一、目标概述
XX单位(简称:“XX单位”),在接到实战攻防演习通知后,立即成立专职组织机构,全面梳理资产设备,积极开展自查整改,通过攻防预演习实际检验安全防护、发现及处置能力。完善网络安全纵深防御体系,建立有效的攻击监测和预警机制,完善网络攻击应急处置流程,全面提升网络攻击主动防御能力。在演习期间成立了领导小组和工作小组,组建了跨部门、跨单位的技术和业务系统协同团队,充分利用有限的资源,快速响应和处置,确保了防御效果,现将“互联网暴露面收缩防御”防守技战法的工作情况报告如下。
二、技战法概述
互联网暴露面检查主要通过工具扫描结合人工收集的方式,在当前收集的资产信息基础上,进一步确认和挖掘组织单位暴露在互联网的已知、未知资产,发现可能存在的安全隐患,并进行结果梳理,整理分析,提出优化建议,是安全自查的一个重要技术手段之一。通过互联网暴露面的检查,可以更加清楚组织单位信息系统在互联网的开放程度,发现未经授权而暴露在互联网的资产,并进一步通过技术手段降低或解决发现的问题,为今后信息系统规划、建设和调整提供参考依据、并能够增加攻击者的攻击难度。针对XX单位的互联网资产进行主动探测收缩防御的同时,利用网络空间测绘数据、PDNS数据、CDN解析数据等公开数据,依靠XX单位的组织架构信息,协助XX单位蓝队防守人员开展暴露面收缩防御,收集范围包括但不限于域名、IP、开放服务、APP应用程序、微信小程序、云服务器主机、SSL证书、微信公众号、供应链资产、公开邮箱等资产信息。
三、技战法实施要点
互联网暴露面收缩防御的初衷为减少公开信息的暴露,主要围绕指围绕互联网系统的网络架构、IT资产、敏感信息、组织管理与供应商等方面进行的公开信息搜集,是蓝队防守工作的基础,目的在于帮助蓝队在攻击过程中快速定位薄弱点和采取正确的防守路径,阶段的工作提供针对性的建议,从而减小红队攻击工作效率和渗透成功率。
-
可攻击路径梳理。知晓攻击队有可能从哪些地方发起攻击,对防守队部署防守力量起关键作用。XX单位的互联网络不断变化,系统不断增加,往往会产生新的网络边界。前期梳理网络边界、可能被攻击的路径,尽可能梳理并绘制出每个业务系统,包括对互联网开 放的系统、内部访问系统(含测试系统)的网络访问路径,利用专项服务扫描工具(namp端口扫描、masscan服务探测、OneForAll域名爆破等)针对所收集到的域名、IP等资产信息开展主动服务探测工作。
1)注册域名收集:
Whois查询:使用Whois查询工具(比如whois),输入目标名称,可以获取域名的注册信息,包括注册域名、域名所有者、注册商、联系信息等。这有助于了解域名的所有权和背景信息。
域名查询工具:有许多在线工具(比如:ICP查询备案系统、站长之家等平台)和服务可以帮助你发现目标域名的子域名。通过输入目标域名,这些工具可以列出与之相关的子域名列表,有助于发现更多的目标入口。
搜索引擎:使用搜索引擎来搜索目标域名,以找到与目标组织相关的网站、页面和子域名。搜索引擎还可以揭示一些公开的信息,如漏洞报告、泄露数据等。
搜索语句案例比如:site:xxx.com、inurl php id等语句,可快速找到互联网公开的注册域名信息、敏感文件、泄露数据等信息。
2)子域名收集:
字典枚举:使用子域名字典,结合字典中的常见单词、词组和变体,通过DNS查询来发现目标域名的子域名。
扫描工具:使用子域名扫描工具,如Amass、Sublist3r等,自动化地探测目标域名的子域名。
DNS历史记录:通过DNS历史记录查询工具,查找目标域名的历史DNS解析记录,找到不再使用但可能仍然存在的子域名。
3)IP地址收集:
扫描工具:使用网络扫描工具如Nmap、Masscan等,对目标IP地址范围进行扫描,获取活跃主机和开放端口信息。这有助于了解网络拓扑和可能的攻击入口。
域名解析查询:通过DNS查询工具,输入域名,获取与之关联的IP地址。这有助于识别目标域名的不同IP地址,以及可能的CDN服务。
Whois查询:Whois查询工具不仅可以查询域名信息,还可以查询IP地址的归属信息,包括IP地址的拥有者、联系信息等。
4)微信公众号名称和ID收集:
微信搜索:使用微信搜索功能,输入关键词、行业名称或相关主题,找到与目标有关的公众号;
微信搜索引擎:有一些第三方微信搜索引擎,可以更方便地搜索和发现公众号,例如搜狗微信搜索(https://wx.sogou.com/)、微信公众号大全(http://www.trtap.com/)等。
5)微信小程序和ID收集:
微信搜索:使用微信搜索功能,输入关键词、行业名称或相关主题,找到与目标有关的小程序。
小程序商店:在微信小程序商店中,搜索目标关键词,查找相关的小程序。
6)移动APP收集:
应用商店:在应用商店中搜索目标应用,了解其名称、描述、下载量、评分等信息。
公司应用官网:访问公司应用的官方网站,了解更多关于应用的介绍、特点、功能等,可通过关键字搜索的方式对移动APP信息进行收集。
数据隐私政策:查看应用的隐私政策,了解其数据收集和使用方式,以及用户隐私保护措施。
2.邮箱信息专项排查。依靠XX单位的组织架构信息,结合预先收集的域名、公网邮箱使用清单,针对公开邮箱信息开展专项排查工作。采用天眼查、爱企查、小蓝本等企业信息公开平台,针对企业架构信息进行主动收集,将企业注册信息中的邮箱、电话等信息进行逐一排查,以防公开邮箱被异常登录的风险。
天眼查、爱企查等企业信息查询平台:在企业信息查询平台凭借关键字的方式进行查询,可直接获取到企业注册邮箱信息、注册电话等内容。
LinkedIn和社交媒体:在专业社交媒体平台如LinkedIn上查找目标公司员工的姓名、职务等信息。
数据泄露网站:使用数据泄露搜索引擎,如HaveIBeenPwned,查找是否存在目标邮箱的泄露记录。
针对企业域名收集的工具:使用一些专门针对公司邮箱信息收集的工具,如TheHarvester。
行业数据集:有些行业有公开的员工数据库,可以查询相关行业的邮箱信息,如veryvp。
3.代码托管平台、公开网盘信息暴露面排查。针对互联网公开的代码托管平台(Github、Gitee等)、公开网盘(百度网盘、夸克网盘、阿里云盘等),以XX单位所提供的敏感信息清单作为检索字典进行暴露面排查,排查范围包括但不限于代码托管平台Github、主流 网盘(百度、新浪、城通、蓝奏云盘)、主流文库(百度、豆丁、道客巴巴、IT168)等进行排查,检索层级需深入至代码级,网盘文库排查需针对文件夹、压缩文件、文档、PPT、图片、视频等29种文件格式。
代码托管平台信息收集:
GitHub、GitLab、Bitbucket等:在代码托管平台上搜索目标关键词,了解目标个体或组织的项目、代码库等。
代码审查:浏览目标项目的代码,了解代码结构、漏洞、功能等信息。
提交历史:查看提交历史,了解项目的开发进展、维护者等。
问题跟踪:查看项目的问题跟踪系统,了解漏洞、问题和讨论。
公开网盘信息收集:
百度网盘、GoogleDrive、OneDrive等:在公开网盘上搜索目标关键词,了解目标组织或个体可能分享的文件。
文件类型:搜索特定的文件类型,如配置文件、日志文件等。
文件元数据:通过文件元数据了解文件的作者、创建日期、修改日期等。
操作工具如下:
GitHub搜索:使用GitHub的搜索功能,搜索目标关键词或组织,获取相关代码仓库,查询语句比如:in:file,path可查询关键文件名和路径信息、repo:xxx可查询指定项目包含敏感信息的文件等语句。
代码扫描工具:使用代码审查工具,如SonarQube,对代码进行安全审查和分析。
公开网盘搜索引擎:使用公开网盘搜索引擎,如DorkSearcher,搜索公开分享的文件。
谷歌搜索:使用谷歌搜索关键词加上站点限定,如site:github.com关键词。
5.4.隐蔽入口梳理。API、VPN、Wi-Fi这些入口因容易被安全人员忽略而成为攻击队最喜欢的突破口,一旦被突破,攻击队就会畅通无阻。需梳理Web服务的隐藏API、不使用的VPN、Wi-Fi账号等,以便于重点防守。A PI信息收集:
API文档:通过信息收集的方式,获取目标系统的官方API文档,了解可用的API接口、参数、返回值等信息。
Web接口扫描:使用工具进行Web接口扫描,发现潜在的敏感接口和漏洞。
错误信息:检查错误信息返回,可能包含有关API实现的敏感信息。VPN信息收集:
VPN提供商文档:通过收集我公司所使用的VPN供应商信息,获取VPN提供商的文档,了解VPN的协议、加密方法和配置选项。
端口扫描:扫描VPN服务器的端口,了解开放的服务和协议。
VPN登录页面分析:分析VPN登录页面,查看是否存在信息泄露、弱密码等风险。Wi-Fi信息收集:
Wi-Fi名称和SSID:借助于专业的第三方扩展工具可收集目标区域内的Wi-Fi名称和SSID,了解周围的网络环境。
Wi-Fi安全协议:通过扫描工具或操作系统设置,了解Wi-Fi网络使用的安全协议,如WPA2、WPA3等。
Wi-Fi信号强度:使用Wi-Fi信号强度工具,了解不同区域的Wi-Fi信号强度和分布。
操作工具如下:
Nmap:用于端口扫描和服务识别,可以用于识别API接口和VPN服务。API安全测试工具:例如Swagger、BurpSuite等,用于测试API的安全性和漏洞。
VPN客户端:用于连接VPN,了解VPN服务提供的服务器列表、协议等。
Wi-Fi分析工具:例如Wireshark、Kismet,可以分析Wi-Fi流量和信号强度。
四、后续注意工作与补充
端口存活性探测的准确性会受扫描设备运行状态,网络环境等因素影响,建议对扫描结果进行人工验证,同时结合多种扫描工具(nmap,masscan)交叉验证,尽可能不出现漏端口或者服务的情况。
五、总结成效
通过开展前期互联网暴露面排查工作,输出了互联网暴露面资产清单,缩小了互联网暴露面,减少了攻击者在信息收集阶段可获取的信息,增加攻击者的攻击难度;同时也方便进行互联网暴露资产的漏洞自查和修复,其实互联网暴露面收缩本质上也是资产梳理的一 部分,是对互联网资产的专项梳理,只有摸清家底,才能完善管理。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
1062
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
