加载成功，点击访问 | 您所访问的可能是无图版，图片内容无法显示，点击这里访问|{$sysname}

首页 →文档下载

基于欺骗防御技术的护网行动防护方案

以下为《基于欺骗防御技术的护网行动防护方案》的无排版文字预览，完整内容请下载

**_*

联系人：赵某某 ***

文档负责人

韩某某

文档版本编号

3.0

起草人

韩某某

文档起草日期

2019.07.23

复审人

复审日期

版本号

版本日期

创建/修订人

说明

本文档本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，均为保密信息。任何个人、机构未经*_**的书面授权许可，不得复制、引用或传播本文件的任何片断，无论通过电子形式或非电子形式。

1. 概述 4

1.1. 服务目标 4

1.2. 服务内容 4

2. 项目服务方案 5

2.1. 互联网暴露面安全服务 5

2.1.1. 哨兵云产品介绍 5

2.1.2. 互联网暴露面资产识别管理 5

2.1.3. 互联网暴露面资产漏洞扫描 5

2.1.4. 互联网暴露面漏洞周期监控 6

2.2. 人工渗透测试 6

2.2.1. 信息收集 6

2.2.2. 系统层安全测试 7

2.2.3. 网络层安全测试 7

2.2.4. 数据库层安全测试 8

2.2.5. WEB服务层安全测试 8

2.2.6. 应用层安全测试 8

2.2.7. 业务逻辑漏洞测试 12

2.3. 攻击威胁监测能力建设 14

2.3.1. 幻阵产品介绍 14

2.3.2. 幻阵部署案例 15

2.4. 护网期间专家驻场服务 16

2.4.1. 攻击威胁监测服务 16

2.4.2. 应急响应服务 17

概述

服务目标

本项目主要完成如下目标：

梳理华夏银行自有资产，收敛互联网络攻击暴露面。

渗透华夏银行自有资产，收敛互联网深层次安全风险。

建设黑客溯源能力，监测黑客攻击行为，溯源真实黑客。

专家驻场监测和应急，保障护网期间客户业务系统的安全性。

服务内容

本次安全服务包括安全产品安全能力建设、人工渗透测试和现场驻场服务：

服务名称

服务简介

互联网暴露面安全服务

通过哨兵云对客户内部、外部资产发现及漏洞检测。

人工渗透测试

通过人工渗透测试，发现华夏银行业务系统存在的安全漏洞

攻击威胁检测能力建设

通过幻阵部署，建立欺骗防御系统，发现黑客攻击行为，实现黑客溯源。

护网期间专家驻场服务

通过现场专家驻场值守，保证护网期间华夏银行业务系统安全性。

项目服务方案

互联网暴露面安全服务

哨兵云产品介绍

哨兵云是为了帮助企业进行资产稽核管理而打造的一款资产扫描系统，本产品可对公网设备或者内网设备进行扫描，主要功能是对设备进行信息收集，识别出设备类型、服务端口、使用组件及版本等设备资产信息，同时进行资产系统漏洞和应用漏洞风险的周期监控。

互联网暴露面资产识别管理

通过部署哨兵云产品，根据用户提供的已知资产，准确分辨资产来源，自动发现未知资产，将发现的未知资产添加到资产库中，自动、循环识别单位资产。就近调度监控检测服务实时监控资产的应用、服务等的变动情况，实现准确、快速对资产进行监控。系统可根据客户需求，对用户资产进行划分，并通过设定区域名称将资产归属到相对应的区域中。

针对互联网暴露面资产或者业务内网，通过资产发现、资产识别、资产建模，自动清点IT资产关系及网络边界，深度发现暴露在外设备，端口以及应用服务，智能识别资产属性以及重要度，并结合业务特点进行动态变换

互联网暴露面资产漏洞扫描

安全漏洞扫描主要是以远程扫描的方式对评估范围内的系统和Web应用进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

风险监测

基础风险监控：自动发现基线问题，实时检测基础漏洞

弱口令监控21大类：MySQL、SSH等常见弱口令漏洞

应用框架66个大类：Discuz,Thinkphp,Tomcat等

运维漏洞69个大类：（包括云组件）运维安全漏洞kafka,k8s,spark等

基线安全监控：高危端口、危险服务，数十万条CVE漏洞等基线漏洞

系统漏洞扫描主要包括如下内容：

高级风险监控

文件上传、CSRF漏洞、任意文件下载漏洞、不安全的正则、命令注入漏洞、不安全的HTTP方法、NodeJS注入漏洞、代码执行漏洞、登录爆破漏洞、请求头注入漏洞、不安全的JS代码库、SQL注入漏洞、LDAP漏洞、XXE漏洞、XSS漏洞、长***漏洞、XPATH注入漏洞、模板注入漏洞、Struts2漏洞、文件包含漏洞、URL重定向漏洞、JSONP漏洞、TTP参数污染、XFF内网IP绕过漏洞等。

互联网暴露面漏洞周期监控

哨兵云周期巡检监控包括资产巡检以及基础风险巡检两个核心监控巡检任务，资产巡检负责对资产的基本信息进行更新检测，如存活探测，端口服务指纹检测。基础风险巡检主要是针对资产巡检中更新的资产以及资产服务端口进行风险检测，主要有弱口令安全检测，CMS应用安全漏洞检测，以及用户自定义的端口服务基线检测。

人工渗透测试

默安渗透测试专家将在甲方的授权下通过模拟黑客的攻击方法对甲方相关网络、系统和人员进行无破坏性质的攻击性测试，以全面发现甲方业务系统以及人员等多个方面的安全风险。

渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现较高层次、较复杂的安全问题；渗透测试需要投入的人力资源非常大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

渗透测试中我方会针对目标单位具体情况进行针对性的社会工程学攻击。从人入手，利用各种信息收集和钓鱼攻击可攻破目标单位人员防线。达到进入办公场所、控制目标主机，获取机密情报等目的。

信息收集

系统资产挖掘

通过搜索引擎、子域名挖掘、SSL证书、APP逆向及抓包、DNS域传送漏洞等方式全面收集业务相关域名和IP信息。

Web应用资产挖掘

通过Nmap、哨兵云等工具对域名、IP等系统资产进行端口服务发掘，发现Web应用资产。

Github源码泄漏挖掘

通过Google、Github、哨兵云等平台和工具对被测客户相关主域名、开发人员、应用名称、代码特征字符串等进行公网源码泄漏风险挖掘。

系统层安全测试

漏洞扫描

通过自动化的系统漏洞扫描器（Nessus、哨兵云等）可以发现服务器各种重要信息，也有可能直接发现系统重要的系统安全漏洞。安全扫描充分了解系统安全的真实情况，也充分了解外部攻击者所能探测到的信息，同时也检验防火墙等安全设备的实际效果。

远程溢出

远程溢出测试基于漏洞扫描的结果，扫描发现的系统漏洞有可能是误报。当前系统远程漏洞并不多，而且大部分远程溢出漏洞都被防火墙和入侵检测挡在外面，不过一旦远程溢出被利用，攻击者很有可能就会获得系统的最高权限。

本地权限提升

攻击者通过攻击网站等应用程序后会获得一定的系统权限，在获得权限后就会利用系统本地溢出漏洞，系统缺陷，配置不当等漏洞进行权限提升，达到完全控制服务器的目的。

口令猜解

使用常见的密码对服务器系统进行远程密码猜解。包括系统***等系统应用。

跳板攻击

当控制了同网段的一台主机后向目标主机进行攻击，在此环境下一般最终目标服务器失去防火墙的保护，成功率比较大。

网络层安全测试

口令猜解

使用常见的密码对网络设备进行远程密码猜解。

嗅探监听

分别使用普通模式和ARP模式对网络中数据包进行嗅探。分析数据包的加密情况，获取网络中密文传输的telnet、ftp、数据库等服务的密码信息。通过嗅探监听攻击是黑客向来比较常用的针对服务端横向权限提升的方法。

ARP攻击测试

攻击者一旦获得网络中一台服务器最高权限后，他们往往会使用ARP挂马的方式对客户端主机进行攻击。ARP挂马攻击是黑客目前最常用的散布木马病毒的方法，是他们获得非法利益的途径。我们通过对ARP攻击的模拟测试，了解当前网络环境发生ARP攻击的可能性。

数据库层安全测试

漏洞扫描

通过漏洞扫描可以发现数据库服务器各种重要信息，也有可能直接发现系统重要的系统安全漏洞。

远程溢出

远程溢出测试基于漏洞扫描的结果，扫描发现的数据库系统漏洞有可能是误报。当前系统远程漏洞并不多，而且大部分远程溢出漏洞都被防火墙和入侵检测挡在外面，不过一旦远程溢出被利用，攻击者很有可能就会获得系统的最高权限。

口令猜解

使用常见的密码对数据库系统进行远程密码猜解。

WEB服务层安全测试

CGI漏洞扫描

CGI漏洞通常是导致服务端脚本文件代码的暴露，或者是程序的任意执行等等。部分WEB服务器在安装时默认安装了不需要的系统组件，这些组件很可能存在不同程度的风险。同时，由于这类已知的CGI漏洞利用技术都是很成熟，所以对系统的安全也有较大的威胁。

口令猜解

使用常见的***系统管理组件进行远程密码猜解。

应用层安全测试

漏洞扫描

通过自动化的应用漏洞扫描器（DAST——AWVS、AppScan，IAST-Burp Suite、雳鉴IAST等）对应用进行扫描可以发现应用系统各种重要信息，也有可能直接发现系统重要的安全漏洞。通过IAST工具对DAST的补充，可以更大地覆盖应用系统的URI使得攻击向量更加全面（如：DAST无法覆盖的孤立API、Ajax请求、无法构造的POST表单等），从而发现更多隐藏在深处的应用安全漏洞。

系统结构分析

通过对系统进行智能搜索扫描，从结构上剖析了整个系统的组织结构，可以更加直观的看到整个系统的实施。

隐藏文件探测

通过隐藏文件的智能探测，除了已有的所有公开页面以外，智能搜索并探测在这些目录下是否存在隐藏文件。这些文件很有可能就是系统的一些配置文件，或者是系统管理员忘记删除的程序说明书，或者是系统后台登陆的重要文件。这些文件极有可能导致系统重要数据的泄漏，最终导致整个系统权限的沦陷。

备份文件探测

通过备份文件的智能探测，除了已有的所有公开页面以外，智能搜索并探测在这些目录下是否存在备份文件。这些文件很有可能就是系统的一些重要文件的备份信息，或者是系统管理员忘记删除的系统数据库备份。这些文件是最有可能导致系统重要数据的泄漏的风险点，直接威胁着整个系统的整体安全。

用户名和密码猜解

通常，系统是不提供用户注册的，但是由于内部用户的粗心大意留下了简单密码的帐户，导致外部人员可以使用内部功能。于此同时，内部功能上的风险也暴露给了外部人员。

错误信息挖掘

通过发送特殊的字符串参数导致系统错误，根据返回的错误信息分析得到有价值的内容。

跨站脚本漏洞挖掘

跨站脚本攻击漏洞通常出现在用户和应用程序进行信息交互的接口处，这种漏洞使用户访问应用程序的时候执行恶意代码，可以直接导致用户数据的泄漏，最终不但有损系统的信誉度，同时还威胁到服务器的安全性。

SQL注射漏洞挖掘

SQL注射类型的漏洞通常是出现在用户和服务器进行信息交互的接口处，这种漏洞使得服务器的后台数据库内的信息很有可能直接暴露出来，造成机密信息的泄漏。如果其中包含管理员的账号信息，其危害也就不言而喻了。更重要的是站在系统用户的角度来说，这种问题的出现严重影响到了系统在客户心中的信誉度。

后台管理地址暴露

应保证应用系统的管理安全，后台管理界面不能向互联网暴露。若业务上有必要，应对管理员采用限制IP访问、认证保护等两种或两种以上的方式进行防护。

XML注入漏洞挖掘

目前一些普遍使用XML的场景中都存在一种古老的XML实体注入漏洞，这可能导致较为严重的安全问题，使得攻击者可能可以任意访问服务器以及应用所在网络的任何资源。

命令注入漏洞挖掘

命令注入攻击是指由于Web应用程序对用户提交的数据过滤不严格，导致黑客可以通过构造特殊命令字符串的方式，将数据提交至Web应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。

XPATH注入漏洞挖掘

XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法，它允许攻击者在事先不知道XPath查询相关知识的情况下，通过XPath查询得到一个XML文档的完整内容。

Json hijacking/Json劫持注入漏洞挖掘

JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成，这种纯文本的数据交互方式由于可以天然的在浏览器中使用，所以随着ajax和web业务的发展得到了广大的发展，各种大型网站都开始使用，包括Yahoo，Google，Tencent，Baidu等等，目前各都有用这种方式来实现数据交互。但是如果这种交互的方式用来传递敏感的数据，并且传输的时候没有做太多安全性控制的话将导致安全漏洞，根据敏感信息的不同导致会导致应用遭受不同级别的攻击。

XFF注入漏洞挖掘

XFF，是X-Forwarded-for的缩写，XFF注入是SQL注入的一种，该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入，从而得到网站的数据库内容。

CRLF注入漏洞挖掘

HTTP响应头拆分漏洞（CRLF）”是一种新型的web攻击方案，它重新产生了很多安全漏洞包括：web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。

会话标识未更新

会话标识未更新漏洞，在用户进入登录页面，但还未登录时，就已经产生了一个session，用户输入信息，登录以后，session的id不会改变，也就是说没有建立新session，原来的session也没有被销毁）, 可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

文件上传漏洞挖掘

文件上传漏洞，指可以利用WEB上传一些特定的文件。一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是web中最为常见的一种功能需求，文件上传之后服务器端的处理、解释文件的过程不安全将造成页面可被篡改、利用服务端脚本语言获取Webshell甚至是获取服务器交互式shell等安全风险。

远程命令执行漏洞挖掘

低版本的Struts2框架或不安全的Struts配置可造成远程代码执行漏洞，该漏洞可导致远程服务器直接被控制。

Java反序列化漏洞挖掘

低版本的Weblogic、Jboss等中间件自带应用及不安全的Java应用编写可造成Java反序列化漏洞，该漏洞可导致远程服务直接被控制。

NodeJS SSJS注入漏洞挖掘

NodeJS是服务端的Javascript代码，NodeJS应用使用Eval等敏感系统函数时，如果未对传入参数进行过滤，可导致远程服务直接被控制。

svn源码泄漏漏洞挖掘

一旦网站出现SVN漏洞，其危害远比SQL注入等其它常见网站漏洞更为致命，因为黑客获取到网站源代码后，一方面是掠夺了网站的技术知识资产，另一方面，黑客还可通过源代码分析其它安全漏洞，从而对网站服务器及用户数据造成持续威胁。更严重的问题在于，SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本（低版本SVN具体路径为text-base目录，高某某SVN为pristine目录），如果服务器没有对此类后缀做解析，黑客则可以直接获得文件源代码。

SSRF漏洞挖掘

服务端请求伪造攻击（Server-side Request Forgery）漏洞可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。如：可以对外网、服务器所在内网、本地进行端口扫描、远程溢出或构造如Struts2等GET请求类型的远程代码执行进行攻击

目录浏览漏洞挖掘

存在目录可浏览漏洞，这会导致网站很多隐私文件与目录泄露，比如数据库备份文件、配置文件等，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。风险：攻击者通过访问网站某一目录时，该目录没有默认首页文件或没有正确设置默认首页文件，将会把整个目录结构列出来，将网站结构完全暴露给攻击者；攻击者可能通过浏览目录结构，访问到某些隐秘文件（如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等）。

目录穿越漏洞挖掘

存在目录穿越漏洞可通过类似/../../../../WINDOWS/SchedLgU.Txt%00.js Payload遍历远程服务器文件，造成敏感信息泄漏。

业务逻辑漏洞测试

密码复杂度

测试应用系统用户注册、修改密码、密码重置等流程中的设置密码功能是否具备服务端校验的强制密码复杂度策略。

会话超时时间

针对敏感业务系统，测试应用系统是否具备自动超时退出机制。

越权访问

结合自动化Web扫描器爬虫发现的站点树目录结构，对/admin、/system、/data及敏感业务路径，业务API接口进行未认证直接访问，看是否可以无需认证进行越权访问敏感页面、数据或执行敏感业务流程。

水平越权

通过替换同级别用户B的Cookie或其他认证token方式重放用户A的业务流程请求，查看业务流程是否执行成果，达到测试常见业务场景是否存在水平越权的目的。测试方法可以是BurpSuite抓包改包重放请求，也可以通过雳鉴IAST工具自动完成。

垂直越权

通过替换不同级别用户B的Cookie或其他认证token方式重复用户A的业务流程请求，查看业务流程是否执行成果，达到测试常见业务场景是否存在水平越权的目的。测试方法可以是BurpSuite抓包改包重放请求，也可以通过雳鉴IAST工具自动完成。

跨站请求伪造

针对各需要权限操作的业务场景，如：余额查询、账单查询、信息修改、成员添加、转账和流程审批等进行Referer、和CSRF token验证测试，发现跨站请求伪造攻击风险。

不安全的登录提示

针对登录场景进行测试，如有“用户名不存在”、“手机号未注册”、“用户名错误”和“***;等不安全的登录提示可造成用户名可猜测甚至是暴力枚举。

图形验证码绕过

针对图形验证码是否可复用、是否前端生成、是否容易通过脚本识别进行测试。

短信验证码

测试业务场景中短信验证码是否可以被破解、短信验证码是否可以复用、是否存在短信轰炸漏洞、短信接口是否可以枚举猜测系统注册手机号、短信验证码是否返回前端、短信内容是否可操控和短信发送目标可操控等短信弱点进行测试。

重认证

针对密码修改、绑定手机号或邮箱信息等认证找回凭据修改等敏感业务流程进行重认证测试，确认是否具备再次认证用户密码或短信验证码的机制。

二次认证

针对转账、支付等交易类的敏感业务流程进行二次认证测试，确认是否具备再次认证交易密码或短信验证码的机制。

业务流程绕过

针对用户登录、密码找回、密码修改及网站业务流程进行分析，通过抓包分解业务流程，重放后置流程请求的方式查看是否可以绕过前置的身份认证流程，达到业务流程绕过的目的。

逻辑漏洞

针对转账、支付等交易场景进行交付金内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。和解决方案。

同时帮助客户建立健全应急响应体系，完善各类应急管理流程，管理办法，确保应急管理方法的可落地性，降低企业应急响应处置成本，提升企业效益。

应急响应的目标是：

最短时间内恢复业务

最大限度降低造成的损失

确定事件发生的原因，溯源攻击

保证护网期间业务系统安全性

总结经验，防止同类事件再次发生

方法及流程

服务范围

支持以下安全事件的应急响应服务

木马植入

僵尸网络

病毒传播

挖矿

WebShell

页面、数据篡改

漏洞攻击

拒绝访问

扫描攻击

信息泄露

其他安全相关

服务方式

现场服务：安服人员在客户现场进行应急服务，市内3小时响应。

远程服务：安服人员通过远程方式，协助客户分析和处置安全事件。

服务流程

评估攻击

根据安全设备和系统日志及现场情况评估事件，找出故障点，初步分析需要的时间。

抑制攻击

通过技术手段停止或抑制当前攻击，尽可能降低对业务造成的影响。

恢复业务

抑制攻击后，第一时间恢复业务。

分析溯源

对安全事件进行分析，确定问题点，事件级别，应如何修补，以后如何防范，并对攻击者进行溯源查询。

报告交付

提交本次应急响应的报告，以及相关建议。

脚本查找

[文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]请点击下方选择您需要的文档下载。

以上为《基于欺骗防御技术的护网行动防护方案》的无排版文字预览，完整内容请下载

基于欺骗防御技术的护网行动防护方案由用户“eickjay881005”分享发布，转载请注明出处

XXXXX相关资讯

XXXXX猜你喜欢

回顶部 | 首页 | 电脑版 | 举报反馈更新时间2021-09-02 16:49:51