許多客戶在網(wǎng)站，以及APP上線的同時，都會提前的對網(wǎng)站進行全面的滲透測試以及安全檢測，提前檢測出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
在安全運營工作當中，經(jīng)常需要系統(tǒng)日志、設備威脅事件日志、告警日志等，各種日志進行收集匯聚，具體分析，通過日志來分析威脅事件發(fā)生源頭、相關聯(lián)的人和資產(chǎn)關系，以日志數(shù)據(jù)的角度，來追究溯源威脅事件發(fā)生的過程和基本概括原貌。評估威脅事件產(chǎn)生危害的影響范圍，關聯(lián)到人與資產(chǎn)，采取順藤摸瓜，將各種信息進行關聯(lián)，無論是二維關系數(shù)據(jù)聯(lián)系關聯(lián)，還是大數(shù)據(jù)分析建模，數(shù)據(jù)的分類采集都是基礎工作。
企業(yè)安全相關的各種日志數(shù)據(jù)，存放的位置、形式、大小、業(yè)務、使用人群都不同，如何根據(jù)不同業(yè)務規(guī)模的日志數(shù)據(jù)，采取相得益彰的技術形式進行合理的日志、聚合、分析、展示，就成為了一個課題，接下來，我們主要圍繞這些相關的主題進行討論分享，通過具體的日志聚合分析實踐，讓數(shù)據(jù)有效的關聯(lián)，使其在威脅事件分析、應急事件分析響應過程中讓數(shù)據(jù)起到方向性指引作用、起到探測器的作用，通過以上技術實踐，讓更多日志數(shù)據(jù)，有效的為企業(yè)安全運營提供更好的服務。
在實際工作當中，日志聚合分析工具種類繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場景為例子，結(jié)合這些工具的使用，向大家展示在實際數(shù)據(jù)工作中數(shù)據(jù)運營的情況，如何進行數(shù)據(jù)聚合分析，以提供實際的操作案例，能能直觀的了解數(shù)據(jù)管理的工作流程，之后可以重復實踐，不繞道走遠路，著重給出日志分析工具使用的要點，快速上手掌握相關工具的使用，掌握日常日志數(shù)據(jù)實操及相關方法。
為了方便實踐，盡量避免商業(yè)系統(tǒng)和設備在案例中的出現(xiàn)，以可以方便取材的開源項目為基礎，展開案例的講解，大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng)，在本地完成實踐練習過程。本篇介紹入侵檢測系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過對入侵檢測系統(tǒng)的日志進行收集，來展現(xiàn)日志收集處理的典型過程。
開源IDS系統(tǒng)Suricata與威脅事件日志管理平臺Graylog結(jié)合，對網(wǎng)絡環(huán)境進行截取與日志收集分析統(tǒng)計，通過Suricata捕獲輸出的日志，經(jīng)過Nxlog日志收集工具，將相關事件日志、告警日志、HTTP日志，通過Graylog進行日志聚合，對日志進行統(tǒng)計分析，分析網(wǎng)絡環(huán)境中存在各種威脅事件類型，通過自定義Suricata的檢測規(guī)則，控制入侵檢測的策略，以及入侵檢查系統(tǒng)的輸出結(jié)果。

文檔包含的概念很好理解，編程中經(jīng)常用到，比如python中的import、c中的include，php當然也不例外。但php“牛逼”的地方在于即使包含的文檔不是php類型，也不會報錯，并且其中包含的php代碼也會執(zhí)行，這是文檔包含漏洞產(chǎn)生的根本原因。文檔包含漏洞和任意文檔漏洞很相似，只不過一個是解析，一個是。
漏洞利用的幾種方式：1.向服務器寫馬：圖片中寫惡意代碼(結(jié)合文檔上傳），錯誤日志寫惡意代碼(錯誤訪問會被記錄到錯誤日志中），session中寫惡意代碼。訪問圖片、日志文檔或session文檔，服務器生成木馬，直接getshell。2.讀取敏感文檔：結(jié)合目錄遍歷漏洞讀取敏感文檔。3.偽協(xié)議：偽協(xié)議可以使用的話，可以嘗試讀取文檔或命令執(zhí)行。

這在目前的互聯(lián)網(wǎng)環(huán)境下，很容易出現(xiàn)安全問題，比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發(fā)生，再加上，這些中小企業(yè)普遍缺乏網(wǎng)絡安全投資和必要防護手段，抗擊打能力比較弱，一旦遭到網(wǎng)絡攻擊，蒙受巨大經(jīng)濟損失后將很難恢復元氣。

插件技術的本質(zhì)是通過APP軟件的重要函數(shù)，模擬APP客戶端，欺服務器發(fā)送虛假數(shù)據(jù)的手段。例如，瘋狂的紅包軟件，其原理是利用HOOK技術紅包函數(shù)，制作插件與APP函數(shù)對接，達到插件的目的，一些大型APP軟件具有HOOK識別機制，但大多數(shù)APP仍然沒有保護的概念。解決方案:混淆或加密關鍵函數(shù)或代碼執(zhí)行過程。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://www.cxftmy.com