雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會(huì)不斷地升級(jí)、進(jìn)化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長(zhǎng)期性地用一些基本方法來(lái)檢測(cè)企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運(yùn)營(yíng)下去。
假如你是hack，準(zhǔn)備攻擊一家企業(yè)，那么首先要做的件事就是識(shí)別盡可能多的API。我首先按常規(guī)方式使用目標(biāo)應(yīng)用程序，在瀏覽器中打開Web應(yīng)用程序或者在手機(jī)端安裝移動(dòng)應(yīng)用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動(dòng)應(yīng)用程序?qū)蠖薟eb服務(wù)器發(fā)出的所有請(qǐng)求，從而使攻擊者可以對(duì)所有可用的API端點(diǎn)進(jìn)行分類。例如，大多數(shù)API都將API/V1/login作為身份驗(yàn)證端點(diǎn)。
如果目標(biāo)也是移動(dòng)應(yīng)用程序，則將應(yīng)用程序包拆開，并查看應(yīng)用程序內(nèi)部可用的API調(diào)用?？紤]到所有可能的活動(dòng)，攻擊者可以搜索無(wú)確保護(hù)用戶數(shù)據(jù)的常見配置錯(cuò)誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點(diǎn)。有了一個(gè)不錯(cuò)的端點(diǎn)清單，攻擊者就可以測(cè)試標(biāo)準(zhǔn)用戶行為和異常行為測(cè)試，可以通過兩種方法找到有趣的漏洞。

在之前的一系列文章中，我們主要講了內(nèi)網(wǎng)滲透的一些知識(shí)，而在現(xiàn)實(shí)中，要進(jìn)行內(nèi)網(wǎng)滲透，一個(gè)很重要的前提便是：你得能進(jìn)入內(nèi)網(wǎng)?。∷?，從這篇文章開始，我們將開啟Web滲透的學(xué)習(xí)（內(nèi)網(wǎng)滲透系列還會(huì)繼續(xù)長(zhǎng)期更新哦）。滲透測(cè)試，是滲透測(cè)試完全模擬hack可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)網(wǎng)絡(luò)、主機(jī)、應(yīng)用的安全作深入的探測(cè)，幫助企業(yè)挖掘出正常業(yè)務(wù)流程中的安全缺陷和漏洞，助力企業(yè)先于hack發(fā)現(xiàn)安全風(fēng)險(xiǎn)，防患于未然。
Web應(yīng)用的滲透測(cè)試流程主要分為3個(gè)階段，分別是：信息收集→漏洞發(fā)現(xiàn)→漏洞利用。本文我們將對(duì)信息收集這一環(huán)節(jié)做一個(gè)基本的講解。信息收集介紹進(jìn)行web滲透測(cè)試之前，重要的一步那就是就是信息收集了，俗話說“滲透的本質(zhì)也就是信息收集”，信息收集的深度，直接關(guān)系到滲透測(cè)試的成敗。打好信息收集這一基礎(chǔ)可以讓測(cè)試者選擇合適和準(zhǔn)確的滲透測(cè)試攻擊方式，縮短滲透測(cè)試的時(shí)間。一般來(lái)說收集的信息越多越好，通常包括以下幾個(gè)部分：

滲透測(cè)試其實(shí)就是一個(gè)攻防對(duì)抗的過程，所謂知己知彼，才能百戰(zhàn)百勝。如今的網(wǎng)站基本都有防護(hù)措施，大企業(yè)或大單位因?yàn)榫W(wǎng)站眾多，一般都會(huì)選擇大型防火墻作為保護(hù)措施，比如深信服、天融信等等，小單位或單個(gè)網(wǎng)站通常會(huì)選擇D盾、安全狗或開源的安全軟件作為保護(hù)措施，一些常見的開源waf有：OpenResty、ModSecurity、NAXSI、WebKnight、ShadowDaemon等等。
當(dāng)然，服務(wù)器沒裝防護(hù)的的網(wǎng)站還是有的。而這些防護(hù)措施都有對(duì)常見漏洞的防御措施，所以在實(shí)際的漏洞挖掘和利用過程中必須考慮這些問題，如何確定防護(hù)措施，如何對(duì)抗防護(hù)措施。web常見漏洞一直是變化的，隔一段時(shí)間就會(huì)有新的漏洞被發(fā)現(xiàn)，但實(shí)戰(zhàn)中被利用的漏洞其實(shí)就那么幾個(gè)，就像編程語(yǔ)言一樣，穩(wěn)坐前三的永遠(yuǎn)是c、c++。

在安全運(yùn)營(yíng)工作當(dāng)中，經(jīng)常需要系統(tǒng)日志、設(shè)備威脅事件日志、告警日志等，各種日志進(jìn)行收集匯聚，具體分析，通過日志來(lái)分析威脅事件發(fā)生源頭、相關(guān)聯(lián)的人和資產(chǎn)關(guān)系，以日志數(shù)據(jù)的角度，來(lái)追究溯源威脅事件發(fā)生的過程和基本概括原貌。評(píng)估威脅事件產(chǎn)生危害的影響范圍，關(guān)聯(lián)到人與資產(chǎn)，采取順藤摸瓜，將各種信息進(jìn)行關(guān)聯(lián)，無(wú)論是二維關(guān)系數(shù)據(jù)聯(lián)系關(guān)聯(lián)，還是大數(shù)據(jù)分析建模，數(shù)據(jù)的分類采集都是基礎(chǔ)工作。
企業(yè)安全相關(guān)的各種日志數(shù)據(jù)，存放的位置、形式、大小、業(yè)務(wù)、使用人群都不同，如何根據(jù)不同業(yè)務(wù)規(guī)模的日志數(shù)據(jù)，采取相得益彰的技術(shù)形式進(jìn)行合理的日志、聚合、分析、展示，就成為了一個(gè)課題，接下來(lái)，我們主要圍繞這些相關(guān)的主題進(jìn)行討論分享，通過具體的日志聚合分析實(shí)踐，讓數(shù)據(jù)有效的關(guān)聯(lián)，使其在威脅事件分析、應(yīng)急事件分析響應(yīng)過程中讓數(shù)據(jù)起到方向性指引作用、起到探測(cè)器的作用，通過以上技術(shù)實(shí)踐，讓更多日志數(shù)據(jù)，有效的為企業(yè)安全運(yùn)營(yíng)提供更好的服務(wù)。
在實(shí)際工作當(dāng)中，日志聚合分析工具種類繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場(chǎng)景為例子，結(jié)合這些工具的使用，向大家展示在實(shí)際數(shù)據(jù)工作中數(shù)據(jù)運(yùn)營(yíng)的情況，如何進(jìn)行數(shù)據(jù)聚合分析，以提供實(shí)際的操作案例，能能直觀的了解數(shù)據(jù)管理的工作流程，之后可以重復(fù)實(shí)踐，不繞道走遠(yuǎn)路，著重給出日志分析工具使用的要點(diǎn)，快速上手掌握相關(guān)工具的使用，掌握日常日志數(shù)據(jù)實(shí)操及相關(guān)方法。
為了方便實(shí)踐，盡量避免商業(yè)系統(tǒng)和設(shè)備在案例中的出現(xiàn)，以可以方便取材的開源項(xiàng)目為基礎(chǔ)，展開案例的講解，大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng)，在本地完成實(shí)踐練習(xí)過程。本篇介紹入侵檢測(cè)系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過對(duì)入侵檢測(cè)系統(tǒng)的日志進(jìn)行收集，來(lái)展現(xiàn)日志收集處理的典型過程。
開源IDS系統(tǒng)Suricata與威脅事件日志管理平臺(tái)Graylog結(jié)合，對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行截取與日志收集分析統(tǒng)計(jì)，通過Suricata捕獲輸出的日志，經(jīng)過Nxlog日志收集工具，將相關(guān)事件日志、告警日志、HTTP日志，通過Graylog進(jìn)行日志聚合，對(duì)日志進(jìn)行統(tǒng)計(jì)分析，分析網(wǎng)絡(luò)環(huán)境中存在各種威脅事件類型，通過自定義Suricata的檢測(cè)規(guī)則，控制入侵檢測(cè)的策略，以及入侵檢查系統(tǒng)的輸出結(jié)果。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://coolerbeats.net