基于spring生态的基础后端开发及渗透测试流程(二)

最新推荐文章于 2024-04-19 19:39:14 发布
最新推荐文章于 2024-04-19 19:39:14 发布
阅读量715 收藏
点赞数
分类专栏: web安全 文章标签: spring java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tengchuanb/article/details/129119637
版权
文章介绍了基于Spring生态的后端开发完成后,如何进行系统安全防护,包括设置Snort入侵检测系统和HFish蜜罐,执行渗透测试步骤,如信息收集、端口扫描、源码泄露检测等。此外,还讨论了应急响应策略,如账号管理和服务管理等安全加固措施。
摘要由CSDN通过智能技术生成

基于spring生态的基础后端开发及渗透测试流程(二)


继上次写了一份基于spring生态的基础后端开发流程后,这次来完成系统的安全防护以及后期渗透测试流程。

本人还没有真正接触过安全运维方面的操作,只能凭借平时的经验对系统进行防护。设置Snort入侵检测系统和HFish蜜罐。并对系统进行安全加固。

之后通过一系列渗透测试步骤对上次搭建的系统进行安全检测。

最后假设系统被入侵,并对系统进行相应应急响应措施。

原文链接:https://www.blog.23day.site/articles/83

安全设备

IDS

IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是IDS应当挂接在所有所关注流量都必须流经的链路上

本篇使用开源的snort,snort属于IPS,串联接入网络,也就是在网络流经的地方插一刀。

snort的安装可以源码安装或者apt一把梭,下载完成后从官网下载规则,在snort.conf中include该文件位置即可

自定义规则可以另写文件,按照官网规则自行编写https://docs.snort.org/rules/

另外snort的log可以使用wireshark查看

蜜罐

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

本篇使用开源蜜罐HFish,在官网有部署和使用方法,这里使用docker部署,采用的网络模式是host模式,即将docker容器直接架设在主机网络中,与主机共享网络

hfish中默认提供了API查询攻击信息,还提供了情报和通知配置,后期将整合至博客系统server模块中进行实时监控

hfish官网提供了实时更新的功能

安全加固

本篇使用阿里云ecs,系统为ubuntu20.04,进行相关安全加固

主要分为五个模块:

  • 账号管理
    1. uid为0的用户
    2. 空密码账号
    3. 用户口令强度
    4. 用户口令设置
    5. 用户登录次数
    6. 密码重复使用次数限制
  • 服务管理
    1. root用户远程登录
    2. ssh空密码登录
    3. ssh多次失败锁定账户
    4. 账户超时时间
    5. ssh端口
  • 权限管理
    1. 默认umask
    2. 指定用户或组才可使用su命令
    3. 检查重要目录和文件权限
  • 日志管理
    1. 检查日志服务启用
    2. 检查定时任务日志
    3. 查看ssh的loglevel=info
    4. /var/log/messages为只可追加
  • 其他管理
    1. 检查账号相关性
    2. 停用无关服务
    3. 重要文件锁定

渗透测试

信息收集

子域名

单用OneForAll可以,或者subfinder+ksubdomain组合一下也可以,本篇采用subfinder的被动扫描后还用ksubdomain的验证功能收集存活子域名

域名注册信息

阿里云域名信息查询+站长工具

企业信息

如果是对企业进行信息收集的话,可以用天眼查和ICP域名备案查询,集合工具:ENScan_GO

端口扫描

用的是masscannmap一起扫的,把结果结合了一下,naabu实在是不知道是怎么回事,扫出来的结果乱七八糟的

源码泄露

生成一个githubapi_token,使用gitdorker搜集信息,确实搜出来很多信息

路径扫描

dirsearch加上强力一点的字典足够扫描了,本篇没有使用爬虫进行路径探测

真实ip探测

先利用多地ping和ip反查判断目标网站是否使用cdn加速,如果使用过cdn加速则可以使用ip历史记录解析、历史dns平台、ssl证书搜索查找真实ip

js扫描

利用升级版urlfinder或者jsfinder查找js文件,再搜索password、key等关键词

设备检测

蜜罐识别

github上能找到的比较好的蜜罐检测工具Honeypot Hunteranti-honeypot

waf识别

kali自带的wafwoof我觉得有点丑陋,可以用whatwaf

社工

之前跟前辈学的,一般企业资产都在内网,如果扫不出来,就需要用社工去进入内网去扫,可以利用OSINT开源网络情报或者开源社工工具Maigret等收集企业或个人信息,然后制作相应弱口令字典进行爆破

爆破

Hydra/Hydra-graphical爆破工具,字典的话就是用上面获取的社工字典+常用字典联合爆破,碰到验证码等可以使用bp的验证码插件

漏洞扫描

系统扫描

nessus或者openVAS,但是openVAS的体量太大了,而且俩都属于大型扫描器

web扫描

vulmapgobyxrayawvsxray是长亭的误报有点多,而且之前跟某些前辈学习的时候说不习惯用漏扫,就是因为误报太多了。这里存在xray+bp或者xray+awvs的组合。本篇是用扫出来的路径去写了个脚本,用bp做的代理,bp的上游代理设置为xray,这样就可以将敏感路径全都扫一遍了

应急响应

应急响应为当发现主机遭受入侵后的一系列应对措施,主要查看一下部分,并将异常设置改正

  • 开启启动项
  • 环境变量
  • 资源利用
  • 威胁情报
  • 账户密钥、重装覆盖
  • 定时任务
  • 检查rootkit
  • 日志文件
23DAY
关注
专栏目录
开放平台架构设计原理与实战:构建持续开放的开放平台开发流程
AI天才研究院
11-05 321
近年来,互联网经济蓬勃发展,人们越来越重视对自己信息的掌控权,希望在不受限制地分享自己的知识、经验和创造力。而早已开始普及的微信、微博、知乎等社交媒体则成为人们获取信息、沟通感情、表达观点的主要渠道。如此开放的网络空间也给平台创作者提供了巨大的想象空间。然而,当平台创作者构建自己的平台时,也面临着更复杂的技术难题——如何构建可持续、可扩展、安全的开放平台?如何让平台上的用户持续地提供新的价值?更重要的是,如何将平台上生成的数据产生价值,并且持续地推动平台运营?
【愚公系列】《AIGC辅助软件开发》011-AI辅助编写技术文档:技术文档
最新发布
时光隧道
07-24 1万+
在当今快速发展的技术环境中,技术文档的编写变得愈加重要。无论是软件开发、产品设计,还是系统架构,清晰、准确的技术文档不仅能帮助团队成员快速理解项目,还能为用户提供必要的使用指导。然而,编写高质量的技术文档常常是一项繁琐且耗时的任务。随着人工智能技术的不断进步,AI工具的辅助作用逐渐显现,特别是在技术文档的编写过程中。借助AI,开发者和技术作家可以更高效地生成、编辑和维护文档,从而专注于更高层次的创作和思考。
spring boot后端开发基础
weixin_73186358的博客
04-19 1820
我们在这个类中处理前端发送过来的请求,例如,我们可以创建一个HelloController类来处理前端发送过来的请求。
Springboot渗透x
qq_60115503的博客
01-06 1146
Spring Cloud是基于Spring Boot来进行构建服务,并提供配置管理,服务注册与发现,智能路由等常见功能的帮助快速开发分布式的系列框架的有序集合。会直接泄露环境变量、内网地址、配置中的用户名等信息;Spring Boot Actuator 1.x版本默认内置路由的起始路由的起始路径位/,2.x版本则统一以/actuator为起始路径。对于攻击者来讲,一般会仔细审计暴露出的接口以增加对业务系统的了解,并会同时检查应用系统是否存在未授权访问,越权等其他业务类型漏洞。
Spring Boot前后端分离之后端开发
梦想也许遥不可及,但重要的是追梦的过程,用博客记录自己的成长,记录自己一步一步向上攀登的印记
08-13 7985
前端和后端:前端和后端是针对于技术来说的。前端: 负责页面展示相关的技术,比如html,css,js,jquery,vue,bookstrap等后端:与数据,还有业务逻辑相关,比如Java,MySQL等移动端:移动设置相关的技术,比如Android(java,kotilin),iOS(swift)全栈工程师:前端,后端,移动端全过程工程师:产品设计,代码开发,测试,运维前台和后台前台和后台是相对于使用者来说的前台:它是相对于普通用户来说,比如用户可以看到的网站。.........
基于spring生态基础后端开发渗透测试流程
TengChuanB的博客
02-03 1012
这是一篇记录如何从建仓开始到最后安全测试完整流程的笔记,使用的spring生态,目的是为spring基础后端开发及后期渗透测试打一个模板。本篇采用springSecurity作为安全框架,搭载了等功能,并开放了OAuth2授权登录。本篇代码格式规范为,代码大量使用java8新特性以及apache包下方便的工具类,能一行代码写完的就不用两行。当然本文也配备了大量注释,方便有需要的同学学习。限于篇幅,文章内只能简短提及使用原因以及简略使用方法,具体步骤还请参考本篇附带代码或百度。
渗透测试过程
糖小喵
05-18 306
信息收集--->web 漏洞挖掘--->webshell--->内网 内网渗透--->域渗透--->取域控权限 信息收集 可看--->信息收集
后端开发:服务器端技术与应用框架
服务器端技术是指用于开发和管理服务器端应用程序的一系列技术和工具。与客户端技术相对应,服务器端技术主要负责处理和存储数据,以及向客户端提供服务。 服务器端技术的主要特点包括: - **高性能处理**:服务器...
Spring Security基础篇】:打造安全的Java Web应用入门指南
[【Spring Security基础篇】:打造安全的Java Web应用入门指南](https://docs.spring.io/spring-security/reference/_images/servlet/authentication/unpwd/basicauthenticationentrypoint.png) # 1. Spring ...
web开发所需软件2019
01-25
1. **服务器端语言**:Node.js、Python(Django、Flask)、Ruby(Ruby on Rails)和JavaSpring Boot)是常见的后端开发语言或框架。 2. **数据库管理系统**:MySQL、PostgreSQL、MongoDB 和 Redis 是常用的关系型...
spring综合性利用工具-SBSCAN(三)
siu~
10-09 1584
SBSCAN是一款针对spring框架的渗透测试工具,可以对指定站点进行spring boot敏感信息扫描以及进行spring相关漏洞的扫描与验证。
探索SBSCAN: 一种高效、灵活的源代码扫描工具
gitblog_00040的博客
03-27 506
探索SBSCAN: 一种高效、灵活的源代码扫描工具 SBSCANSBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring框架漏洞扫描与验证的综合利用工具。 [SBSCAN is a penetration testing tool focused on the spring framework that ...
SpringBoot下构建良好的后端开发规范
七里香很美的博客
12-26 1021
本文将从最基础Java SpringBoot环境,编写一个最基础的接口。比在此基础上逐渐延申,最终形成一套标准的企业级后端接口开发规范。
SpringCloud微服务架构前后端分离项目实践
weixin_50196917的博客
06-07 5152
一款 Java 语言基于 SpringCloud、Vue、ElementUI、MySQL等框架精心打造的一款前后端分离框架,致力于实现模块化、组件化、可插拔的前后端分离架构敏捷开发框架,可用于快速搭建前后端分离后台管理系统,本着简化开发、提升开发效率的初衷,目前框架已集成了完整的RBAC权限架构和常规基础模块,前端Vue端支持多主题切换,可以根据自己喜欢的风格选择想一个的主题的个性化呈现的需
spring(五).基于Spring MVC的前后端分离开发
热门推荐
胆小鬼的技术庄园
11-02 1万+
好久没写博客了,哈哈哈! 时至今日,互联网技术发生了很大变化,新技术不断涌现,新的开发模式也不断出现,传统的jsp页面,前后端混合开发的模式已经被大家弃用,往往高效率的开发模式被大家所追捧。 众所周知,为了提高提高效率,我们的分工越来越明确,前端开发工程师专门写前端页面,后台开发工程师专门写服务器。前面的文章中从很基础开始将,一直都是jsp页面,前后端混合编程。当然了,为了跟上时代的步伐,我们也要...
完整的Spring-boot前后台入门程序
JandMin的博客
05-10 7763
package com.jandmin; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; /** * springBoot 启动类 * @author JandMin * */ @SpringBootApplication public class Application { public static
java后台开发--spring
NeverSayNever
06-27 1018
需掌握的东西:springboot + mybatis+logback(日志)+缓存+安全 redis(缓存用)mycat(分布式中间件)1、一个表存于多个库中;只是数据级;水平分于多个库的(字段);2、(读写分离)3、主从分离拿到一个知识点,什么场景,怎么用?springcloud中的zoo基于native开发的;ElasticSearch(搜索引擎),zookeeper,kafka,Rabbi...
为什么下一个5年java后台开发你该选择Spring Boot?
haoyifen的专栏
05-29 1万+
Spring是一个无所不包的一站式java开发平台. 但由于10多年的发展, Spring的体系太过庞大, 程序员无法掌握其历史, 同时复杂的依赖, 大量的配置, 复杂的部署给开发带来了很大的阻碍. Spring Boot基于约定大于配置的理念, 简化了依赖管理, 简化了配置, 简化了部署. 大大降低了使用Spring开发的难度, 大大加快了开发速度. 我认为必将是Java后台开发下一个5年的杀手级框架.
SpringMVC中的XXE漏洞测试
Exploit的小站~
05-10 1万+
SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAXhandler。 SpringMVC流行使用注解来快速开发,其中JAXB注解可以对JavaBea...
ubuntu20.04环境搭建
04-18
Ubuntu 20.04是一种流行的Linux操作系统,下面是搭建Ubuntu 20.04环境的步骤: 1. 下载Ubuntu 20.04 ISO镜像文件:你可以从Ubuntu官方网站下载最新的Ubuntu 20.04 ISO镜像文件。 2. 创建启动盘:将下载的ISO镜像文件写入USB闪存驱动器或者光盘,创建一个可启动的Ubuntu安装介质。 3. 安装Ubuntu 20.04:将启动盘插入计算机,并重启计算机。在启动过程中,选择从USB或光盘启动。进入安装界面后,按照提示进行安装。你可以选择安装Ubuntu作为独立操作系统,或者与其他操作系统双重引导。 4. 更新系统:安装完成后,打开终端(Ctrl+Alt+T),运行以下命令更新系统: ``` sudo apt update sudo apt upgrade ``` 5. 安装常用软件:根据你的需求,可以安装一些常用软件,比如文本编辑器、浏览器、开发工具等。你可以使用以下命令来安装软件: ``` sudo apt install 软件包名称 ``` 6. 配置开发环境:如果你是开发人员,你可能需要安装和配置特定的开发环境,比如Python、Java、Node.js等。你可以通过搜索引擎查找相应的教程来完成配置。 7. 安装其他软件:根据你的需求,你可能需要安装其他软件,比如图形界面工具、媒体播放器等。你可以使用Ubuntu软件中心或者命令行来安装这些软件。 8. 配置系统设置:根据个人喜好,你可以配置系统设置,比如桌面背景、主题、语言等。你可以在“设置”应用程序中找到这些选项。 希望以上步骤对你有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值