為什么企業網站需要滲透測試?如何入侵網站掛碼的?
作為公司的運維人員,特別是中大型企業,網站被攻擊,網站打不開是一件再平常不過的事情了。今天我們就來說說黑客是如何入侵你的網站導致用戶無法正常訪問的。由于關注我們的用戶有一些是企業運維者,所以小編在后面再說下為什么企業網站需要做滲透測試。目前的網站可分為三大塊:個人運營、團隊/公司運營、政府運營。個人網站比例還是很大的,這種網站多數采用開源系統。如博客類:Wordpress、Emlog、Typecho、Z-blog、More...,
社區類:Discuz、PHPwind、StartBBS、Mybb等等。團隊/公司網站使用常用的開源CMS比例也是非常大,政府類網站基本上外包開發較多。當然互聯網公司自家產品應用必然都是公司自主開發:淘寶、知乎、豆瓣等等。如果更廣泛的話,可分為兩大塊:開源與閉源。能夠有效說明網站偽安全的就是從實戰出發的角度去證明到底是不是真的固若金湯。
這里之所以講到入侵方法不是為了教大家如何入侵網站,而是了解入侵的方法多種多樣,知己知彼才能百戰不殆。菜刀能夠用來切菜,同樣也能夠用來殺人。下面我們就來說下黑客入侵網站的一些普通的流程。
1、信息收集
1.1/ Whois信息--注冊人、電話、郵箱、DNS、地址
1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集
1.3/ 服務器IP--Nmap掃描、端口對應的服務、C段
1.4/ 旁注--Bing查詢、腳本工具
1.5/ 如果遇到CDN--Cloudflare(繞過)、從子域入手(mail,postfix)、DNS傳送域漏洞
1.6/ 服務器、組件(指紋)--操作系統、web server(apache,nginx,iis)、腳本語言
1.7/ More...
通過信息收集階段,攻擊者基本上已經能夠獲取到網站的絕大部分信息,當然信息收集作為網站入侵的第一步,決定著后續入侵的成功。
2、漏洞挖掘
2.1/ 探測Web應用指紋--Discuz、PHPwind、Dedecms、Ecshop...
2.2/ XSS、CSRF、XSIO、SQLinjection、權限繞過、任意文件讀取、文件包含...
2.3/ 上傳漏洞--截斷、修改、解析漏洞
2.4/ 有無驗證碼--進行暴力破解
2.5/ More...
經過漫長的一天,攻擊者手里已經掌握了你網站的大量信息以及不大不小的漏洞若干,下一步他們便會開始利用這些漏洞獲取網站權限。
3、漏洞利用
3.1/ 思考目的性--達到什么樣的效果
3.2/ 隱藏,破壞性--根據探測到的應用指紋尋找對應的EXP攻擊載荷或者自己編寫
3.3/ 開始漏洞攻擊,獲取相應權限,根據場景不同變化思路拿到webshell
4、權限提升
4.1/ 根據服務器類型選擇不同的攻擊載荷進行權限提升
4.2/ 無法進行權限提升,結合獲取的資料開始密碼猜解,回溯信息收集
5、植入后門
5.1/ 隱蔽性
5.2/ 定期查看并更新,保持周期性
6、日志清理
6.1/ 偽裝性,隱蔽性,避免激警他們通常選擇刪除指定日志
6.2/ 根據時間段,find相應日志文件 太多太多。。。
說了那么多,這些步驟不知道你看懂了多少?其實大部分的腳本小黑顯然不用這些繁瑣的步驟,他們只喜歡快感!通常他們會使用各種漏洞利用工具或者弱口令(admin,admin888)進行攻擊。當然,這種“黑客”僅僅是出于“快感”而去想入侵你的網站,如果是別有它意的人,麻煩就來了。
說完入侵的流程,我們來說下為什么企業網站需要做滲透測試。
第一:網絡安全法規定
2017年6月1日正式實施的網絡安全法中明確要求:第三十三條,至第三十八條針對關鍵信息基礎設施運營者所做的規定(如關鍵信息基礎設施運營商應當自行或委托網絡安全服務機構對其網絡安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門),具有相當的強制性——在法律責任部分明確提到若不履行這些規定,則由有關主管部門責令整改、給予警告;
拒不改正或導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,而且還對直接負責的主管人員除以一萬元以上、十萬元以下罰款。
關于網絡安全法的解讀,可以點擊【網絡安全解讀】進行查看
值得關注的是,在信息安全風險評估中,滲透測試是一種常用且非常重要的手段。
第二:滲透測試助力PCI DSS合規建設
在PCI DSS(Payment Card Industry Security Standards Council支付卡行業安全標準委員會)第 11.3中有這樣的要求:至少每年或者在基礎架構或應用程序有任何重大升級或修改后(例如操作系統升級、環境中添加子網絡或環境中添加網絡服務器)都需要執行內部和外部基于應用層和網絡層的滲透測試。
第三:ISO27001認證的基線要求
ISO27001 附錄“A12信息系統開發、獲取和維護”的要求,建立了軟件安全開發周期,并且特別提出應在上線前參照例如OWASP標準進行額外的滲透測試 。
第四:銀監會多項監管指引中要求
依據銀監會頒發的多項監管指引中明確要求,對銀行的安全策略、內控制度、風險管理、系統安全等方面需要進行的滲透測試和管控能力的考察與評價。
第五:最大限度減少業務損失
除了滿足政策的合規性要求、提高客戶的操作安全性或滿足業務合作伙伴的要求。最終的目標應該是最大限度地減小業務風險。
企業需要盡可能多地進行滲透測試,以保持安全風險在可控制的范圍內。
網站開發過程中,會發生很多難以控制、難以發現的隱形安全問題,當這些大量的瑕疵暴露于外部網絡環境中的時候,就產生了信息安全威脅。
這個問題,企業可以通過定期的滲透測試進行有效防范,早發現、早解決。經過專業滲透人員測試加固后的系統會變得更加穩定、安全,測試后的報告可以幫助管理人員進行更好的項目決策,同時證明增加安全預算的必要性,并將安全問題傳達到高級管理層。
滲透測試與安全檢測的區別
滲透測試不同于傳統的安全掃描,在整體風險評估框架中,脆弱性與安全掃描的關系可描述為“承上”,即如上面所講,是對掃描結果的一種驗證和補充。另外,滲透測試相對傳統安全掃描的最大差異在于滲透測試需要大量的人工介入的工作。這些工作主要由專業安全人員發起,一方面,他們利用自己的專業知識,對掃描結果進行深入的分析和判斷。另一方面則是根據他們的經驗,對掃描器無法發現的、隱藏較深的安全問題進行手工的檢查和測試,從而做出更為精確的驗證(或模擬入侵)行為。
企業官網網站建設、響應式網站定制、H5網站開發、商城網站建設、營銷型網站建設、行業網站建設、電商平臺建設、SEO優化、微網站、微營銷、手機站、四站合一、微營銷、微信公眾平臺開發、微信代運營、微商城、三級分銷系統、服務器租賃、域名申請、數據存儲、協同辦公等網站建設系列服務。
更多請關注官網:
www.hnyuju.net
www.1000531.cn
www.cnchengwang.com
www.chengwang.net
