应用程序安全加固

最新推荐文章于 2024-06-06 17:17:11 发布
最新推荐文章于 2024-06-06 17:17:11 发布
阅读量8k 收藏 2
点赞数 1
分类专栏: 网络安全实验 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lemonalla/article/details/105592351
版权

应用程序安全加固

实验目的

  • 从web和ssh方面进行应用程序安全加固的体验

实验环境

  • kali-attacker和kali-victim两台互相连通的主机

实验过程

Apache内置安全设施

  • 先查看可用的模块并搜索需要的security模块

    ls -l /etc/apache2/mods-enabled/

# 搜索security软件包
apt search apache | grep security

  • 安装相关模块

    apt update &&apt-get install libapache2-mod-security2

  • 查看刚刚下载的与security相关的包

  • 配置规则

    # 备份规则
mv /usr/share/modsecurity-crs /usr/share/modsecurity-crs.bk

# 下载 OWASP ModSecurity Core Rule Set
git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git /usr/share/modsecurity-crs

# 启用配置文件
cd owasp-modsecurity-crs
mv crs-setup.conf.example crs-setup.conf

# 修改配置
vi /etc/apache2/mods-enabled/security2.conf

# 在文件中添加规则路径
<IfModule security2_module> 
     SecDataDir /var/cache/modsecurity 
     IncludeOptional /etc/modsecurity/*.conf 
     IncludeOptional /usr/share/modsecurity-crs/*.conf 
     IncludeOptional /usr/share/modsecurity-crs/rules/*.conf 
 </IfModule>

# 启用引擎
vi /etc/modsecurity/modsecurity.conf

# 将 DectionOnly 改为 On
SecRuleEngine On

# 重启以生效
systemctl restart apache2

  • 将配置生效

  • 接着让攻击者主机对靶机进行简单的xss攻击(使用curl命令)

  • 使用curl指令进行测试,发现确实被拒绝

  • 查看日志文件,会发现该行为被记录了下来

    tail error.log

  • 至此,说明我们的规则设置生效了,此时的Web应用安全确实加固了,可用预防一些owasp中的一些攻击并且能通过日志记录下来

使用fail2ban防止ssh暴力破解

  • 在使用fail2ban之前进行ssh连接,发现失败了

  • 配置ssh配置文件,允许root权限ssh

  • 重启ssh服务,并添加了一块host-only网卡,成功连上ssh

    systemctl restart ssh

  • 爆破ssh,解压爆破字典,使用字典进行爆破,居然不到几秒钟就成功了!可见,弱口令真是不可用啊,万一被人爆破了ssh,那可约等于让‘攻击者’为所欲为了

    # 解压爆破字典
gzip -d /usr/share/wordlists/rockyou.txt.gz

# 类似的爆破工具还有:medusa/ncrack
hydra -l root -P /usr/share/wordlists/rockyou.txt -v 192.168.56.101 ssh

  • 安装fail2ban

  • 可以在配置文件中看到对应的sshd.conf

  • 对配置文件中的配置项进行自定义配置

  • 配置好以后查看是否有被禁止的ip,发现暂时还没有,估计与设置的时间有关,并且可以看到是通过/var/log/auth.log进行检查是否有尝试爆破的ip

  • 在多次更新以后,发现了被禁止的ip,我们发现由于这是在跨网卡进行ssh操作,所以被禁止的并不是真正进行爆破的ip,而是192.168.56.101的网关

  • 在防火墙中我们也可以看到被禁止的ip,说明该禁止的原理就是通过设置防火墙规则进行拒绝

  • 至此,说明我们的fail2ban已经生效了,不再可以随意爆破ssh服务了,确实我们在攻击者主机上实验了一下,发现迟迟没有反应

  • 在上一章实验中我已经提到过实验结束需要恢复实验环境,因此我们使用以下命令清空刚刚的规则,保持环境的‘干净’

    fail2ban-client unban all

课后思考题

  • 试举⼀例说明“⼈的安全意识和安全能⼒在应用程序安全加固中是不可忽视的重要环节”。

    • 设置的口令为弱口令,即使安全措施做的再好,安全加固再完备,弱口令随时都可能被类似于上述实验中暴力破解破解
    • 不及时锁屏,导致被他人在电脑随意篡改,这是再安全的加固都无法保护的

实验所遇问题

  • 虚拟机无法上网,发现双网卡模式需要手动配置

实验总结

  • mod-security的功能:—HTTP流量记录,实时监控和攻击检测,攻击防护和虚拟补丁,⿊名单/白名单/已知弱点和漏洞(规则),灵活的(检测和响应)规则引擎,支持嵌⼊式部署,支持⽹络部署,跨平台支持
  • fail2ban基本原理:监控日志⽂件,检索设定的访问指纹(正则表达式),匹配指纹成功后

实验参考资料

lemonalla
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用应用系统安全加固方法.doc
12-02
通用应用系统安全加固方法
Android应用安全加固
何哥的博客
10-05 6788
前言:Android开发者常常面临的一个安全问题就是防反编译破解、 防二次打包。因此,App在上线某些应用市场比如腾讯的应用宝时会要求你的应用apk进行安全加固,也就是和Windows平台exe程序的加壳一样。 一、为什么要对Android应用加固? 由于安卓APP是基于Java的,所以极容易被破解,一个不经过加固的APP犹如裸奔一样,毫无防备。之前曾有新闻报道,一些专职的APP打包黑产就是专...
加固移动应用的重要性及方法论
最新发布
zhouhuiting1122的博客
06-06 178
通过加固移动应用程序,我们可以有效地提升应用安全性,确保用户数据的安全,同时保护开发者的利益和知识产权。因此,加固移动应用程序不仅仅是安全的需要,更是我们对用户和应用开发者的责任和承诺。APP加固作为一种关键的安全措施,旨在确保应用程序安全性,防止恶意攻击和数据泄霜。动态加载:将应用程序的部分代码或资源进行动态加载,增加攻击者逆向工程的难度,提升应用程序安全性。降低安全风险:通过加固应用程序,减少应用受到攻击和漏洞利用的可能性,提高应用程序安全性。等等一系列很多功能就不一一介绍了。
应用加固
否命题的博客
08-28 2656
Android技术防范与揭秘第九章和第十章总结防止利用系统组件的漏洞 最小化组件暴露:在调用的组件添加,android:exported=“false”属性,说明他是私有的,只有同一个应用程序的组件或者带有相同用户的ID的应用程序才能启动或者绑定该服务。如果 只是内部调用,还可以给组件加入签名权限以防止不同签名的应用恶意调用 设置组件的访问权限:对于跨应用间调用的组件或者是公开的Brocast Re
安全加固之系统加固
HH_beibei的博客
10-23 2764
中华人民共和国网络安全法》第二十二条、《关键信息基础设施安全保护条例》第三十三条,发现七网络产品、服务存在安全缺陷,漏洞风险时,应当采取补救措施。
基于 Tomcat 中间件的 Web 应用安全加固措施整理
GitChat
11-06 736
作为 Java 开发人员,大家对 Tomcat 都不陌生,使用 Tomcat 作为应用服务器的同时,我们还应该关注 Web 应用安全问题。那么在 Java Web 应用开发过程中,有哪些安全加固措施呢?这里笔者将分享自己在工作中的漏洞加固经历,通过本场 Chat,希望您能学到关于 Web 应用安全的一些技术和知识。 本场 Chat 主要内容: OWASP 公布的哪些漏洞是我们容易遭遇的; To...
tomcat安全加固手册
05-09
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
Web安全与加固.pdf
10-10
web工程加密常见手段,仅供分享,也是学历的参考资料,具体请以测试要求为准
应用程序安全介绍 – 概述2.pdf
10-06
"应用程序安全概述" 应用程序安全是指保护软件系统免受恶意攻击和未经授权的访问的安全措施。这里,我们将讨论应用程序安全的基础知识,包括应用程序安全的重要性、常见的安全漏洞、安全测试和加固方法等。 应用...
应用发布服务器安全加固.docx
03-16
存在大量的安全漏洞,比如安装、配置不符合安全需求,参数配置错误,使用、维护不符合安全需求,被注入木马程序,安全漏洞没有及时修补,应用服务和应用程序滥用,开放不必要的端口和服务等等。这些漏洞会成为各种...
系统安全加固
m0_70655343的博客
05-31 278
随着计算机网络技术的迅速发展和进步,信息和计算机网络系统现在已经成为社会发展的重要保证。由信息和计算机网络系统构成的信息系统中,最薄弱、易受攻击、而保护力度又相对缺乏的就是对服务器的保护。服务器是信息系统中敏感信息的直接载体,也是各类应用运行的平台,因此对服务器的保护是保证整个信息系统安全的基础,而对服务器操作系统安全保障又是保证服务器安全的核心所在。  2、面临的威胁及攻击手段分析  2.1系统安全漏洞问题  操作系统存在较多安全漏洞,每一年报告给CERT/CC的漏洞数量也在成倍增长,如仅在2009年一年
Java应用软件的安全加固技术研究_刘伟伟.caj
08-15
本文针对上述安全问题展开分析研究工作,设计了一种新的隐藏 方法描述符的途径,通过消除对方法的快速定位,有效增加了指令猜 测攻击的难度,并在此基础上按不同需求分别提出了统一方法描述符 混淆算法和归并方法集合混淆算法。这两种算法在原则上只隐藏方法 间传递的类型信息,不会对程序原有的逻辑产生任何影响,生成后的 代码可以直接在相应版本的JVM(Java虚拟机)上运行,无需借助额 外任何代码或工具。 为了验证方案的可行性,本文进行了系统实现,使用了9个现实 世界的Java应用软件作为混淆测试用例,并分别在混淆前后采集了 应用程序的性能和占用空间指标,依次进行对比。除此之外,本文还 从软件工程的角度对两种混淆方案的混淆强度进行了计算,实验结果 表明本文提出的混淆方案除了各自应有的特性之外,还兼具增强内聚 性、减少耦合性、增大方法平均复杂度等效果。
腾讯乐固加固包exe应用
10-30
这个是腾讯乐固加固包,应用于加固安卓apk以上架到腾讯应用宝pc应用,只需这个应用打包APP,APP才可上传到应用宝市场,审核才能通过
乐固APP加固PCEXE执行文件
11-08
腾讯云平台提供的一款APP加固工具,让亲的APP包可以兼容各种手机,不会在安装的时候出现未知错误。希望对亲有用。
APP移动应用安全加固是如何进行的?
Uguardsec的博客
05-26 1217
一、背景 随着移动互联网产业的快速发展,移动应用呈井喷式爆发,Android应用开发者从几万迅速增加到几十万,APP数量更是不断向上增长,每日新开发的APP在以几何级数量递增。 同时,因Android系统本身开源特性,Android应用正逐渐取代PC端成为黑客攻击的主要对象,超97%的Android应用遭受盗版侵袭,病毒木马肆虐、流氓软件和钓鱼应用随处可见,严重影响了开发者收益、客户端安全和体验。 二、APP移动应用安全加固介绍 移动应用安全加固技术包括Android应用加固、iOS应用加固、游戏应用加固、
安全评估加固工具
weixin_30467087的博客
03-18 361
  企业要求其计算机系统具有高度的安全性。服务器攻击或恶意软件入侵可能会造成不可估量的损失。本文介绍了最常用的服务器审计和测试工具,以及渗透测试和网络安全工具。  大多数企业倾向于向其客户提供Web服务,因为互联网的存在非常重要,因为诸如高收入潜力,广泛客户的接触等因素。使得企业服务易受各种与Web应用程序相关的攻击跨站点脚本,SQL注入,缓冲区溢出等,以及对网络的攻击,如分布式拒绝服务...
java 软件安全_Java应用软件的安全加固技术研究
weixin_29601703的博客
02-24 506
摘要:随着Java应用软件数量的日益递增,针对Java应用软件的逆向工程技术也是层出不穷。因此,如何对Java应用软件进行有效的安全加固也成为研究热点问题。尽管已经有很多Java应用软件的安全加固方案被提出,但是在CLASS字节码文件中仍然存在着大量可以被逆向工程所利用的信息。在这些信息中,方法之间相互调用所需要的参数信息就有可能成为一大安全隐患,逆向工程人员可以凭借于此实现对关键方法的快速定位,...
java调用腾讯云的乐固加固给apk进行加固处理。
莉lily的博客
07-29 1669
利用maven下载相应的jar包 <dependency> <groupId>com.tencentcloudapi</groupId> <artifactId>tencentcloud-sdk-java</artifactId> <!-- go to ht...
客户端应用程序安全测试手册
"客户端应用程序安全测试" 客户端应用程序安全测试是确保软件安全的重要环节,特别是在C/S架构中,客户端作为用户与服务器交互的第一道防线,其安全性直接影响到整个系统的稳定性。本手册由vlan911整理,仅供内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值