构思如何去防护这些网络安全常见隐患。
1.弱口令
首先,我们思考一下,上图中传统的弱口令防护思路,是否有效?是否真的科学合理?
这里,还是推荐我们按照上图的防御思路,从多因素认证、防爆破、防懒人角度进行正确全面的防御。
上图是我平常会用到的一些社工库,可以看到这是已经泄露并PO在网上的数据库,拿到这些信息,就非常容易的去撞库,从而获得大量可利用的账号密码、真实个人信息, 如姓名、电话、身份ID。
这里有一些网上可以下到的库和工具,结合起来很容易利用和破解一些弱口令。对于企业来说上图的库非常简单,毕竟入职的时候hr要求填写那么多信息,可以参考上图的字典工具进行构建。但有一点需要注意,这个构建是by人的,即A的个人信息构建出A的弱密码,而不是B的。信息间没必要重叠,否则会增加密码库大小,且意义不大。
2.命令执行
命令执行就是黑客可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限
。命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行
最常见的命令执行漏洞是发生在各种Web组件,包括Web容器、Web框架、CMS软件、安全组件等。
一般来说,命令执行可以做的操作包含添加文件、删除文件、修改文件,这对系统的破坏力就很大了。
比如DIR直接显示文件目录和列表。
一般我们对客户,建议除了自身对安全漏洞的修复,就是通过如下策略为正统的处方。尽量规避关停站点、关停网络这种江湖郎中的做法,不能解决实际问题。
3.文件上传
漏洞简介
文件上传,顾名思义就是上传文件的功能行为,之所以会被发展为危害严重的漏洞,是程序没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。文件上传漏洞是漏洞中最为简单猖獗的利用形式,一般只要能上传获取地址,可执行文件被解析就可以获取系统WebShell。
漏洞原理
网站WEB应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型时,就可以上传任意文件甚至是可执行文件后门。
漏洞危害
恶意文件传递给解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。根据网站使用及可解析的程序脚本不同,可以上传的恶意脚本可以是PHP、ASP、JSP、ASPX文件。
需要注意的是图片后缀也是可以改的,一句话木马(shell.php)就可以藏在图片中上传。
其实,上传漏洞与SQL注入或 XSS相比 , 其风险更大 ,获得服务器权限最快最直接,如果 Web应用程序存在上传漏洞 , 攻击方甚至可以直接上传一个webshell到服务器上 。
实际工作中,容易产生文件上传类漏洞的系统如下图所示。
解决该类问题,关键在于在代码未判断文件类型或者文件类型限制不完全,一般这种是黑名单或者没有限制,建议添加白名单限制参数数组,固定为图片或文本格式文件。
如果是使用WEB中间件存在上传,或者是CMS存在文件上传漏洞,根据官方建议安装补丁升级版本,或者使用官方推荐的临时修改策略来限制问题的产生和利用。
当然,有钱购置防护的客户我们还是建议以下三种方案。
这其中,沙箱防护功能能够对设备流量进行解析,提取出流量里的可疑文件。文件已经在本地沙箱防护数据库中标记为恶意文件,系统可根据设置的动作对恶意文件进行处理。
当然,技术更牛,开发能力强的客户,还是推荐以上三种方式,比如遍历文件,就可以检查系统内是否存在恶意文件、计算校验就是校验文件hash值、文件恢复就还原最初版本,还原之后文件就剩初始文件,防止找不到恶意文件。
4.信息泄露
我们常遇到的信息泄露包括:
1、攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份ID号、电话号码、邮箱、QQ号等。
2、攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息。
3、攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。
给出的防护措施建议如下:
1、敏感数据密文存储。
2、敏感数据脱敏传输。
3、关闭业务系统的错误回显。
4、控制url的访问路径。
5、使用SSL/IPSEC VPN
5.安全防护杂谈
之前遇到一些客户,总会在安全防护这陷入一些误区,比如:
1、重点系统专家级防护,旁站系统菜鸟级防护
2、疯狂堆砌安全产品
3、过分依赖安全产品
4、侥幸心理开放高危端口
这里我一般会向客户提及木桶原理,防护过程中只要一个短板就可能全盘皆输,这里的短板就是我们风险评估中常说的脆弱性,而如果疯狂堆砌安全产品,会对系统流量瓶颈,对可用性造成影响和损害;过分依赖安全产品,殊不知我们目前市面上在售的很多安全产品本身也有漏洞,也可以被绕过,所以可以等级保护强调全面的安全,每个层面都要求建立起有效的防护体系。关于高危端口,这是攻击者们乐此不疲的,喜闻乐见的,比如勒索病毒,挖矿病毒已经造成巨大经济损失,这些都是利用高危端口进行入侵和破坏的。
网安工作中,当涉及到个人信息保护工作,由于个人隐私保护与生活息息相关,客户一般较为感兴趣,我通常会给客户建议以下几点:
1、不要登入可疑网站,不要打开或滥发邮件中不可信赖来源或电邮所载的URL链接,以免被看似合法的恶意链接转往恶意网站。
2、不要从搜索引擎的结果连接到银行或其他金融机构的网址。
3、不要轻信手机短信、其它形式发来的涉及自身安全、财务的信息。
4、以手工方式输入URL位址或点击之前已加入书签的链接
5、使用免费WIFI的时候,不要输入敏感信息
然后,就是大杀招了,每年HVV中都会面临的0DAY漏洞,总是让防守方头痛不已,措手不及。其实“0day”并不是某一种技术,也不是指某一种特定技术的漏洞,它在软件或系统中已经被发现,但官方还不知道或还没有发布相应补丁的漏洞。这样的漏洞危害最大,当然黑产地下产价值也就非常之高。
那么如何应对呢?我给我们客户的建议通常是你作为管理员或用户,最好的办法是永远不要使用未打补丁版本的软件。比如在 Linux 社区中,许多用户不会安装.0发行版。相反,他们将等待.1版本(例如Ubuntu 19.10.1)。通过避免最初发布的版本,可能会免受第一批产品中至少任何未发现的0day漏洞的影响。当然这并不意味着.1版本将修补所有的0day漏洞。经常在新闻中看到存在一段时间的软件中发现的新漏洞。另外还要建立实时监测、主动防御、系统加固等安全运维体系。
而作为开发人员,最好的办法是用尽可能多的版本测试人员。这是开源软件比专有软件更具优势的地方。在源代码公开的情况下,任何人都可以审查和测试代码。另一方面,付费软件通常不会向公众发布Beta(贝塔公共测试版)。当应用程序的beta测试人员数量有限时,发现的bug较少,从而导致0day漏洞的可能性更高。总之开发人员需要先进行测试、测试和测试,然后再发布给公众。
好了,今天的分享就到这里,希望我的一些建议能够在网络安全防护工作中切实的帮助到大家,后续也会继续发表自己的一些经验杂谈,欢迎大家点赞评论,谢谢!
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
- 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
- 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取