1、安全渗透测试流程:
受理、准备、实施、评估、结题。
2、应急事件处理流程一般:
事件报警、事件确认、应急预案、事件处理、事件报告、工作总结
3、安全事件处理内容:
准备、检查、抑制、根除、恢复、总结。
4、安全事件报告内容:
事件发生日期、参加人员、事件类型、事件涉及范围、现场记录、损失和影响、处理过程、经验和教训。
5、安全取证:
现场保护、识别证据、传输证据、保存证据、分析证据、提交证据。
能作为证据的有:
文件、日志、磁盘介质、网络连接记录、用户、系统进程、系统状态
6、核心业务系统中断和硬件设备故障启动一级:
启动备用设备,判断故障点
如果是防火墙,把最后一次备份配置导入恢复
如果是交换机启用备用设备
如果是上级部门网络故障,报上级部门,并快速恢复网络
7、门户网站受到篡改和攻击时启动一级:
断网并停止系统运行
把被攻击的主机隔离出来,保护现场
网站专业人员进行恢复
追查攻击来源,报告上级部门并报警
8、门户网站和邮件受到黑客攻击时启动二级:
断开外网连接
用防火墙对攻击来源封堵
记录连接情况、保存日志
向上级门报告和报警
业务恢复
9、当门户网站和邮件受到拒绝服务攻击时启动二级:
用防火墙对攻击来源封堵
改DNS域名解析,对拒绝服务攻击分流
记录连接情况、保存日志
以上步骤不能解决时断网,再报告上级部门并报警
业务恢复
10、外部电源中断启动二级:
手动切换备用线路
查断电原因
联系相关部门恢复供电
停电一小时内启动ups后备电源
停电超过一小时的关闭所有设备
11、网站安全监测内容:
网站漏洞检测:操作系统、数据库、应用系统、web软件等漏洞
网页挂马检测:通过爬虫和恶意代码检测
ICP备案检测:通过首页看网页icp备案信息
网站合规性检测:用关键字检索网页有没有敏感内容
网站性能检测:通过日志分析网站的性能
网站DNS检测:域名和IP对应关系
网站入侵检测:ids和ips
交换机安全威胁:
口令威胁
漏洞威胁
MAC地址泛洪
arp欺骗
路由器安全威胁:
口令威胁
漏洞威胁
ddos攻击
路上协议威胁
sql注入分类:
数字型和字符型
sql 注入防御方法:
1、把输入的值当变理参数使用,不直接当sql语句执行
2、对输入的参数进行格式判断验证,例如用户名有特殊字符的不行
3、限制数据库的权限,最小权限设置
4、对输入的特殊字符进行转义,输入的不直接执行执行sql语句,先转义
数据库的威胁:
授权误用、逻辑推导、伪装、旁路控制、隐蔽信道、SQl注入、口令破解、硬件物理攻击。
文件上传漏洞防御:
1、对上传的文件类型判断
2、对上传的文件限制执行权限
3、文件上传后对其重命名再执行
4、文件上传大小限制
CSRF请求伪造攻击防御:
1、同步器令牌模式
防范 CSRF 攻击的主要和最全面的方法是使用同步器令牌模式。 此解决方案是为了确保除了我们的会话 cookie 之外,每个 HTTP 请求还需要在 HTTP 请求中存在一个称为 CSRF 令牌的安全随机生成值。
提交 HTTP 请求时,服务器必须查找预期的 CSRF 令牌,并将其与 HTTP 请求中的实际 CSRF 令牌进行比较。 如果值不匹配,则应拒绝 HTTP 请求。
2、在会话 Cookie 上指定同一网站属性
防止CSRF攻击的一种新兴方法是在cookie上指定SameSite属性。 服务器可以在设置 Cookie 时指定属性,以指示来自外部站点时不应发送 Cookie
在我们的会话 Cookie 上设置该属性后,浏览器会继续发送来自银行网站的请求的
XSS攻击防御:
对提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容;然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。
1、对输入和URL参数进行过滤(白名单和黑名单)
2、将容易导致XSS攻击的半角字符替换成全角字符
3、对所有要动态输出到页面的内容,通通进行相关的编码和转义。
cc攻击和ddos攻击区别:
攻击对象不同:
DDoS 是针对 IP 的攻击。CC 攻击针对的是网页。
危害不同:
DDoS 攻击危害性较大,更难防御。CC 攻击的危害不是毁灭性的,但是持续时间长。
门槛不同:
DDoS 攻击门槛高,攻击者一般需要在攻击前搜集被攻击目标主机数目、地址情况、目标主机的配置性能等资料,盲目攻击可能导致效果不佳。CC 攻击门槛低,利用更换 IP 代理工具即可实施攻击,且目标比较明确,黑客水平比较低的用户也能进行。
流量大小不同:
DDoS 攻击比 CC 攻击所需要流量更大,且 CC 攻击有时不需要很大的流量。
windows加固:
及时打补丁修复漏洞
停止和卸载不必要的服务和软件
程序定期升级
修改配置和权限
去除恶意攻击程序
安装专业杀毒软件和防护软件
用户最小特权
用系统自带的windows defender安全中心防护
删除默认共享bat文件放在开启菜单开机启动
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
关闭默认共享:
Hker_local_machine\system\currentcontrolset\services\lanmanserver\parameters,新建立项AutoShareServer值为0
开启审核策略:
本地案例策略审核策略中审核所有的成功和失败操作,记录信息可在事件查看器windows日志中查看。
改TTL值:
Hker_local_machine\system\currentcontrolset\services\Tcpip\parameters,新建立项defaultTTL 随便赋值,防黑客ping获取TTL值来识别系统。
关掉不必要的服务:
COM+Event system
computer browser
distrbuted link tracking client
routing and remote access
停用guest用户
重命名administrator账号
创建低权限的administr账号
限制用户登陆数量
开启账户锁定策略
windows server加固:
身份鉴别、访问控制、案例审计、资源控制、剩余信息保护、入侵防范、恶意代码防范。
1、本地安全策略-账户策略-密码策略-密码必须符合复杂性要求-属性:启用密码必须符合复杂性要求
2、本地安全策略-账户策略-密码策略-密码长度最小值-属性-设置最小密码长度
3、本地安全策略-账户策略-密码策略:查看是否密码最长使用期限设置为90天
4、本地安全策略-账户策略-密码策略:强制密码历史记录为5
5、本地安全策略-账户策略-账户锁定策略-账户锁定阈值小于等于6
6、本地安全策略-账户策略-账户锁定策略-复位账户锁定计数器30分钟
7、本地安全策略-安全选项-交互式登陆:提示用户密码到期前小于14天
8、本地安全策略-安全选项-域成员:禁用更改机器账号密码。
9、本地安全策略-安全选项-网络访问:不允许枚举SAM账号和共享枚举
10、本地用户和组:检查是否有共享账户
11、本地安全策略-用户权限分配-从远程系统强制关机:设置为只允许administrorars组
12、本地安全策略-用户权限分配-关闭系统:只允许administrator本地关机
13、本地安全策略-用户权限分配-取得文件或其它对象的所有权:设置只指派给administrator组
14、本地安全策略-用户权限分配-允许在本地登录:指定特定用户
15、本地安全策略-用户权限分配-从网络访问些计算机:设置为特定用户
16、关闭默认共享:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters\下,增加REG_DWORD 类型的AutoShareServer键,值为0
17、本地安全策略-用户权限分配-允许在本地登陆-指定特定用户
18、计算机管理 -系统工具-共享文件夹,查看所有的共享文件夹,只将权限给指定用户,把everyone删除。
19、windows time服务调为启动
20、本地安全策略-安全选项-网络安全:启用,开启本地超时注销。
21、本地安全策略-安全选项-microsoft网络服务器当登陆时间用完时:启用,远程登陆超时退出。
22、本地安全策略-安全选项:交互式登陆不显示上次用户名:启用
23、本地安全策略-安全选项:关机 清除虚拟内存页面文件:启用
24、本地安全策略-审核策略:下面所有的每项把成功和失败都勾上,都记录。
25、本地安全策略-账户策略:用可还原的加密码来储存密码:禁用。
26、架设wsus服务器定期打补丁。
27、控制面板-系统-高级选项卡-性能-设置:数据执行保护:仅为基本windows操作系统程序和服务启用DEP。
启用syn攻击保护:HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters下:
SysAttackProtect=2、EnableDeadGWDetect=0、KeepAliveTime=300000、DisableIPSourceRouting=2、TcpMaxConnectResponseRetransmissions=2、TcpMaxDataRetransmissions=3、PerformRouterDiscovery=0
bios进入设置密码,关闭光盘和U盘启动。
账号和口令安全:停guest、停止不必要的用户、administator改名,再建立一个administator后给普通权限,提高口令的复杂度,设置屏目保护口令,不让登陆界面显示上次登陆的用户名:
安装最新补丁、网络安全增强:
安装防火墙等每三方安全防护软件。
linux系统加固:
主要五个方面:身份鉴别、访问控制、安全审计、资源控制、入侵防范
是否除root之外的UID为0的用户:
awk -F ‘:’ ‘($3 == 0){print $1}’ /etc/passwd
用户口令设置:
vim /etc/login.defs
以下图意思是:新建立用户密码最长使用天数、最短使用天数、到期前提前多少天提醒。
检测是否存在空口令:
awk -F ‘:’ ‘($2 == “”){print $1}’ /etc/passwd
设置账户密码强制复杂度:
vim /etc/pam.d/system-auth
密码至少8位、三种格式要有
登陆失败次后用户锁定策略
增加2行:
umask安全检测:
设置以下文件umask=027
/etc/profile
/etc/csh.login
/etc/csh.cshrc
/etc/bashrc
重要文件权限设置:
/etc/rc.d/init.d/
/etc/inetd.conf
/etc/passwd
/tmp
/etc/shadow
/etc/group
/etc/security
/etc/services
/etc/rc*.d
建议都给750
写个脚 本天天自动运行,查系统中未授权的suid和sgid
查是否存在任何用户都可以写入的目录:
日志记录调整,记录所有的日志
vim /etc/rsyslog.conf
history时间戳设置:给history加上操作时间每行
vim ~/.bash_profile
设置登陆超时:
vim /etc/profile
添加TIMEOUT=180 三分钟
改不让root用户远程登陆:
vim /etc/ssh/sshd_config
PermitRootLogin no
远程连接安全配置:
查系统中有没有.rhosts文件
find / -name .rhosts
改ssh默认端口:
vim /etc/ssh/sshd_config
linux加固具体操作:
及时打补丁、最小化网络服务、设置开机保护口令、弱口令检测、禁用默认账号、用SSH安全连接、用TCP_wrapper增加访问控制、构建linux防火墙、MD5sum检测文件完整性、查lkm后门(Loadable Kernel M o d u l e )、系统安全监测。
linux加固参考:
查看/etc/passwd和/etc/shadow是否有多余的用户
检查弱口令
设置口令过期时间,定期更换密码
设置口令登陆失败次数锁定机制
禁止root用户远程登陆系统
启动ipatables防火墙,禁止开放无应用的用端口。
修改默认的ssh端口22
配置日志功能,设置日志要记录所有的危险操作和登进登出记录
禁止无用的服务inetd/xinetd服务
建议关闭的服务:chargen、chargen-udp、cups-lpd、cvs、daytime、daytie-udp、echo、echo-udp、fam、netstat 、rsync、servers、services、systat、time、time-udp
停用nfs服务
禁止无关启动项如snmp服务,如果需要要改snmp community改默认名称和需要加密访问。
配置防火墙,只允许远程主机访问本机的 80 端口
iptables -F
iptables -X
iptables -A INPUT -p tcp --dport 80 -j accept
iptables -A INPUT -p tcp -j REJECT
重要文件改小权根或用chattr +i 进行保护
禁止不必要的suid:
开机菜单加口令保护
设置口令长度和最使用时间:
限制远程访问:
用户超时注销:
注销时删除历史命令记录:
12、网络安全分析步骤:
一、资识别,确定价值。
二、威胁识别,计划威胁的出现频率。
三、脆弱性识别,对脆弱性的严重程序赋值。
四、根据威胁和脆弱性的难易程序来确定发生的概率
五、根据威胁和脆弱性对资产损失价值评估。
六、计算安全事件发生后对组织的影响,也就是网络安全风险值。
网络安全风险分析:是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的 分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级。
网络安全风险计算方法2种:相乘法和矩阵法
相乘法:安全事件发生的可能性X安全事件造成的损失=风险值
矩阵法:二维矩阵来识别可能性和安全事件的关联性。
脆弱性严重程度X威胁发生的频率结果再根号=事件发生的可能性。
脆弱性严重程度X资产价值结果再根号=安全事件造成的损失
事件发生的可能性X安全事件造成的损失再结果根号=风险值
13、入侵检测IDS部署步骤:
根据业务要求,确定IDS要监测的对象或网段。
根据对象或网段制定对应的IDS策略
根据已确定的对象或网段安装IDS控制器
根据IDS策略选择结构类型
配置入侵检测
验证策略配置是否正确
运行和维护IDS
14、防火墙部署方法:
根据业务划分不同的安全区域
针对不同的安全区域设置访问点
不同的区域访问制定访问策略
根据边界访问策略,采用合适的防火墙技术
配置实现对应的安全策略
测试边界策略是不是正常
运行和维护防火墙
15、ddos攻击步骤:
扫描大量主机,寻找可以攻击的主机。
攻击有漏洞的主机,并获取控制权。
在已攻破的主机上,安装客户端程序。
利用已攻击成功的主机,对其它主机进行扫描和攻击。
当攻击成功的主机的数达到一定的数量后,主控制端控制这些主机发起对特写的目标主机进行攻击
跨站攻击: 反射型和存储型
WAF 功能:
IP黑白名单
0day攻击检查
爬虫检查
cc攻击检查
注入攻击检查
跨站攻击检查
敏感言论阻击
tomcat安全设置:
删除两个示例文件:docs和examples
对控制台http://ip:8080/manager/html 进行密码复杂度更改
打开tomcat_home/conf/tomcat-users.xml
防止其它恶意用户远程telnet到8005发送shutdown关闭tomcat:
vim tomcat_home/conf/server.xml
防止利用报错对tomcat进行探测:
vim web.xml
listings
false
禁用PUT DELETE等危险的HTTP方法
vim web.xml
改readony的param-value值改为false
防止用telnet IP 8080 看到tomcat的信息:
vim server.xml
改catalina.jar 让其看到是IIS假的服务器
catalina.jar\org\apache\catelina\util\serverinfo.properties文件下参数:
server.build=IIS
server.number=6
apache安全配置具体方法:
sql server防护:
默认自动或手动安装使用windows认证
分配强壮的sa账号密码
设备服务账号
清除临时目录
激活审查事件日志
减少过大的权限分配
禁用ad hoc查询
设置操作系统访问控制列表
清除危险的扩展存储过程
对服务进行监控和维护
攻击演示:
mysql安全配置:
oracle安装注意事项:
oracle的安全配置:
9876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
