解决:
- Web服务器&应用服务器差异性
- WAF防火墙&安全防护&识别技术
- 蜜罐平台&安全防护&识别技术
- 端口扫描-应用&协议
- WAF识别-分类&识别
- 蜜罐识别-分类&识别
-
Web服务器
Apache、Nginx、IIS、lighttpd等 -
应用服务器:
Tomcat、Jboss、Weblogic、Websphere等 -
数据库类型:
Mysql、SqlServer、Oracle、Redis、MongoDB等 -
操作系统信息
Linux、windows等 -
应用服务协议信息:
FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等
➢识别-Web服务器-请求返回包
可在F12NetWork中查看Response Header 的Server
➢识别-应用服务器-端口扫描技术
无法从请求返回包中直接查看服务器,需要通过端口扫描查看开放哪些端口来确认是什么应用服务器
常用工具: Nmap(老牌),Masscan(新兴,速度快),网络空间(无需扫描)
主动收集: 通过一些工具或者流量发送给对方,再通过对方的回应来判断信息
被动收集: 通过网络空间或其他第三方信息获取;
通过端口扫描我们可以获得:
- WEB中间件探针
- 应用中间件探针
- 数据库类型探针
- 其他服务协议探针
Nmap中有三种状态:
open:开启
close:关闭
filtered:可能开了,但是受到例如防火墙这类的保护,依旧无法访问
Nmap:
下载地址
学习参考
Masscan:
gitHub地址
masscan编译参考
masscan学习使用参考
➢识别-WAF防火墙-看图&项目&指纹
- 概念
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall 简称WAF)。利用国际上公认的一种说法:Web应用防火墙通过执行一系列针对Http/HTTPS的安全策略来专门为Web应用提供保护的一款产品 - WAF分类
- 云WAF:百度安全保、阿里云盾、长亭雷池、华为云、亚马逊云等(价格贵,中大型企业)
- 硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品(中大型企业,政府,学校等)
- 软件WAF:宝塔,安全狗,D盾等(小中型企业使用、非法或者没有经济实力的公司使用)
- 代码级WAF:自习写的waf规则,防止出现注入等,一般是在代码里写死的
-
安全性:云WAF > 硬件WAF(可扩展性差) > 软件WAF
-
看图识别:
存在各个厂商WAF拦截页面;拦截页面,identywaf项目内置
-
识别项目
安装:python setup.py install
使用:python main.py "IP地址"
查看可识别的WAF:python main.py -l
python identYwaf.py
➢识别-蜜罐平台-人工&网络空间&项目
- 蜜罐概念:
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此我们有必要站在攻击者的角度钻研蜜罐识别的方法。 - 分类:
根据蜜罐和攻击者之间进行交互程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐;根据蜜罐模拟的目标进行分类,可以分为:数据库蜜罐,工控蜜罐,物联网蜜罐,Web蜜罐等 - 相关蜜罐产品
- 项目识别
quake.exe init apikey值 使用时需要保证Quake上有积分
quake.exe honeypot 目标 --识别命令
- 人工识别
- 端口多且有规律性
- Web访问协议就下载
ssh mysql应用蜜罐,搞一个可以爆破的地方
爆破蜜罐时会记录攻击者的账号密码;
账号密码会采用web jsonp去传输(web功能);
转发跳转 jsonp去传输;
当你去web http去访问这个端口,采用协议去下载文件; - 设备指纹识别