4.1 主動式(全自動 ):web2.0、互動式漏洞掃瞄 4.2 半自動式漏洞分析:業務重放、url映象,實現高覆蓋度 4.3 被動式漏洞分析:應對0day和孤島頁面• 使用常見的漏洞掃瞄器 • 自動fuzz,填充各種攻擊性資料 • 業務邏輯混淆,導致服務出錯
• 侷限: • 難以處理高互動式應用 • 只能發現暴露給使用者(搜尋引擎)的鏈結,難以覆蓋100%的業務鏈結 • 解決方法:引入半被動式漏洞分析方法 • 在人工未參與的情況下,50%以上的web應用系統存在高危漏洞
測試過程使用 burpsuite、fiddler:
http(s)業務流量錄製與重放掃瞄 手工修改業務資料流 對手機app也適用
檢測邏輯漏洞: •水平許可權繞過 •訂單修改 •隱藏域修改
• 從日誌中獲取url記錄
1. fiddler的url日誌 2. 獲取apache、nginx、tomcat的access日誌 3. 從旁路映象中提取url日誌 (安全人員不用再被動等待應用 的上線通知)從fiddler2、 burpsuite 匯出url日誌 再匯入到漏洞掃瞄器掃瞄
2.獲取apache、nginx、tomcat的access日誌
360-日誌寶 splunk 各種日誌審計系統
從旁路映象中提取url日誌 (安全人員不用再被動等待應用 的上線通知) 如:jnstniffer、 360鷹眼、各大it公司等
• 從旁路映象中獲取url列表,能高效地檢出大量的漏洞,不需要運維人員通知,便可以獲知業務系統的上線情況並執行漏洞掃瞄任務。
- 侷限 ① 時間滯後/token: 流量重發時,不一定能100%重現當時的業務流程及出現的bug。 ② 依然難以覆蓋100%的業務鏈結,存在孤島頁面。(正常資料流不觸發) ③ 漏洞檢測(防禦)技術滯後於攻擊技術,無法解決0day漏洞 - 解決方法:引入全被動式漏洞分析
國外產品:nessus pvs被動掃瞄
全被動式掃瞄vs主動式漏洞掃瞄器 相同點:都是根據雙向資料報的內容,判斷漏洞是否存在 不同點: 檢測方式:被動式掃瞄不需要聯網,不會主動發出url請求,也不發出任何資料報 pvs和ids的區別: • 更關注漏洞感知,而不是入侵,如頁面出現sql錯誤資訊,可觸發pvs報警,但不會觸發ids報警。 • 報警結果不一樣:pvs按照漏洞的風險等級,ids按照黑客的攻擊手段報警 • 雙向分析資料報文 • 更關注於web應用,owasp top10的攻擊手段 • 按攻擊影響報警(分析雙向報文),而不是按攻擊手段去報警(分析單向報文) nessus的pvs只是乙個思路,它專注及網路及主機漏洞,對web應用的檢測能力有限,需要重新設計乙個針對web的pvs出來:webpvs,同步接受使用者提交的所有業務請求,通過掃瞄引擎識別請求,一旦發現惡意請求或者該請求返回資料,觸發報警處理
• webpvs的優點: • 雖然依然難以覆蓋100%的業務鏈結,但是能覆蓋100%已經發生的業務鏈結。 • 能與黑客同步發現各種漏洞 • 由於http協議是固定,因此能夠根據回包情況發現0day攻擊。
三位一體的漏洞分析方法 web應用安全測試方法
本文 烏雲知識庫 節選自 使用常見的漏洞掃瞄器 自動fuzz,填充各種攻擊性資料 業務邏輯混淆,導致服務出錯 侷限 難以處理高互動式應用 只能發現暴露給使用者 搜尋引擎 的鏈結,難以覆蓋100 的業務鏈結 解決方法 引入半被動式漏洞分析方法 在人工未參與的情況下,50 以上的web應用系統存在高危漏...
微信營銷三位一體
一種奇特的方法 移動網際網路的最大商機,人人都必須知道。運用網際網路思維 本地 線上 除此之外,您將了解近百家成功運 營 平台的 秘 密 法 則,lai三位一體運營法則。總結幾百家成功運營平台總結的運營模式,lai三位一體運營法則.微 營 銷 時 代,獻給所有對現有收入不滿的人,獻給苦苦尋找 賺 錢...
架構 專案 產品三位一體
寫 寫的久了考慮問題就不單純從 本身去考慮了,今天梳理一些語言基礎時突然想到這個話題,展開寫點自己的經驗和想法。對公司來說真正關心的是提供的產品和服務是否有足夠的競爭力,以給公司帶來可觀的收益,這個時候產品層面的重要性就體現出來了。一般來說,公司提供的產品都有相應的產品規劃,聚焦在哪些產品上怎麼體現...