許多客戶(hù)在網(wǎng)站，以及APP上線(xiàn)的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過(guò)程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶(hù)找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶(hù)的整個(gè)滲透測(cè)試過(guò)程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來(lái)，分享給大家，也希望大家更深地去了解滲透測(cè)試。
能否理解并利用SQL注是區(qū)分一般攻擊者和攻擊者的一個(gè)標(biāo)準(zhǔn)。面對(duì)嚴(yán)密禁用詳細(xì)錯(cuò)誤消息的防御，大多數(shù)新手會(huì)轉(zhuǎn)向下一目標(biāo)。但攻破SQL盲注漏洞并非可能，我們可借助很多技術(shù)。它們?cè)试S攻擊者利用時(shí)間、響應(yīng)和非主流通道（比如DNS)來(lái)提取數(shù)據(jù)。以SQL查詢(xún)方式提問(wèn)一個(gè)返回TRUE或FALSE的簡(jiǎn)單問(wèn)題并重復(fù)進(jìn)行上千次，數(shù)據(jù)庫(kù)王國(guó)的大門(mén)便通常不容易發(fā)現(xiàn)SQL盲注漏洞的原因是它們隱藏在暗處。一旦發(fā)現(xiàn)漏洞后，我們就會(huì)有們能支持多種多樣的數(shù)據(jù)庫(kù)。大量的漏洞可用。要明確什么時(shí)候應(yīng)選擇基于響應(yīng)而非時(shí)間的利用和什么時(shí)候使用重量級(jí)的非主流通道工具，這些細(xì)節(jié)可節(jié)省不少時(shí)間。考慮清楚大多數(shù)SQL盲注漏洞的自動(dòng)化程度后，不管是新手還是，都會(huì)有大量的工具可用。它們中有些是圖形化界面，有些是命令行，它有了SQL注入和SQL盲注的基礎(chǔ)知識(shí)之后，現(xiàn)在轉(zhuǎn)向進(jìn)一步利用漏洞：識(shí)別并利用一個(gè)不錯(cuò)的注入點(diǎn)之后，如何快速發(fā)現(xiàn)注入并修復(fù)漏洞。

在安全運(yùn)營(yíng)工作當(dāng)中，經(jīng)常需要系統(tǒng)日志、設(shè)備威脅事件日志、告警日志等，各種日志進(jìn)行收集匯聚，具體分析，通過(guò)日志來(lái)分析威脅事件發(fā)生源頭、相關(guān)聯(lián)的人和資產(chǎn)關(guān)系，以日志數(shù)據(jù)的角度，來(lái)追究溯源威脅事件發(fā)生的過(guò)程和基本概括原貌。評(píng)估威脅事件產(chǎn)生危害的影響范圍，關(guān)聯(lián)到人與資產(chǎn)，采取順藤摸瓜，將各種信息進(jìn)行關(guān)聯(lián)，無(wú)論是二維關(guān)系數(shù)據(jù)聯(lián)系關(guān)聯(lián)，還是大數(shù)據(jù)分析建模，數(shù)據(jù)的分類(lèi)采集都是基礎(chǔ)工作。
企業(yè)安全相關(guān)的各種日志數(shù)據(jù)，存放的位置、形式、大小、業(yè)務(wù)、使用人群都不同，如何根據(jù)不同業(yè)務(wù)規(guī)模的日志數(shù)據(jù)，采取相得益彰的技術(shù)形式進(jìn)行合理的日志、聚合、分析、展示，就成為了一個(gè)課題，接下來(lái)，我們主要圍繞這些相關(guān)的主題進(jìn)行討論分享，通過(guò)具體的日志聚合分析實(shí)踐，讓數(shù)據(jù)有效的關(guān)聯(lián)，使其在威脅事件分析、應(yīng)急事件分析響應(yīng)過(guò)程中讓數(shù)據(jù)起到方向性指引作用、起到探測(cè)器的作用，通過(guò)以上技術(shù)實(shí)踐，讓更多日志數(shù)據(jù)，有效的為企業(yè)安全運(yùn)營(yíng)提供更好的服務(wù)。
在實(shí)際工作當(dāng)中，日志聚合分析工具種類(lèi)繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場(chǎng)景為例子，結(jié)合這些工具的使用，向大家展示在實(shí)際數(shù)據(jù)工作中數(shù)據(jù)運(yùn)營(yíng)的情況，如何進(jìn)行數(shù)據(jù)聚合分析，以提供實(shí)際的操作案例，能能直觀的了解數(shù)據(jù)管理的工作流程，之后可以重復(fù)實(shí)踐，不繞道走遠(yuǎn)路，著重給出日志分析工具使用的要點(diǎn)，快速上手掌握相關(guān)工具的使用，掌握日常日志數(shù)據(jù)實(shí)操及相關(guān)方法。
為了方便實(shí)踐，盡量避免商業(yè)系統(tǒng)和設(shè)備在案例中的出現(xiàn)，以可以方便取材的開(kāi)源項(xiàng)目為基礎(chǔ)，展開(kāi)案例的講解，大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng)，在本地完成實(shí)踐練習(xí)過(guò)程。本篇介紹入侵檢測(cè)系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過(guò)對(duì)入侵檢測(cè)系統(tǒng)的日志進(jìn)行收集，來(lái)展現(xiàn)日志收集處理的典型過(guò)程。
開(kāi)源IDS系統(tǒng)Suricata與威脅事件日志管理平臺(tái)Graylog結(jié)合，對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行截取與日志收集分析統(tǒng)計(jì)，通過(guò)Suricata捕獲輸出的日志，經(jīng)過(guò)Nxlog日志收集工具，將相關(guān)事件日志、告警日志、HTTP日志，通過(guò)Graylog進(jìn)行日志聚合，對(duì)日志進(jìn)行統(tǒng)計(jì)分析，分析網(wǎng)絡(luò)環(huán)境中存在各種威脅事件類(lèi)型，通過(guò)自定義Suricata的檢測(cè)規(guī)則，控制入侵檢測(cè)的策略，以及入侵檢查系統(tǒng)的輸出結(jié)果。

獲取SSL證書(shū)
如果您計(jì)劃在Web服務(wù)器上傳輸任何敏感用戶(hù)數(shù)據(jù)，則必須使用安接字層(SSL)證書(shū)。SSL是一種在瀏覽器級(jí)別發(fā)生的加密協(xié)議，可確保所有傳入和傳出的Web請(qǐng)求都被外部人員屏蔽。作為所有者，您有責(zé)任從機(jī)構(gòu)獲取有效的SSL證書(shū)并使其保持新。使用您的域名配置后，用戶(hù)將在瀏覽器中看到URL旁邊的掛鎖符號(hào)，這是安全的通用指標(biāo)。
使用CDN加速
盡管近年來(lái)全球互聯(lián)網(wǎng)速度越來(lái)越快，連接不同地域時(shí)仍會(huì)遇到延遲，一種流行的解決方案是采用CDN加速。CDN提供商在不同區(qū)域維護(hù)一組服務(wù)器用于緩存內(nèi)容的某些部分，以提高加載速度并實(shí)現(xiàn)大規(guī)模流量的負(fù)載均衡，降低DDoS攻擊損害。

文件上傳漏洞。造成文件上傳漏洞的主要原因是應(yīng)用程序中有上傳功能，但上傳的文件沒(méi)有通過(guò)嚴(yán)格的合法性檢查或者檢查功能有缺陷，導(dǎo)致木馬文件上傳到服務(wù)器。文件上傳漏洞危害大，因?yàn)閻阂獯a可以直接上傳到服務(wù)器，可能造成服務(wù)器網(wǎng)頁(yè)修改、網(wǎng)站暫停、服務(wù)器遠(yuǎn)程控制、后門(mén)安裝等嚴(yán)重后果。文件上傳的漏洞主要是通過(guò)前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://coolerbeats.net