SINE安全對網(wǎng)站漏洞檢測具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測服務(wù)都是由我們?nèi)斯とz測，比如對代碼進行審計，以及都每個網(wǎng)站或APP的功能進行單的詳細(xì)測試，如跨權(quán)限漏洞，支付漏洞繞過，訂單價格被篡改，或訂單支付狀態(tài)之類的，或會員找回密碼這里被強制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
早上，我突然被客戶告知，他部署在云平臺的服務(wù)器被檢測到webshell，已經(jīng)查殺了，而且云平臺檢測到這個ip是屬于我公司的，以為是我們公司做了測試導(dǎo)致的，問我這個怎么上傳的webshell，我當(dāng)時也是一臉懵逼，我記得很清楚這是我的項目，是我親自測試的，上傳點不會有遺漏的，然后開始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進行webshel查殺，進行巡檢，找找看是否被別人入侵了，是否存在后門等等情況。雖然報的是我們公司的ip，萬一漏掉了幾個webshell，被別人上傳成功了沒檢測出來，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個webshell查殺工具進行查殺，使用netstat-anpt和iptables-L判斷是否存在后門建立，查看是否有程序占用CPU，等等，此處不詳細(xì)展開了。萬幸的是服務(wù)器沒有被入侵，然后我開始著手思考這個上傳點是怎么回事。
文檔上傳漏洞回顧首先，我向這個和我對接的研發(fā)人員咨詢這個服務(wù)器對外開放的，要了之后打開發(fā)現(xiàn)，眼熟的不就是前不久自己測試的嗎？此時，我感覺有點懵逼，和開發(fā)人員對質(zhì)起這個整改信息，上次測試完發(fā)現(xiàn)這個上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當(dāng)時我還發(fā)現(xiàn)，這個雖然上傳是做了白名單限制，也對上傳的文檔名做了隨機數(shù)，還匹配了時間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個上傳路徑和文檔名，這個和他提議要進行整改，不然這個會造成這個文檔包含漏洞，他和我反饋這個確實進行整改了，沒有返回這個路徑了。

當(dāng)攻擊者通過API調(diào)用遍歷攻擊系統(tǒng)時，他們必須弄清楚可以發(fā)送些什么來獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個事實：即越復(fù)雜的系統(tǒng)，出錯的地方越多。攻擊者識別出API后，他們將對參數(shù)進行分類，然后嘗試訪問管理員（垂直特權(quán)升級）或另一個用戶（水平特權(quán)升級）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項目中，我們對目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎勵信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對他們知道的參數(shù)進行爆密。

選擇安全穩(wěn)定的服務(wù)器
眾多企業(yè)出現(xiàn)安全問題普遍的因素，就是服務(wù)器不穩(wěn)定，DNS、快照被劫持，出現(xiàn)了亂七八糟的廣告內(nèi)容，所以建時，一定要選購比較的、安全性及穩(wěn)定性高的服務(wù)器。

開源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因為Suricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級別的數(shù)據(jù)分析，Suricata支持Lua語言工具支持，可以通過Lua擴展對分析的各種實用工具。
Suricata與Graylog結(jié)合的原因，是因為在Graylog開源社區(qū)版本對用數(shù)據(jù)的數(shù)據(jù)處理量沒有上限限制，可以擴展很多的結(jié)點來擴展數(shù)據(jù)存儲的空間和瞬時數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標(biāo)準(zhǔn)的JSON格式，通過日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務(wù)，Graylog只要對應(yīng)創(chuàng)建日志截取，就可以對JSON日志數(shù)據(jù)，進行實時快速的收集與對日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進行拆分，然后保存到ElasticSearch數(shù)據(jù)庫中，并提供一整套的查詢API取得Suricata日志輸出結(jié)果。
在通過API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴展，數(shù)據(jù)面板，數(shù)據(jù)查詢前臺，本地化業(yè)務(wù)查詢語言，類SQL語言。通過開源IDS與開源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進行管理分析，可以低成本的完成威脅事件分析檢測系統(tǒng)，本文的重點還在于日志收集的實踐，檢測規(guī)則的創(chuàng)建為說明手段。
Suricata經(jīng)過多年發(fā)展沉淀了很多有價值的威脅檢測規(guī)則策略，當(dāng)然誤報的情況也是存在的，但可能通過手動干預(yù)Surcicata的規(guī)則，通過日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時間生長更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過后臺管理方式管理Suricata檢測規(guī)則，規(guī)則編輯本文只是簡單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進行管理Suricata規(guī)則管理。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://coolerbeats.net