一点干货：Web菜鸟的ISC之旅

时间 2019-11-21

标签一点 1点干货 web 菜鸟 isc 之旅栏目 HTML 繁體版

原文原文链接

距离ISC已经有点久了，这段时间都用来把参会经历晒晒，如今感受差很少晒干了，因此仍是总结下在此次大会中看到、听到、学到关于安全相关的一点见闻，尽可能干货。对此次大会的感受呢，主要由于会议面向群体覆盖面很广，议题也不少，做为一个学习技术的菜鸟，兴趣点比较少，因此以为总体技术干货仍是比较少，不少议题一看是“业务拓展经理”、“高级产品经理”等领导来说，就知道不是讲技术的，让人昏昏欲睡。长话短说。php

一、IoTweb

IoT：Internet of Things ,万物互联；sql

互联网时代从“PC互联网”到“手机互联网”再到“IoT万物互联”；好比如今的各类智能手表，智能眼镜，智能电视，那么不远的将来，咱们的电灯甚至都内置了cpu，能够直接接入互联网。shell

而咱们客户端的安全呢，也从“电脑卫士”，到“手机卫士”，到了万物互联的时候，不可能给每一个智能硬件都作个卫士，那就统一在出入口管理，因此有了如今的智能路由器，能够在路由器上部署“家居卫士”。数据库

周鸿祎说，到了IoT时代，也就到了从新发明轮子的时代，其实这点看360的产品页也就有所感觉了：api

二、大数据时代的用户隐私保护安全

关于这一点呢，周鸿祎提出了3点“大数据安全准则”服务器

1）信息是用户的我的资产；网络

2）安全传输，安全存储；架构

3）平等交换，受权使用；

听说360某发言人在一个分论坛展现用户数据的时候，就有人提问说“大家这样用数据符合周董提议的安全准则吗”，结果固然就不了了之。

随着安全意识的提升，斯洛登，艳照门等事件的发生，对普通用户来讲，隐私问题愈来愈重视，可是估计如今没有哪家公司能作到毫不收集和存储涉及用户隐私的行为信息。因此说，如今的互联网时代，对咱们来讲，能够说是一个无处藏身的时代，且行且珍惜。

三、2013年日本、美国、中国信息安全投资分布

日本：安全硬件：5% 安全软件：24% 安全服务：71%

美国：安全硬件：15% 安全软件：41% 安全服务：44%

中国：安全硬件：51% 安全软件：23% 安全服务：26%

由此能够看出，中国和发达国家在信息安全领域的“意识差距”，可能从事相关信息安全工做的人也能感觉到，向企事业单位，尤为是政府单位提供安全设备和服务的时候，他们很看轻软件和服务，而看重硬件，感受具体的设备是实打实的，摆在那里感受就有说服力，好像硬件就能就说明他们在信息安全方便确实作了工做和努力。好比，一套软件的防御系统，卖1万，他们就很不情愿，说你一个软件值什么钱，可若是销售方再搭配个定制的计算机，卖20万他们都能接受..........每次想到这里，心头万马奔腾。

其实说实话，软件每每是研发人员的智慧结晶，而服务，背后对应的是信息安全人才。在信息安全领域，人才才是最贵的。不少单位买回去的设备，因为没有专业人员维护，每每处于闲置状态，或者就是串接到网络中，默认设置一点没改，安全功能只有默认开启的开了，出了问题也不晓得怎么解决。而一旦你有了专业技术人员的支持，即便是普通的设备，也能经过配置发挥出相应的安全功能。因此，对“安全服务”和“安全软件”的重视，真正表现的是对安全人才的重视。

四、云计算的几个相关概念

1）IaaS (Infrastructure as a Service，基础架构即服务) 经过互联网提供了数据中心、基础架构硬件和软件资源。IaaS能够提供服务器、操做系统、磁盘存储、数据库和/或信息资源。

2）PaaS (Platform as a Service，平台即服务) 提供了基础架构，软件开发者能够在这个基础架构之上建设新的应用，或者扩展已有的应用，同时却没必要购买开发、质量控制或生产服务器。

3）SaaS (Software as a Service，软件即服务) 是最为成熟、最出名，也是获得最普遍应用的一种云计算。你们能够将它理解为一种软件分布模式，在这种模式下，应用软件安装在厂商或者服务供应商那里，用户能够经过某个网络来使用这些软件，一般使用的网络是互联网。

PaaS、IaaS和SaaS之间的区别并非那么重要，由于这三种模式都是采用外包的方式，减轻企业负担，下降管理、维护服务器硬件、网络硬件、基础架构软件和/或应用软件的人力成本。从更高的层次上看，它们都试图去解决同一个商业问题——用尽量少甚至是为零的资本支出，得到功能、扩展能力、服务和商业价值。当某种云计算的模式得到了成功，这三者之间的界限就会进一步模糊。成功的SaaS或IaaS服务能够很容易地延伸到平台领域。

注意，云平台不光要防御外部的各类攻击，用户的数据在服务商的数据中心中，还须要防内。只有真正地数据安全才是用户确信拥有本身保险柜的核心。而云上的数据通常是不会丢的，都有备份，但愿将来云存储能值得信赖。

五、“计算机安全”已经成为一种有价值的商业活动

那么问题来了！

+首先，赚钱是商业的主要目的，以PC防御软件为例；

+那么，若是厂家把安全服务作得太好，让您感觉不到威胁的存在，你也就再也不须要安全服务了？

+但反之，若是厂家把安全服务作得很差，那么你为何还要花钱去购买它呢？

+那么销售方该怎么去向消费者推销咱们的安全软件呢？

一个答案是：FUD

-F 恐惧：坏事即将发生在你身上，它已经在别人身上发生了

-U 不肯定：你怎么知道本身是安全的，谁是看着你的守护者？

-D 怀疑即便是NSA（美国国家安全局）也不能保住本身的秘密

在制造恐惧、不肯定与疑惑后，你就须要帮助消费者释放这些恐惧

那么，快来使用给咱们的产品吧，用了你就安全了，NSA已经在使用咱们的产品了。

六、DoS攻击理论

1）资源枯竭形成拒绝服务

2）关键资源示例：CPU时间，文件句柄，磁盘空间，内存空间，进程中条目，连入端口，网络带宽，内部总线带宽等

七、Web扫描

1）全自动扫描器：基于爬虫和字典等，只能达到70%-80%的覆盖页面，难以应对Web应用复杂的操做逻辑。如：孤岛页面、须要登陆系统、具有复杂的交互逻辑的应用。

2）半自动漏洞扫描

业务重放+url镜像，实现高度覆盖：

+业务重放，测试过程使用burpsuite、fiddler

+HTTP（S）业务流量录制与重放扫描、手工修改业务数据流、对手机APP也适用

+检测逻辑漏洞：水平权限绕过、订单修改、隐藏域修改。

+局限：时间滞后/token，流量重发时，不能保证重现业务流程及bug；难以覆盖全部业务连接；漏洞检测技术滞后于攻击技术，没法解决0Day漏洞。

3）被动式漏洞分析：应对0Day和孤岛页面。国外产品：Nessus PVS被动式扫描

+旁路被动式扫描，全流量数据分析

+检测方式：被动式扫描不须要联网，不会主动发出url请求，也不发出任何数据包。

PVS和IDS的区别：

a. 更关注漏洞感知，而不是入侵；如页面出现sql报错信息，可触发pvs报警，但不会出发ids报警。

b. 报警结果不同，pvs按照漏洞的风险等级，ids按照黑客的攻击手段报警。

c. 双向分析数据报文；

d. 更关注于web应用，OWASP TOP10的攻击手段。

e. 按攻击影响报警（分析双向报文），而不是按攻击手段去报警（分析单向报文）

注意：Nessus的PVS只是一个思路，它专一与网络及主机漏洞，对Web应用的监测能力有限。咱们须要从新设计一个针对web的PVS出来：WebPVS。

八、Web日志分析

1）日志分析的价值

网站优化：时间(time)，路径（url），人物（sourceip），地点（path），访客分布（user-aent），带宽资源（bytes），爬虫信息（bot）

发现攻击：时间（time），地点（path），人物（sourceip），原由（vulnerability/webshell）、通过（attack），结果（status 200/404/403/500）

发现漏洞：原由（vulnerability），通过（scan url），结果（status 200/404/403/500，命中词）

2）一些注意点

容许小范围误报，拒绝漏报；

精确报警不是日志分析的职责；

攻击隐藏在异常中，找异常最重要。

3）关键词是日志分析的建模基础

传统关键词：system、exec、phpinfo、phpspy、powered by、union select...

不常见的关键词：CSS，bgcolor，js

关键词的类型：行为关键词、指纹关键词。

关键词的逻辑：当出现关键词A时，必然出现关键词B或者C，出现B给80，出现C给20分。

还有就是，程序自动提取关键词（好比一段字符或者二进制序列），这里说的第二种关键词就是人看不懂的关键词。好比经过文件偏移让程序自动提取后门关键词。经过文件行数或者字节数偏移来随机取单端不连续的指纹关键词。经过遍历连接获取行为关键词。

九、基于Web的DDoS

1）出现频率最高的DDoS后门文件名

abc.php,

xl.php,

Xml.php,

dedetag.class.php,

counti.php,

plase.php,

cba.php,

os.php,

practical.php,

abbb.php 。

2）出现频率最高目录

/plus/,

/templets/,

/include/,

/data/,

/api/,

/cache/,

/admin/,

/UploadFiles/,

/ 。

3）最常被攻击的端口

80,53,21,22

4）

+开放云平台是日渐兴起的后门藏匿地

+PHPwebshell自带DDoS功能的愈来愈多

+有些建站公司建站同时植入后门

+大部分出现后门的网站都是中小型的电商或者企业

+大部分的攻击客户端来自小说阅读器、传奇私服登录器等

[最后]

经过360和知道创宇提供的一些数据，简单说下Web安全的一些现状(数据来源通常是公司相关安全产品的服务数据)。

1）全国每一年有24万网站被黑，其中政府网站2万（总数10万）

2）全国超过17%的站点存在明显的高危漏洞；

3）中国目前大约240万个网站使用了.cn的域名，是主要的攻击目标。

4）接近10%的网站引用了第三方组件；

5）超过3.3%的网站所安装的组件是在无补丁状态下使用；

6）天天全网针对Web站点的攻击超过3亿次。

7）2014上半年，被植入后门的网站中84.8%是被境外控制

8）0day 从曝光到爆发：大约1周时间（从开始研究demo到大范围爆发）

9）漏洞修复率低，半衰期的威胁

“心脏滴血漏洞”，在中国网站中，72小时的时候，只有18%的修复率。

4月爆发的“心脏滴血漏洞”，到9月，还有16%的全局用户没修复，11%的重要用户未修复。

最后的最后，就不放美女图了，安全就应该纯粹一点，别搞得安全圈跟娱乐圈同样。