一个蓝队的思考复盘

最新推荐文章于 2024-04-11 14:34:52 发布
最新推荐文章于 2024-04-11 14:34:52 发布
阅读量789 收藏 3
点赞数 1
文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdzzdz123123/article/details/116883404
版权

参加完 hw 总结总结思考思考

限于水平 写到地方可能有限 还望各位师傅能多多指点

想到之前看的一篇文章 阿里云内部攻防演练中 攻击队进去之后升级了内网的一台电视机的版本导致攻击路径暴露 更是深刻感受到了一个优秀的蓝队要考虑到的方面太多了

一、发现风险

当接手这个项目的时候 我第一步先做的是信息收集

着眼点在以下几个方面

1、暴露在互联网中的资产

web页面——中间件、CMS、框架 的版本以及类型

对应的IP以及其C段–——易发现被遗忘的各类设备、以及忘关闭的测试环境

IP开放端口

2、暴露在互联网中的个人信息

手机号码、邮箱、qq、微信

3、向用户索要网络拓扑图、以及资产表

收集以上信息可以让我们有效的了解可能存在的被攻击面、发现暴露在公网但被用户遗忘的资产

二、收敛风险

收集以上信息之后 开始对风险面进行一个收敛 我将这一步理解为

(查漏 补缺 做记录 顺序从外到内)

0X01外网

1、查漏:属于自己的资产但被遗忘 以及 端口临时开启忘记关闭 设备配置错误使得外网可以访问 安全设备配置错误导致没将保护面覆盖到网站

首先 将步骤一中发现到的被遗忘的测试环境下线、完全不需要对外开放的各类设备改为内网才能访问

不需要对外的端口如各类数据库、ssh、ftp、smtp等端口 关闭或加白名单 白名单策略是否生效

检查各类安全设备是否在架构层面是否合理 能否覆盖到所有对外的网站 waf配置是否生效

网站的备份文件

2、补缺 (对必须暴露在外的设备和应用进行检查 是否存在漏洞)

页面

使用的CMS、中间件、框架、插件(Fastjson、jackson等rce漏洞)安全设备是否存在已知漏洞 及时打补丁

应用的渗透测试和漏洞扫描 发现应用层面的漏洞 发现后及时修补、来不及修上RASP

(在修补前可以通过配置waf 对该接口的访问进行记录 观察异常行为及时封IP)

3、记录

账号

​ 在演习开始前对 数据库、SSH、公司人员邮箱账号、各类硬件设备、网站系统的账号进行记录 同时检查是否存在弱口令 检查是否存在被遗忘的测试账号(这一步在本次hw中没有做的很好 但觉得这也是做好防守的一步)

功能点

​ 了解网站中的有哪些功能点,同时对网站系统中的登录、注册、上传等可能会存在漏洞的地方的日志进行收集并持续监控 因为这些在攻击队眼中 是一个很好的入手点 比如说一个上传身份证的地方 有人上传了无危害但后缀为txt文件 探测规则 waf不会记录 我们就需要从日志中发现该行为 重点关注该IP

至此外网的风险收敛完毕

0x02内网

内网部分我了解的不多 只能从知道的部分简单讲讲 这也是本次演习中做的不到位的地方 (因为菜)

从攻击者的角度来看 攻击手段主要是使用poc进行扫描和口令爆破

因此 应提前对内网中的设备进行漏洞扫描 以及端口扫描

重点关注445等高危端口是否开放以及是否打补丁

数据库、ssh、rdp等口令强度是否足够

0x03人员

人员安全意识

在演习开始前下发通告文件

第一步中收集到的暴露在互联网中的个人信息 要求其修改当前邮箱账户密码 防止社工库撞库

要求 对外服务的客服人员 不接收用户发送的文件 不点击用户发来的链接 发现有以上行为的用户 及时上报

员工OA或邮箱不使用 弱口令或复杂度够但较常规的密码如 !@#QWE123 防止密码喷洒攻击

在收到同事从邮箱中发来的文件时 先与同事进行核对 之后再打开 防止单个用户密码被猜解后 被扩大攻击面

三、过程中

一般来说 若能很好的收敛以上的风险面 ,在演练过程中 压力会小很多

同样我的经验还不够丰富 没有碰到过被打进到内网的情况

所以这在hw过程中和应急处置中 我考虑到的面还有限

这些都是很常规的东西了 在演练过程中 关注

1、外网、内网各类安全设备 有没有报警 及时封禁IP

2、上文中提到的各个功能点检测日志 关注有异常行为的ip 若网站有注册功能 这段时间注册的用户 可以重点关注一下

3、web服务器中有没有新账户的创建、有没有异常登录

四、处置

要做最坏的打算 当出现入侵后 怎样最大程度的减少损失

相当于应急响应了 很大一块内容 这里简单谈谈 经验不足 还望指点

发现服务器已经被入侵

切断网络 将服务器进行隔离 排查攻击路径 寻找有无新添加的用户 和新增加的文件 在重新上线前填补漏洞

通过沦陷机器留存日志、中间件日志、 以及与其互通的其他主机情况 重新判断被攻击范围

对互通机器进行全面检查

小结:

这次行动中 让我从甲方的视角考虑安全问题

风险面的收敛

整个业务运行时的监控

在攻击未发生时 如何从流量中发现潜在的攻击行为

有攻击行为时的如何遏制、处置、以及排查

公司人员的安全意识的培养

各类安全准则的制定到落地

就本次hw的加固措施还都是在已知攻击手段下 针对性的进行加固

若作为甲方 还要能够应对在面对未知攻击手段时 如何防御 如何将损失降到最低

以上的每一条都有很深的学问

xialuoxialuo
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
HW业务面试回顾总结
weixin_38823480的博客
09-27 1373
1、照常的自我介绍 2、你主要介绍一下你们做的第一个项目吧!从业务层面分模块介绍! 因为我负责的部分是前端数据库服务器,所以我在介绍项目的时候很大程度上都是在很细的方面介绍项目,然后面试官老师也是一直在提醒我要跳出自己的圈子,从功能模块介绍一下我们的项目,比如我一直再说的登录模块,要我从不仅仅局限于前台介绍一下项目,然后我就介绍了我们项目的前台架构到后台到数据库之间的联通,也是举登录模块的例子...
分析辅助工具箱BlueTeamTools
10-19
近几年网络攻击事件越来越多,各种变形的漏洞利用payload出现,让分析难度也越来越高。此款工具重点解决分析工作中的一些痛点,比如让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理...
护网HW面试,以及HW全面熟悉
分享Python知识
09-22 682
护网HW面试,以及HW全面熟悉
2024HVV | 护网总结报告模板与实例
Python_0011的博客
02-17 1197
5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次,平台封禁恶意IP地址XX余个,公司邮箱账户被尝试爆破XX余个,均未成功,XX平台业务账户被尝试暴力破解XX个,成功X个,VPN账号被尝试暴力破解X个,未成功,发现XX公司官网网站有异常IP入侵,发现XX平台、XX平台有异常IP入侵,采取封禁IP措施,对XX平台网站应用系统弱口令问题进行整改。编制X份防守成果报告,经演戏指挥部确认,得分XX分。XXXX平台作为防守方,成功防御了XX的攻击,没有被攻破,同时发现并处理了XXXX,经XX确认,得分X分。
2023年网络安全HW攻防演练防守九份总结分享
yuanlirong22的专栏
08-23 2661
今年的HW已经接近尾声,小伙伴们开始准备总结报告了,这时需要参考很多报告模板,所以此文章主要是模板,帮大家解决护网行动最后一公里路程,早点休息。
【经验分享】2023护网HW行动(非常详细)从零基础入门到精通,看完这一篇就够了。
m0_61869253的博客
09-06 3803
今年的护网又开始摇人了,不知道大家有想法没?去年的护网结束之后,朋友圈感觉是在过年,到处是倒计时和庆祝声。看得出来防守方们7*24小时的看监控还是比较无奈的。本次盘基于我对整个护网行动的观察总结而来,仅代表我个人观点,如有不妥之处,欢迎交流。经常有人问,是攻击厉害还是防守厉害?经过我这些年的思考,还是没有得出一个确切的结论。有时候觉得攻击厉害,因为攻击可以在非特定时间随意发起,出其不意攻其不备,甚至手持0day指哪打哪,毕竟木桶原理决定着攻破一处即可内部突袭;
HW攻、防、体系建设与盘总结
12-22
紫实战攻防演习手册、护网方案简介、防守基础安全指引v5.4、红视角下的防御体系构建、视角下的防御体系突破、一次攻防实战演习盘-君哥、2021HW参考_防守方经验总结、2021HW行动红作战手册
思路总结-理论篇
千寻的博客
08-29 705
文章目录0x01 信息收集0x02 渗透测试0x03 加固0x04 研判日志安全设备木马后门流量分析应急响应0x05 溯源0x06 反制 0x01 信息收集 whois查询 子域名查询 DNS/子域名信息查询 端口扫描 网络空间搜索引擎 扫描敏感目录 roots.txt 网站备份压缩文件 git/svn导致文件泄露 ds_store导致的文件泄露 web-inf/web.xml泄露 其他源码泄露 特定组件的路径 指纹识别 SSL/TLS证书查询 资产发现 根据端口号进行探测 网络拓扑 0x02
方防守、HW总结报告模板
新广州人的网络安全
09-24 1万+
文章目录护网总结背景及概述一、前期准备二、组织实施(一)加强组织协调(二)安排重点值守(三)开展防守工作三、威胁汇总及整改情况(一)XX平台威胁整改情况(二)非目标系,统威胁整改情况四、存在问题(一)XX平台系统此次攻防演习过程中,存在以下问题(二)公司存在的问题五、整改计划(一)基础运维方面(二)安全防护方面(三)安全监测方面(四)应急处置方面六、总结 ##背景: HW行动,中间的心酸曲折与案例回顾本来想写点,但总结回顾相关文章挺多了,不喜欢重。从前天开始就有小伙伴已经开始接总结报告了,向我寻求一份模
hw初级面试总结
G208_522的博客
05-27 1万+
1、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。 分类:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,反之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大
护网行动防守小总结
热门推荐
Julia & Rust & Python
08-15 1万+
护网行动防守小总结 安联智库WTX 安联智库 今天 0x00 前言 首先强调下,下文所有的思路均是”因地制宜”,根据客户业务实际情况开展。这次HW是跟某国企合作一块进行安全防御,之前一直是做的乙方的安全服务,第一次切换到防护角色。 首先,整个项目分为两个阶段: 护网前 护网中 0x01 护网前 护网前的工作相当重要,国企的安全工作想必各位都有所了解这里就不多说了,如何在这么多的时间内尽量做到全面安全覆盖实在是太考验防守团了。 前期的准备工作主要分为两个部分: 1、自检 2、加固 自检是最快发现问题的手段,
2023年HW面试题
04-26
作为一个新手小白,主要做的就是坚守岗位,监测与甲方合作的安全厂商的一些监测设备,进行日志分析、IP封堵等,其实这些都没有什么技术含量,懂web安全和渗透测试基础的基本一看就会熟悉了,当然,部分厂商会对自己...
对抗——手册.pdf
04-15
上面都是按照一个个大项来进行,其实还有的红是按项目来分,比如说xx支付业务红对抗,给你域名或者ip,让你自由发挥,不限方法拿到目标flag(例如xx支付的数据或者机器权限等),这个过程不要求测的全,以...
2023HW面试题汇总
最新发布
04-26
1.设备误报如何处理? 1.来自外网的误报说明安全设备需要进行策略升级,不需要处置。 2.如果是来自内网的误报可以和负责人协商一下看能不能解决。 2.如何区分扫描流量和手工流量? 扫描流量数据量大,请求流量有规律...
02-12
2023年网络安全HW攻防技术总结(珍藏版)
dzqxwzoe的博客
03-08 2038
2022年护网正当时,相信不少网安人都已经进入了状态。我们都知道,是国家应对网络安全问题所做的重要布局之一。至今已经是7个年头了,很多公司在这时候人手不够,因此不得不招募一些网安人员来参加护网。扮演攻击的角色,扮演防守、溯源的角色,紫当然就是甲方了。参与护网,尤其对安全新人和未毕业的同学来说,是相当,既能第一手接触安全技能,又能挣一笔不菲的收入,关键是对以后入职有很大帮助。广州到北京再加200,日薪2000元红的价格一般是不相等的,红要高于,且初级<中级<高级。红
2024国护护网hw面试经历全记(推荐新手入门看)_护网经历简历(2)
2401_83974020的博客
04-11 1673
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
浅析一
weixin_43977912的博客
05-10 2522
第一章 什么是 ,是指网络实战攻防演习中的防守一方。 一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守伍。的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。 实战攻防演习时,通常会在日常安全运维工作的基础上,以实战思维进一步加强安全防护措施,包括提升管理组织规格、扩大威胁监控范围、完善监测与防护手段、增加安全分析频率、提高应急响应速度、
网络安全学习笔记——实战攻防
just do it
11-18 1959
一般采用技术手段发现对方在系统,技术,人员,管理及架构上的隐患和薄弱环节。其目标是尽可能找出系统中存在的所有漏洞,所以人员需要全面的攻防能力。在攻击过程中要求获取实际权限或数据,但不限手法,可通过社工手段达到攻击目的。但所有的技术使用必须遵照国家的相关法律法规。
2022护网排名
07-27
护网排名是指在网络安全竞赛或演练中,参与者根据其在攻防对抗中的表现和得分进行排名。根据提供的引用内容,没有提到2022年的护网排名。因此,无法提供关于2022年护网排名的具体信息。 #### 引用[....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值