SINE安全對網(wǎng)站漏洞檢測具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測服務(wù)都是由我們?nèi)斯とz測，比如對代碼進行審計，以及都每個網(wǎng)站或APP的功能進行單的詳細測試，如跨權(quán)限漏洞，支付漏洞繞過，訂單價格被篡改，或訂單支付狀態(tài)之類的，或會員找回密碼這里被強制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
其實從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個簡單的例子，如網(wǎng)站的數(shù)據(jù)檢驗功能，不允許前端提交不符合當前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實現(xiàn)這個功能，首先開發(fā)者肯定要在前端實現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗會很差，且占用服務(wù)器端的資源。
但是沒有安全意識或覺得麻煩的開發(fā)者就會僅僅在前端用Js進行校驗，后端沒有重復(fù)進行校驗。這樣就很容易給惡意用戶機會：比如不通過前端頁面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等。總之，前端的傳過來的數(shù)據(jù)可信度基本上可以認為比較低，太容易被利用了。
而我的思路都是很簡單的，就是關(guān)注比較重要的幾個節(jié)點，看看有沒有可乘之機。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個網(wǎng)站，加載的Js文檔都沒有進行混淆，注釋也都留著，還寫得很詳細。比較湊巧的是，這兩個網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

在安全運營工作當中，經(jīng)常需要系統(tǒng)日志、設(shè)備威脅事件日志、告警日志等，各種日志進行收集匯聚，具體分析，通過日志來分析威脅事件發(fā)生源頭、相關(guān)聯(lián)的人和資產(chǎn)關(guān)系，以日志數(shù)據(jù)的角度，來追究溯源威脅事件發(fā)生的過程和基本概括原貌。評估威脅事件產(chǎn)生危害的影響范圍，關(guān)聯(lián)到人與資產(chǎn)，采取順藤摸瓜，將各種信息進行關(guān)聯(lián)，無論是二維關(guān)系數(shù)據(jù)聯(lián)系關(guān)聯(lián)，還是大數(shù)據(jù)分析建模，數(shù)據(jù)的分類采集都是基礎(chǔ)工作。
企業(yè)安全相關(guān)的各種日志數(shù)據(jù)，存放的位置、形式、大小、業(yè)務(wù)、使用人群都不同，如何根據(jù)不同業(yè)務(wù)規(guī)模的日志數(shù)據(jù)，采取相得益彰的技術(shù)形式進行合理的日志、聚合、分析、展示，就成為了一個課題，接下來，我們主要圍繞這些相關(guān)的主題進行討論分享，通過具體的日志聚合分析實踐，讓數(shù)據(jù)有效的關(guān)聯(lián)，使其在威脅事件分析、應(yīng)急事件分析響應(yīng)過程中讓數(shù)據(jù)起到方向性指引作用、起到探測器的作用，通過以上技術(shù)實踐，讓更多日志數(shù)據(jù)，有效的為企業(yè)安全運營提供更好的服務(wù)。
在實際工作當中，日志聚合分析工具種類繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場景為例子，結(jié)合這些工具的使用，向大家展示在實際數(shù)據(jù)工作中數(shù)據(jù)運營的情況，如何進行數(shù)據(jù)聚合分析，以提供實際的操作案例，能能直觀的了解數(shù)據(jù)管理的工作流程，之后可以重復(fù)實踐，不繞道走遠路，著重給出日志分析工具使用的要點，快速上手掌握相關(guān)工具的使用，掌握日常日志數(shù)據(jù)實操及相關(guān)方法。
為了方便實踐，盡量避免商業(yè)系統(tǒng)和設(shè)備在案例中的出現(xiàn)，以可以方便取材的開源項目為基礎(chǔ)，展開案例的講解，大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng)，在本地完成實踐練習過程。本篇介紹入侵檢測系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過對入侵檢測系統(tǒng)的日志進行收集，來展現(xiàn)日志收集處理的典型過程。
開源IDS系統(tǒng)Suricata與威脅事件日志管理平臺Graylog結(jié)合，對網(wǎng)絡(luò)環(huán)境進行截取與日志收集分析統(tǒng)計，通過Suricata捕獲輸出的日志，經(jīng)過Nxlog日志收集工具，將相關(guān)事件日志、告警日志、HTTP日志，通過Graylog進行日志聚合，對日志進行統(tǒng)計分析，分析網(wǎng)絡(luò)環(huán)境中存在各種威脅事件類型，通過自定義Suricata的檢測規(guī)則，控制入侵檢測的策略，以及入侵檢查系統(tǒng)的輸出結(jié)果。

修改后臺初始密碼
每個都有一個后臺賬戶，用于日常的維護更新，而很多后臺初始密碼都過于簡單，在拿到后臺管理賬號密碼時，要先把初始密碼修改掉，帳號密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。

早上，我突然被客戶告知，他部署在云平臺的服務(wù)器被檢測到webshell，已經(jīng)查殺了，而且云平臺檢測到這個ip是屬于我公司的，以為是我們公司做了測試導(dǎo)致的，問我這個怎么上傳的webshell，我當時也是一臉懵逼，我記得很清楚這是我的項目，是我親自測試的，上傳點不會有遺漏的，然后開始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進行webshel查殺，進行巡檢，找找看是否被別人入侵了，是否存在后門等等情況。雖然報的是我們公司的ip，萬一漏掉了幾個webshell，被別人上傳成功了沒檢測出來，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個webshell查殺工具進行查殺，使用netstat-anpt和iptables-L判斷是否存在后門建立，查看是否有程序占用CPU，等等，此處不詳細展開了。萬幸的是服務(wù)器沒有被入侵，然后我開始著手思考這個上傳點是怎么回事。
文檔上傳漏洞回顧首先，我向這個和我對接的研發(fā)人員咨詢這個服務(wù)器對外開放的，要了之后打開發(fā)現(xiàn)，眼熟的不就是前不久自己測試的嗎？此時，我感覺有點懵逼，和開發(fā)人員對質(zhì)起這個整改信息，上次測試完發(fā)現(xiàn)這個上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當時我還發(fā)現(xiàn)，這個雖然上傳是做了白名單限制，也對上傳的文檔名做了隨機數(shù)，還匹配了時間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個上傳路徑和文檔名，這個和他提議要進行整改，不然這個會造成這個文檔包含漏洞，他和我反饋這個確實進行整改了，沒有返回這個路徑了。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項功能都進行了全面的安全檢測。
http://coolerbeats.net