网络安全

RCE(远程代码执行)：是互联网的一种安全漏洞。 它可以让攻击者直接向后台服务器远程注入操作系统命令，从而操控后台系统 RCE漏洞产生的根本原因：服务器像php环境版本对可执行变量函数没有做过滤，导致在没有自定义相对路径的情况下就运行命令去执行,从而导致服务器被入侵 RCE的防御方法：尽量不要使用命令执行函数，尽量不要使用命令执行函数 来源： CSDN 作者： libingbing_ 链接： https://blog.csdn.net/libingbing_/article/details/104733370

本周一在发布"计算机与网络安全系列书单推荐"时，hblf的朋友圈给了我一定触动，"信息安全如何入门"这个问题让我想到了一些有趣的东西，所以抽空写一写自己的答案。 "信息安全如何入门"这个问题我觉得需要拆成3个部分来回答：信息安全包括什么？什么算入门？你要如何学习？ 备注：本文中的信息安全没有特意区分cyber security、data security等。 1.信息安全包括什么 我个人觉得我是回答不完全这个问题的，只能尽我所能来回答。 首先我们来看看知乎上，关于"信息安全如何入门"的相关问题都有哪些？ 黑客如何学起？ 如何学习网络安全？ 谁能给个网络安全的学习路线啊？ 挣钱多不多，我想转行 因为篇幅原因，大家可以自己去搜索查看(看完请会心一笑)，然后我们再来看看经常在QQ被问的问题： **师傅，我想学挖洞，可以带带我嘛？**其实在面对这类型问题的时候，我很想说一句：“我带你”，可是真相是我自己都胖的飞不起来，如何带你。 **表哥，我想改教务系统的成绩 or 我想把xxx网站黑下来？**你们知道这是犯法的嘛？没事多去看看网络安全法好么？ **老同学，帮我盗个QQ好么？**盗不下来啊！**你不是搞信息安全的嘛？**我是啊！**那你还盗不下来？**我……………… 当然了还有最过分的就是：**你帮我修个电脑吧，我电脑卡的不行，一定是中毒了。**看了一下，大姐不带这么玩的

TOP1-注入 注入往往是应用程序缺少对输入进行安全型检查引起的，攻击者把一些包含指令的数据发送给解释器，解释器收到数据后转换成指令执行，常见的注入包括SQL注入、系统命令注入、IDAP注入，xpath注入等 危害： 注入可以导致数据的丢失，或者敏感数据的泄露，有时注入漏洞可以导致主机完全失陷。 防范： 1、使用安全的API，避免使用解释器 2、对输入的特殊字符进行转义处理 3、利用白名单来规范输入验证 TOP2-失效的身份认证和会话管理 开发者通常会建立自定义的认证和会话管理方案。但与身份认证和回话管理相关的应用程序功能往往得不到正确的实现，要正确实现这些方案却很难，结果在退出、密码管理、超时、密码找回、帐户更新等方面存在漏洞，这就导致了攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份 危害： 可能导致部分甚至全部账户遭到攻击，一旦攻击成功，攻击者就能执行合法的任何操作 检测： 用户身份验证凭证没有使用哈希或加密保护 认证凭证可猜测，或者能够通过薄弱的的帐户管理功能（例如账户创建、密码修改、密码恢复, 弱会话ID）重写 会话ID暴露在URL里 （例如URL重写） 会话ID容易受到会话固定（session fixation）的攻击 会话ID没有超时限制，或者用户会话或身份验证令牌特别是单点登录令牌在用户注销时没有失效 成功注册后,会话ID没有轮转 密码

《要维持一个安全的网络环境必须具备的四个安全能力》 1.风险预测能力 通过运用大数据技术对内部的安全数据和外部的危险情报进行主动探索分析和评估，能够使危险出现前提早发现问题，遇见肯能出现的危险调整安全策略进行防护 2.***防御能力 采用加固和隔离系统降低***面限制***接触系统发现漏洞和执行代码的能力，并通过转移***手段使***者难以定位系统核心以及可利用漏洞，通过事故预防和安全策略合规审计的方式，通过统一的策略管理和策略联动，防止***未授权进入系统 3.危险检测能力 通过对业务数据和基础设施的全面检测结合现有安全策略提出整改建议，与网络运维系统联动，实现安全策略整改和变更后持续进行监控，结合外部情况快速发现安全漏洞并进行响应。 4.事件响应能力 与网络运维系统进行对接实现安全联动，出现安全漏洞时短时间内进行安全策略的快速调整，被感染的系统和账号进行隔离，通过回顾和分析事件完整过程，利用持续监控所获取的数据，解决相应的安全问题 网络层安全防护 设计 1、通过FW或vFW中的FW、AV、IPS 模块实现网络层访问控制、恶意代码 防护、***防御。 2、在各个内网安全域边界处，部署防火墙实现域边界的网络层访问控制。 3、在内网边界处部署流量监控设备，实现全景网络流量监控与审计，并对 数据包进行解析，通过会话时间、协议类型等判断业务性能和交互响应时间。 主机层安全防护与 设计 1

安全相关论文--Security and Dependability 所参考的文献来自于Kreutz D, Ramos F M V, Esteves Verissimo P, et al. Software-Defined Networking: A Comprehensive Survey[J]. Proceedings of the IEEE, 2015, 103(1):10-13. 一些论文 安全性和可靠性： 【access control, firewalling,middleboxes as middlepipes 】27 100 326 328 337 DoS attacks detection and mitigation， traffic anomaly detection 325 336 random host mutation 326 331 flow rule prioritization, security services composition, protection against traffic overload,and protection against malicious administrators 199 201 259 322 330 使用SDN来改善网络安全： security policies enforcement [100]

好多企业网站遭遇黑客攻击，像黑客入侵在互联网只要有数据网络，就能使用数据网络远程操作目标的笔记本电脑、网络服务器、企业网站，从而任意地读取或篡改目标的重要数据，又又或者使用目标系统软件上的功能模块，比如对手机的麦克风开展监听，开启对方摄像头开展监控，使用已经被入侵的设备计算能力开展挖矿从而得到虚拟货币，使用目标设备的网络带宽能力发动CC并发攻击方式其他人等等。又或者是破解了一个数据库服务器的密码，进去查看敏感数据信息、远程操作门禁/红绿灯。以上这种都属于经典的黑客入侵场景。 我们SINE安全能够 给企业网站被入侵下一个定义：就是黑客入侵在未经许可授权的状况下，远程操作、使用我方网络资源（包括但不限于读写数据、执行命令、远程操作网络资源等）达到各种最终目的。从理论上讲，黑客入侵依照站点的sql语句注入安全漏洞开展数据库攻击方式，又或者拿到了目标域名在服务商中的帐号密码，篡改DNS服务器去指向一个黑客制作好的页面，又又或者找到了目标的社交邮箱账号，登录邮箱后，对数据网络虚拟资产开展非授权的远程操作，都属于被黑客入侵的范畴。 针对企业的站点漏洞扫描 企业网站安全漏洞漏洞扫描的范畴，在大多数情况下状况下都是比较统一的目的：一般特指黑客入侵对PC电脑、操作系统软件、网站服务器、远程办公平台（涉及OA办公网、生产网）远程操作的行为。 黑客入侵企业对PC、网络服务器等主机资产的远程操作

1.随时检查系统安全漏洞，安装系统补丁。不管是Windows还是Linux，操作系统都会有漏洞，及时装上补丁，避免被不法分子恶意利用攻击. 2.安装并升级杀毒软件。目前网络上的病毒越加猖獗，随时会影响到网站服务器的安全，因此，系统要安装上杀毒软件来提前预防病毒的传播，并定期检查升级杀毒软件，自动更新病毒库。 3.定期对服务器数据进行备份。为预防突发的系统故障而导致的数据丢失，平时就要定期对系统数据进行备份，同时，重要的系统文件建议存放在不同的服务器上，以便系统出故障时能将损失降到最低。 4.定期对账号密码进行修改保护。账号和密码保护可以说是服务器系统的第一道防线，目前大部分对服务器的网络攻击都是从密码开始的，一旦不法分子截获了密码，那么前面所做的所有安全防护措施都将失去了作用。 5.关闭不常用的服务和端口。服务器操作系统在安装时，会启动一些不需要的服务，不仅占用了系统的资源，还会增加系统的安全隐患。因此，定期检查系统运行中的软件和服务，没有使用的就关闭掉。 来源： CSDN 作者： kf305 链接： https://blog.csdn.net/kf305/article/details/104711735

信息收集是指通过各种方式获取所需的信息。信息收集是信息得以利用的第一步，也是关键的一步。—百度百科 信息收集是指黑客为了更加有效地实施渗透攻击而在攻击前或攻击过程中对目标的所有探测活动。 背景： 不论曾经作为白帽子、安全服务工程师还是现在作为甲方安全工程师，都明白信息收集这项工作的重要性。目前网络上关于信息收集的文章数不胜数，那么为什么还要老生常谈？主要是目前网络上的文章更多是站在白帽子或者攻击者的视角下进行展开讨论，但甲方做信息收集的话题没有被提及，本文抛砖引玉，希望更多大佬提出意见。其实是对自己曾经做过的信息收集内容进行一个总结。 本文通过两个角度来讨论信息收集：攻击方、防守方，它们二者之间在信息收集方向的关系如下图： 不论是攻击方还是防守方做信息收集工作主要是四种方法： 社会工程： Google Hacking(不一定是Google)； 社交软件(微信、QQ、朋友圈等等)； site:example.com site:example.com 登录 site:example.com login 花式工具：各种扫描器与漏洞利用工具、爬虫； 奇葩技巧：这个主意是靠经验的积累与多看看大佬的文章； 手工：坚持+耐心 攻击方视角下的信息收集 网络上关于攻击方做信息收集的工具、方法都有了很不错的文章，大家搜索"信息收集"关键字就可以获取。攻击方做信息收集讨论两个问题：为什么做信息收集

一、背景 昨天（2018-07-04）微信支付的SDK曝出重大漏洞（XXE漏洞），通过该漏洞，攻击者可以获取服务器中目录结构、文件内容，如代码、各种私钥等。获取这些信息以后，攻击者便可以为所欲为，其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址；http://seclists.org/fulldisclosure/2018/Jul/3 二、漏洞原理 1. XXE漏洞 此次曝出的漏洞属于XXE漏洞，即XML外部实体注入（XML External Entity Injection）。 XML文档除了可以包含声明和元素以外，还可以包含文档类型定义（即DTD）；如下图所示。 在DTD中，可以引进实体，在解析XML时，实体将会被替换成相应的引用内容。该实体可以由外部引入(支持http、ftp等协议，后文以http为例说明)，如果通过该外部实体进行攻击，就是XXE攻击。 可以说， XXE漏洞之所以能够存在，本质上在于在解析XML的时候，可以与外部进行通信；当XML文档可以由攻击者任意构造时，攻击便成为可能。 在利用XXE漏洞可以做的事情当中，最常见最容易实现的，便是读取服务器的信息，包括目录结构、文件内容等；本次微信支付爆出的漏洞便属于这一种。 2. 微信支付漏洞 本次漏洞影响的范围是：在微信支付异步回调接口中，使用微信支付SDK进行XML解析的应用

一、前言 19年初，网上公开了2个Thinkphp5的RCE漏洞，漏洞非常好用，导致有很多攻击者用扫描器进行全网扫描。我们通过ips设备持续观察到大量利用这几个漏洞进行批量getshell的攻击流量，本文主要从流量角度简要分析和利用thinkphp进行攻击的全网扫描和getshell流量痕迹。 二、Thinkphp RCE漏洞和扫描流量 2.1漏洞原理回顾 2.1.15.0.x版本漏洞 原理在于Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php)，该类可以实现对HTTP请求的一些设置 Thinkphp支持配置“表单伪装变量”，默认情况下该变量值为_method，因此在method()中，可以通过“表单伪装变量”进行变量覆盖实现对该类任意函数的调用，并且$_POST作为函数的参数传入。可以构造请求来实现对Request类属性值的覆盖，例如覆盖filter属性（filter属性保存了用于全局过滤的函数），从而实现代码执行。 2.1.25.1.x-5.2.x版本漏洞 与5.0.x版本漏洞相似，漏洞点都存在于Request(thinkphp/library/think/Request.php)类中，其中： $method变量是$this->method，其等同于POST的“_method”参数值，可以利用覆盖