Day14:信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全

最新推荐文章于 2024-04-16 09:56:08 发布
最新推荐文章于 2024-04-16 09:56:08 发布
阅读量1k 收藏 18
点赞数 14
分类专栏: 信息收集 文章标签: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/136434583
版权

目录

Web服务器&应用服务器差异性

WAF防火墙&安全防护&识别技术

蜜罐平台&安全防护&识别技术

思维导图

章节知识点

Web:语言/CMS/中间件/数据库/系统/WAF等

系统:操作系统/端口服务/网络环境/防火墙等

应用:APP对象/API接口/微信小程序/PC应用等

架构:CDN/前后端/云应用/站库分离/OSS资源等

技术:JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等

技术:指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等

Web服务器&应用服务器差异性

常见的端口对应的服务以及安全问题

通过对端口扫描可以判断出对方服务器的服务类型

中间件分为两类:Web服务器,应用服务器(比前者多开放一个端口,比如Tomacat:8009等)

端口扫描:Nmap、Masscan、网络空间
开放状态:Close Open Filtered
https://nmap.org/download.html
https://github.com/robertdavidgraham/masscan
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331
https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html
考虑:1、防火墙 2、内网环境
内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)

因为扫描的是对方Web服务在内网中,与外界通讯通过网络出口,网络出口服务器没有开放相关端口,导致端口扫描与情况不符

Nmap扫描

配置中:Quick scan plus是快速扫描,intense scan all TCP ports 是全部端口扫描

Masscan扫描

在目录下直接输入cmd,进行调用语法:

测试一个至多个端口是否开通:masscan.exe -p 3307 47.75.212.155

测试多个端口:masscan.exe -p 1-65535 1.15.51.4

网络空间:直接查询即可

WAF防火墙&安全防护&识别技术

WAF解释:
        Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF分类:

  • 云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
  • 硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
  • 软件WAF:宝塔,安全狗、D盾等
  • 代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的

识别看图:
        拦截页面,identywaf项目内置

识别项目:
wafw00f:https://github.com/EnableSecurity/wafw00f

identywaf:https://github.com/stamparm/identYwaf

wafw00f:https://github.com/EnableSecurity/wafw00f

  • 安装:目录下打开cmd输入:python setup.py install
  • 使用:安装后打开wafwoof目录下cmd输入:python main.py https://jmhewang.com/
  • 注意:查询时候关闭代理,不然无法连接

identywaf:https://github.com/stamparm/identYwaf

  • 使用语法:python identYwaf.py https://jmhewang.com/

蜜罐平台&安全防护&识别技术

蜜罐解释:
        蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类:
        根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

蜜罐产品:见下图

识别原理:https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

常见的蜜罐

蜜罐数据特征

识别技术:
0、测试
大概了解组成功能等
https://hfish.net/#/

1、项目
项目识别
https://github.com/graynjo/Heimdallr
https://github.com/360quake/quake_rs
quake.exe init apikey值
quake.exe honeypot 目标

2、人工
*端口多而有规律性
*Web访问协议就下载
*设备指纹分析(见上图)

3、网络空间
鹰图,Quake

蜜罐(Honeypot)是一种安全机制,其原理和特点为:

  • 引诱攻击: 蜜罐的主要原理是通过模拟目标系统的弱点或敏感区域,吸引和引诱攻击者。蜜罐可以模拟各种服务和应用,如Web服务器、数据库、邮件服务器等,使其看起来像是真实系统。
  • 数据捕获: 一旦攻击者对蜜罐进行攻击,蜜罐会记录和捕获攻击行为的详细信息,包括攻击者的IP地址、攻击手段、使用的工具等。这些信息对于分析攻击者的行为和提高网络防御水平非常有价值。
  • 学习和改进: 蜜罐可以用于学习攻击者的新技术和手段。通过分析蜜罐收集到的数据,安全团队可以了解到新型威胁的特点,并相应地改进网络防御策略。
  • 欺骗和误导: 蜜罐可以欺骗攻击者,使其浪费时间和资源在虚假系统上。这有助于减缓攻击速度、提高检测准确性,并增加攻击者被发现的可能性。
  • 实时监控: 蜜罐可以用于实时监控网络上的攻击活动。通过在网络中分布蜜罐,可以提前探测到潜在的威胁,从而更及时地采取防御措施。
  • 早期警告: 蜜罐可以在攻击者尚未对真实系统造成实质性危害之前提供早期警告。这有助于组织及时采取行动,防止潜在的风险。

360夸克项目识别蜜罐:

  • 安装:解压后在目录下cmd启用quake.exe
  • quake.exe init apikey值(api值需要注册360网络空间获取360网络空间测绘 — 因为看见,所以安全
  • 使用语法:quake.exe honeypot 目标

思维导图

Dao-道法自然
关注
  • 14
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
anti-honeypot:可以用来检测WEB蜜罐并中断请求,能够识别并中断长亭D-sensor和墨安幻阵的部分溯源API
03-20
可以用来检测WEB蜜罐并中断请求,能够识别并中断长亭D-sensor和墨安幻阵的部分溯源API,解压拖到谷歌浏览器插件的地方
identYwaf:盲WAF识别工具
02-06
identYwaf是一种识别工具,可以基于盲目推断来识别Web保护类型(即WAF)。 通过检查一组预定义的攻击性(非破坏性)有效负载引起的响应来进行盲目推断,其中,这些有效负载仅用于触发介于两者之间的Web保护系统(例如, http://<host>?aeD0oowi=1 AND 2>1 )。 当前,它支持80多种不同的保护产品(例如aeSecure , Airlock , CleanTalk , CrawlProtect , Imunify360 , MalCare , ModSecurity , Palo Alto , SiteGuard , UrlScan , Wallarm , Wat
信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
zrx9988的博客
07-11 322
Web服务器Apache、Nginx、IIS、lighttpd等应用服务器:Tomcat、Jboss、Weblogic、Websphere等数据库类型:Mysql、SqlServer、Oracle、Redis、MongoDB等操作系统信息Linux、windows等应用服务协议信息:FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等。
红蓝对抗-攻防演练中红队如何识别蜜罐保护自己
lza20001103的博客
09-01 2226
攻防演练中红队如何识别蜜罐保护自己 文章目录攻防演练中红队如何识别蜜罐保护自己前言一、蜜罐分类RDPYsnare二、如何识别三、常见蜜罐展示1.无交互蜜罐: 只针对网络批量扫描器2.低交互蜜罐: HFISH (被动/主动收集信息)3.高交互蜜罐: 真实环境部署探针 前言 最近在攻防演练中经常会遇到蜜罐,这次就来唠唠蜜罐蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。 蜜罐可以实现对攻击者的
网络安全蜜罐入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
xnxqwzy的博客
09-07 1561
蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。是一款开源的基于 Golang 开发的跨平台多功能主动诱导型蜜罐平台,为了企业安全做出了精心的打造。
信息系统安全 2018-2019 Autumn&Winter Final1
08-03
信息系统安全 2018-2019 Autumn&Winter Final1】 1. 缓冲区溢出攻击(Buffer overflow attack)是通过利用哪种攻击表面进行的? 缓冲区溢出攻击主要利用软件攻击表面(C)。这种攻击发生在程序处理数据时,如果...
tpotce::honey_pot:T-Pot-多合一蜜罐平台:honeybee:
02-15
T-Pot 20.06在Debian(Stable)上运行,很大程度上基于,并包含以下蜜罐的dockerized版本此外,T-Pot包含以下工具轻量级的,用于docker,os,实时性能监控和Web终端的webui。 网络应用程序,用于加密,编码,压缩和...
manuka:基于 Docker 的蜜罐 (Dionaea & Kippo)
06-17
manuka - docker 蜜罐设置脚本 运行和脚本。 下一次迭代将所有依赖项粘贴到 Docker 镜像中,这应该使它在操作系统之间更兼容。 先决条件 # docker 1.3+ and docker-compose installed sudo apt-get update && sudo...
honeypot:PSR-15中间件可实现蜜罐垃圾邮件预防
02-17
中间件/蜜罐 中间件实施蜜罐垃圾邮件预防。 这项技术基于创建一个输入字段,该字段应由实际用户隐藏并保留为空白,但大多数垃圾邮件机器人均将其填充。 中间件在传入的请求中检查此值是否存在,为空(是真实用户)...
identYwaf-master_网站waf测工具
03-27
identYwaf-master_网站waf测工具
waf识别指纹工具
10-08
WAFW00F识别和指纹Web应用防火墙(WAF)产品。 其工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符,若没有在通过发送一个恶意的请求触发waf拦截来获取其返回的特征来判断所使用的waf
《小迪安全》第8天 信息收集:架构,搭建,WAF
m0_56250796的博客
04-03 780
安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。也可以很直接地说:渗透测试的思路就是从信息收集这里开始,你与大牛的差距也是从这里开始的!信息收集的目的:把目标可以测试的点全部找到,选取最脆弱的部分加以攻破。本节课重点:信息收集→Web→无CDN,重点:站点搭建。
IdentYWAF:智能Web应用防火墙的新里程碑
gitblog_00052的博客
04-16 390
IdentYWAF:智能Web应用防火墙的新里程碑 项目地址:https://gitcode.com/stamparm/identywaf IdentYWAF 是一个开源的Web应用程序防火墙(WAF),由 Stamparm 团队精心打造,旨在为网站提供高级别的安全保护。通过深度学习算法和实时威胁情报,IdentYWAF可以有效防止恶意攻击,包括SQL注入、XSS跨站脚本、文件包含漏洞等常见的We...
web安全基础第八天 架构,搭建,waf
san3144393495的博客
05-10 285
第四类是防护应用waf,包括安全狗,宝塔,云盾,安骑士等等,这是我们经常碰到的是我们常说的一些防护软件,云盾是阿里云服务器的,分为收费版和免费版,宝塔严格意义上来说它不属于waf里面,他是属于一体化的搭建软件,便于你用于网站搭建,因为宝塔这个上面有一些自带的一些防护,有一些是免费也有收费的,它也是在是市面上比较常见,他是一个搭建软件有防护功能,安全狗是比较老的软件,防护功能已经不如其他软件,因为它历史比较悠久,所以还是有很多网站用它做防护的。这是就判断出来了这个网站程序是什么,不是所有网站都有这个文件。
国内waf指纹识别及检测总结
UHGsec——palink博客
10-14 1910
waf识别: waf在请求中设置自己的cookie Waf在恶意请求时回复响应代码 Waf在响应页面内容中可以查看 Waf手动检测: 360防火墙: 响应头包含X-Powered-By-360WZB 异常请求时返回493状态码 页面源码页面源码可以找到对 wzws-waf-cgi 引用 云锁: 响应头包含yunsuo_session 字段 阻止响应页面 云盾: 响应头包含yundu...
【网络安全WAF防护分析
m0_52149675的博客
03-25 1600
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
apache日志 waf_开发架构之开源WAF延申
weixin_32673065的博客
12-11 227
其实网上开源WAF是有很多的,搭建方式比较简单,但只限于搭建,而没有分析调整的后续使用方法,这一点其实是实际使用中大家最关心也是最迫切需要的,下面就分享一下我的开源WAF构建与使用。一、选用其实在选用方面是需要进行多方面对比的,有业务需求方面的,有安全本身的,出于我们业务和架构的考虑,在这里我们使用的是modsecurity V3作为主体WAF框架,OWASP TOP 10作为主要策略,同时还覆盖...
Firebase 打点
最新发布
07-04
Firebase 打点(通常称为 Analytics 或 Crashlytics)是指使用 Google 的 Firebase 平台来跟踪和分析应用程序的行为、性能以及用户的使用情况。Firebase 提供了一套完整的工具来收集和理解应用的数据,帮助开发者优化产品和服务。 1. **设置**[^4]: - 在 Firebase 控制台上,添加新项目或关联现有项目到您的 Android 或 iOS 应用程序。 ```markdown // Android 示例 FirebaseAnalytics.getInstance(this).logEvent(FirebaseAnalytics.Event.NAVIGATION_COMPLETED, params); ``` 2. **事件追踪**[^4]: - 记录特定行为,如点击按钮或完成任务。 ```markdown // iOS 示例 [[FIRAnalytics alloc] logEventWithCategory:@"UserActions" name:@"PurchaseMade" parameters:params]; ``` 3. **实时视图**[^4]: - 可以查看实时数据,了解当前用户活动。 ```markdown // Firebase Analytics Realtime Data FIRAnalytics.queryRealtimeData() .then(querySnapshot => { console.log('Active users:', querySnapshot.numUsers); }); ``` 4. **错误报告**[^4]: - 自动收集崩溃报告,帮助快速定位和修复问题。 ```markdown // Firebase Crashlytics let crashManager = Fabric.get(Crashlytics) crashManager.logException(error, errorDescription) ``` 要深入了解Firebase打点的更多信息,可以查阅官方文档[^4],并按照相应的平台指南配置和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值