网络安全

随着移动设备涌入企业，物联网(IoT)的扩张，以及网络罪犯数量和复杂程度的增长，许多安全专家认为零信任是抵御不断变化网络和数据安全威胁的较好方法。 网络安全漏洞往往会在最不可能的地方被发现。例如，彭博商业周刊(BloombergBusinessWeek)中的一个案例，在酒店房间的窗帘电动遥控上有一个互联网端口，可以访问酒店的内部计算机系统。网络安全承包商在一次安全审计中发现了该漏洞。这个案例说明了：在当今的互联世界中，后门漏洞几乎随处可见。 什么是“零信任”安全 “零信任”一词是由Forrester Research的分析师在2013年提交给国家标准与技术研究所(NIST)的一份报告中提出的，该研究所是美国政府网络安全方案的一部分。因为移动和大数据使‘建造更坚固的墙’成为一场昂贵的闹剧，无法充分保护网络安全，Forrester提出了零信任的概念。 零信任指的是一种网络设计理念，“要求通过态势感知和强大的漏洞事件管理能力，将安全性构建到IT架构的DNA中。”简言之，零信任是将“信任但需要验证”方法转化为“验证而不信任”。 三步构建零信任安全网络 根据Forrester的说法，组织应该“从内到外”理想地重建网络，从“我们需要保护的系统资源和数据存储库”开始。但是，重建网络可能需要很长的时间。下面三个步骤，您可以将零信任安全原则引入已有网络中。 1. 加强身份验证

导读 最近，网络安全技能差距的热门话题流传开来。技能差距经常被紧急讨论，可以看出它在实践中的作用是很大的。但信息安全是一门广泛的学科，所以在谈论“技能差距”时需要更具体。 最近，网络安全技能差距的热门话题流传开来。技能差距经常被紧急讨论，可以看出它在实践中的作用是很大的。但信息安全是一门广泛的学科，所以在谈论“技能差距”时需要更具体。有专家表示，真正的人才短缺是在实践领域，比如应用程序安全和DevSecOps(一种全新的安全理念)。 《福布斯》发表了一篇文章，称网络安全技能差距是一场“行业危机”。报告指出，随着网络攻击变得越来越严重、越来越普遍，企业越来越需要网络安全专业人士。但由于技能匮乏和需求旺盛，保安工作的薪水很高，这意味着企业不仅很难找到合适的人，还必须支付高薪才能找到合适的人。 所有这一切都意味着网络犯罪分子正在大干一场，正如这篇文章所阐述的那样。攻击者利用准备不足的公司，因为他们知道这些公司很可能会成功。很明显，为了客户和企业的利益，这个行业确实需要改进。要做到这一点，我们需要优秀的人才，拥有正确的技能。该行业早就知道这些人不容易找到——他们的数量根本不够。造成这种短缺的原因有很多，值得记住的是，这不是最容易工作的行业;工作的压力意味着心理健康问题很普遍。 然而，我们需要“弥补技能差距”是不够的。我们需要更深入地研究这个差距究竟在哪里，它是如何产生的

最近，网络安全技能差距的热门话题流传开来。技能差距经常被紧急讨论，可以看出它在实践中的作用是很大的。但信息安全是一门广泛的学科，所以在谈论“技能差距”时需要更具体。有专家表示，真正的人才短缺是在实践领域，比如应用程序安全和DevSecOps(一种全新的安全理念)。 《福布斯》发表了一篇文章，称网络安全技能差距是一场“行业危机”。报告指出，随着网络攻击变得越来越严重、越来越普遍，企业越来越需要网络安全专业人士。但由于技能匮乏和需求旺盛，保安工作的薪水很高，这意味着企业不仅很难找到合适的人，还必须支付高薪才能找到合适的人。 所有这一切都意味着网络犯罪分子正在大干一场，正如这篇文章所阐述的那样。攻击者利用准备不足的公司，因为他们知道这些公司很可能会成功。很明显，为了客户和企业的利益，这个行业确实需要改进。要做到这一点，我们需要优秀的人才，拥有正确的技能。该行业早就知道这些人不容易找到——他们的数量根本不够。造成这种短缺的原因有很多，值得记住的是，这不是最容易工作的行业;工作的压力意味着心理健康问题很普遍。 然而，我们需要“弥补技能差距”是不够的。我们需要更深入地研究这个差距究竟在哪里，它是如何产生的，以及我们能做些什么来弥补它。有学者认为，真正难以找到的人是具有实践经验的专业人士，他们能够胜任投入应用程序安全和DevSecOps团队。另外，这些领域可能是你实际需要动手去做的

年度网络攻击大调查：SSH端口最易受网络攻击，HTTPS其次！ https://zhuanlan.kanxue.com/article-9431.htm 一般来说，人们会通过检查端口、更新设备等多种措施来预防大多数网络攻击威胁。 然而在网络攻击事件中通常会有一定的规律。 这次调查报告相对权威，其样本用户超过4000，分析了超过5000次攻击事件。 顶级端口攻击率高 报告指出，黑客用于执行攻击的端口前三位是SSH、HTTP和HTTPS，而这些恰恰是受人们信任的顶级端口。 这些攻击事件的出现频率很高，超过65%。由于它们需要开放通信，无论是安全通信还是纯文本都会遭到攻击。 排在第四位的是微软远程桌面协议（RDP）端口。今年多个RDP漏洞造成远程执行攻击引人注意，例如Cve-2019-1181, cve-2019-1182 and cve-2019-0708。 其中被指出同样具有严重风险的端口是文件传输协议（FTP - 20，21）。在打印机、摄像机和不间断电源上发现了攻击者利用服务器漏洞的事件，而这些服务器占被调查的FTP服务器的三分之一。 作为基本网络安全观，所有网络端口都应进行纵深防御并在每台主机上安装防火墙，并监控和过滤端口流量。此外，定期进行端口扫描和渗透测试也是确保安全和检查漏洞的最佳措施。 过时系统和弱加密软件 此外，其他破坏安全性的漏洞还存在于一些弱加密和过时的软件中

前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨，从最低3000美元上涨至7月份的14000美元，涨幅达300%，巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控，发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底)，以累积感染量定义木马活跃度，下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势，以期能够给企业安全防护带来启示。         家族名         简介         平台         攻击方式 ddgs 一个Go语言实现的挖矿僵尸网络，最早曝光于2017年10月。 Linux SSH、Redis爆破 MinerGuard 一个Go语言实现的挖矿僵尸网络，2019年4月开始爆发 Windows、Linux双平台 SSH、Redis、Sqlserver爆破、多种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等) kerberods 2019年4月开始爆发的挖矿僵尸网络 Linux SSH爆破、Redis爆破、Confluence RCE等Web服务漏洞 kworkerds rootkit挖矿蠕虫，最早曝光于2018年9月 Linux、Windows双平台 ssh

　　网站劫持:是指当用户打开一个网址的时候，出现一个不归属于网站范畴内的一个广告页面，或者是直接就跳转到某一个不不是这个网站所属的一个网站的分页面。 　　网站劫持问题都是如何检测的？ 　　IIS7网站监控 　　测网站是否被劫持、DNS污染检测等信息。 　　通常情况下，网站域名被劫持会出现以下几种情况： 　　1、被浏览的网站域名泛解析 　　2、用户浏览的浏览器被劫持 　　(网站浏览器域名劫持，就是当你打开一个浏览器进行网页内容浏览的时候，这个网页会自动出现一个浏览器的广告新闻，实际上浏览器本身没有投放任何的广告，这个是被别人恶意利用劫持了浏览器，只要用户打开浏览器就会蹦出来这个广告） 　　3、黑客RQ，把用户所浏览的网站给QR后植入一些木马程序。 　　这个就是我们平时所说的黑客RQ，挂马，把你的网站植入一些寄生虫病毒等，正本想进入“李逵”的网站，效果进入了“李鬼”的网站，如：正本输入的是域名却跳转到www域名上了，那么这个就是被黑客RQ了，不过也有很多人，利用这一点来做灰色优化。比方说当你搜索“北京防火门”，那么就会出现很多类似的网页，而这些并不是网站本身所带有的页面，很多都是黑客RQ这个主站以后，在他的上面挂上了木马病毒，寄生虫病毒等，这个东西不会长久，但是会不停的繁衍更新，可能你搜索完这次，展现给你，下次你在搜索，它又在这个网站的另外一个页面出现。 　　4、运营商的劫持 　

　　如何检测网站是否被黑？ 　　IIS7网站监控 　　检测网站是否被劫持、域名是否被墙、DNS污染检测等信息。 　　如何保护域名免遭黑客攻击？ 　　由于许多网站和域名没有得到充分的保护，域名黑客攻击是一个快速而简单的过程。通常情况下，域名所有者不会时刻查看网站，直到几个月后才意识到被黑客入侵。在域名遭到黑客入侵的情况下，所有者通常可以做得事情很少。 　　为了避免由于域名攻击而造成的业务压力和头痛，您可以通过以下7种方式来保护您的域名： 　　1.注意查看可疑电子邮件：留意域名注册中的电子邮件，因为您的网站已被入侵，因此需要您登录。 　　2.投资额外的安全预防措施：与您的域名注册商注册多步验证。额外的步骤会让黑客更难访问您的信息。另外，考虑在您的域名上放置“注册商锁定”，这需要您“解锁”才能将其传输。有了这个，黑客将需要您的电子邮件地址和您的注册商帐户。 　　3.查看注册商：该注册商在输入多个不正确的密码后会自动锁定，并且不会向任何电子邮件地址发送登录凭据。同时支付更多费用以获取您的联系信息，包括隐藏公众视角的电子邮件。 　　4.保持细致的记录：当您的域名被盗时，如果您可以随时提供所有权信息，例如注册和账单记录，那么它有助于起诉或恢复您的域名。 　　5.选择一个企业级域名注册表：小企业的小领域最容易受到黑客的攻击，因为他们往往不像大公司那样拥有高度的安全性

2019年10月末，白帽汇安全研究院发现网络上出现针对Apache Solr服务器的远程代码执行漏洞。该漏洞是由于Velocity模板存在注入所致（Velocity是一个基于Java的模板引擎，可让使用者通过模板语言引用Java中定义的对象）。攻击者在知道Solr服务器上Core名称后，先把 params.resource.loader.enabled 设置为true（就可加载指定资源），再进行远程执行命令。 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。Apache Solr 中存储的资源是以 Document 为对象进行存储的。每个文档由一系列的 Field 构成，每个 Field 表示资源的一个属性。——百度百科 概况 目前FOFA系统最新数据（一年内数据）显示全球范围内共有9155个Solr服务对外开放。美国使用数量最多，共有3427个，中国第二，共有1418个，德国第三，共有870个，爱尔兰第四，共有449台，法国第五，共有312个。 全球范围内Solr服务分布情况如下（仅为分布情况，非漏洞影响情况） 中国大陆地区浙江省使用数量最多，共有742个，北京市第二，共有263个，广东省第三，共有63个，江苏省第四，共有41个，上海市第五，共有28个。 危害等级 严重 漏洞复现

0x00 漏洞简介 Solr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通过Http Get操作提出查找请求，并得到XML格式的返回结果。 0x01 漏洞概述 该漏洞的产生是由于两方面的原因： 当攻击者可以直接访问Solr控制台时，可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。 Apache Solr默认集成VelocityResponseWriter插件，在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版，默认设置是false。 当设置params.resource.loader.enabled为true时，将允许用户通过设置请求中的参数来指定相关资源的加载，这也就意味着攻击者可以通过构造一个具有威胁的攻击请求，在服务器上进行命令执行。（来自360CERT） 0x02 影响范围 Apache Solr 5.x - 8.2.0，存在config API版本 0x03 漏洞复现 使用fofa搜索语法 app="Solr" && country="CN" 利用前提：攻击者需要知道Solr服务中Core的名称才能执行攻击。

昨日在国外安全社区seclists有一个署名叫Rose Jackcode的白帽子公布了微信支付sdk的一个严重的安全漏洞(xxe漏洞)。攻击者可以伪造一个恶意的回调数据请求(xml格式)，读取商户服务器上任意文件，甚至可以执行远程系统命令，导致商户服务器被入侵。 目前微信支付安全团队表示已对该SDK进行更新，修复了已知的安全漏洞，并在此提醒商户及时更新。 虽然微信支付官网上的sdk更新了，但是漏洞是存在于商户的网站系统中，需要商户下载最新的sdk对系统进行更新发布（或者看下面的自己修复方案）。因此目前还有大量的微信商户系统存在此漏洞，相关商户需要及时更新。 来看看该微信支付sdk漏洞如何造成的： 什么是xxe漏洞，xxe全称为XML External Entity attack，即XML外部实体漏洞。XML定义的外部实体可以载入本地或者远程的内容。 受影响版本： WxPayAPI_JAVA_v3.zip （之前版本的应该也受影响） 漏洞版本sdk中的README.md出示的例子： String notifyData = "...."; MyConfig config = new MyConfig(); WXPay wxpay = new WXPay(config); //conver to map Map<String, String> notifyMap = WXPayUtil