产品描述

服务人工 漏洞检测项目所有 优势解决不掉 APP漏洞检测支持 服务地区全国

许多客户在网站,以及APP上线的同时,都会提前的对网站进行全面的渗透测试以及安全检测,提前检测出存在的网站漏洞,以免后期网站发展过程中出现重大的经济损失,前段时间有客户找到我们SINE安全公司做渗透测试服务,在此我们将把对客户的整个渗透测试过程以及安全测试,发现的漏洞都记录下来,分享给大家,也希望大家更深地去了解渗透测试。
渗透测试其实就是一个攻防对抗的过程,所谓知己知彼,才能百战百胜。如今的网站基本都有防护措施,大企业或大单位因为网站众多,一般都会选择大型防火墙作为保护措施,比如深信服、天融信等等,小单位或单个网站通常会选择D盾、安全狗或开源的安全软件作为保护措施,一些常见的开源waf有:OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
当然,服务器没装防护的的网站还是有的。而这些防护措施都有对常见漏洞的防御措施,所以在实际的漏洞挖掘和利用过程中必须考虑这些问题,如何确定防护措施,如何对抗防护措施。web常见漏洞一直是变化的,隔一段时间就会有新的漏洞被发现,但实战中被利用的漏洞其实就那么几个,就像编程语言一样,稳坐前三的永远是c、c++。
德州网站漏洞检测服务
其实从开发的角度,如果要保证代码至少在逻辑方面没有明显的漏洞,还是有些繁琐的。举个简单的例子,如网站的数据检验功能,不允许前端提交不符合当前要求规范的数据(比如年龄文本框部分不能提交字母)。那么为了实现这个功能,首先开发者肯定要在前端实现该功能,直接在前端阻止用户提交不符规范的数据,否则用户体验会很差,且占用服务器端的资源。
但是没有安全意识或觉得麻烦的开发者就会仅仅在前端用Js进行校验,后端没有重复进行校验。这样就很容易给恶意用户机会:比如不通过前端页面,直接向后端接口发送数据:或者,前端代码编写不规范,用户可以直接在浏览器控制台中用自己写的Js代码覆盖原有的Js代码;或者,用户还可以直接在浏览器中禁用Js;等等。总之,前端的传过来的数据可信度基本上可以认为比较低,太容易被利用了。
而我的思路都是很简单的,就是关注比较重要的几个节点,看看有没有可乘之机。如登录、权限判定、数据加载等前后,对方是怎么做的,用了什么样的技术,有没有留下很明显的漏洞可以让我利用。像这两个网站,加载的Js文档都没有进行混淆,注释也都留着,还写得很详细。比较凑巧的是,这两个网站都用到了比较多的前端的技术,也都用到了sessionStorage。
德州网站漏洞检测服务
下面开始我们的整个渗透测试过程,首先客户授权我们进行网站安全测试,我们才能放开手的去干,首先检测的是网站是否存在SQL注入漏洞,我们SINE安全在检测网站是否有sql注入的时候都会配合查看mysql数据库的日志来查询我们提交的SQL语句是否成功的执行,那么很多人会问该如何开启数据库的日志,如何查看呢?首先连接linux服务器的SSH端口,利用root的账号密码进服务器,打开mysql的配置文件mysqld.cnf编辑general_log_file=(log日志的),general_log=1,在服务器里输入tail -f (log),来查看实时的数据库语句执行日志。当我们SINE安全技术在测试SQL注入漏洞的时候,就会实时的看到是否有恶意的SQL语句执行成功,如果有那么数据库日志就会出现错误提示,在渗透测试中是很方便的,也更利于查找漏洞。
德州网站漏洞检测服务
开源IDS系统有很多种,比较有名的系统有Snort、Suricata、Zeek等,我们选用Suricata是因为Suricata有多年的发展历史,沉淀了的各种威胁检测规则,新版的Suricata3与DPDK相结合,处理大级别的数据分析,Suricata支持Lua语言工具支持,可以通过Lua扩展对分析的各种实用工具。
Suricata与Graylog结合的原因,是因为在Graylog开源社区版本对用数据的数据处理量没有上限限制,可以扩展很多的结点来扩展数据存储的空间和瞬时数据处理的并发能力。Suricata在日志输出方面,可以将日志的输出,输出成标准的JSON格式,通过日志脚本收集工具,可以将日志数据推送给Graylog日志收集服务,Graylog只要对应创建日志截取,就可以对JSON日志数据,进行实时快速的收集与对日志数据结构化和格式化。将JSON按Key和Value的形式进行拆分,然后保存到ElasticSearch数据库中,并提供一整套的查询API取得Suricata日志输出结果。
在通过API取得数据这种形式以外,Graylog自身就已经支持了插件扩展,数据面板,数据查询前台,本地化业务查询语言,类SQL语言。通过开源IDS与开源SIEM结合,用Suricata分析威胁产生日志,用Graylog收集威胁事件日志并进行管理分析,可以低成本的完成威胁事件分析检测系统,本文的重点还在于日志收集的实践,检测规则的创建为说明手段。
Suricata经过多年发展沉淀了很多有价值的威胁检测规则策略,当然误报的情况也是存在的,但可能通过手动干预Surcicata的规则,通过日志分析后,迭代式的规则,让系统随着时间生长更完善,社区也提供了可视化的规则管理方案,通过后台管理方式管理Suricata检测规则,规则编辑本文只是简单介绍。Scirius就是一种以Web界面方式的Suricata规则管理工具,可视化Web操作方式进行管理Suricata规则管理。
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞,对各项功能都进行了全面的安全检测。
http://www.qdshtddzkj.com

产品推荐