公司首页
供应商机
关于我们
公司动态
荣誉认证
招聘中心
客户案例
产品知识
联系方式
服务人工
漏洞检测项目所有
优势解决不掉
APP漏洞检测支持
服务地区全国
SINE安全对网站漏洞检测具有的安全技术人员,而且完全不依靠软件去扫描,所有漏洞检测服务都是由我们人工去检测,比如对代码进行审计,以及都每个网站或APP的功能进行单的详细测试,如跨权限漏洞,支付漏洞绕过,订单价格被篡改,或订单支付状态之类的,或会员找回密码这里被强制找回等,还有一些逻辑漏洞,上传漏洞,垂直权限漏洞等等。在对客户的网站进行服务的同时,我们首先要了解分析数据包以及网站的各项功能,有助于我们在渗透测试中发现漏洞,修复漏洞,综合客户网站的架构,规模,以及数据库类型,使用的服务器系统,是windows还是linux,前期都要收集信息,做到知彼知己百战不殆。只有真正的了解了网站,才能一层一层地找出漏洞所在。网站使用的是php语言开发,采用是mysql数据库,客户服务器用的是linux centos系统,用phpstudy一键环境搭建,PHP的版本是5.5,mysql数据库版本是5.6.客户网站是一个平台,采用会员登录,功能基本都是一些交互性的,会员资料,添加,与,在线反馈等等。
开源IDS系统有很多种,比较有名的系统有Snort、Suricata、Zeek等,我们选用Suricata是因为Suricata有多年的发展历史,沉淀了的各种威胁检测规则,新版的Suricata3与DPDK相结合,处理大级别的数据分析,Suricata支持Lua语言工具支持,可以通过Lua扩展对分析的各种实用工具。
Suricata与Graylog结合的原因,是因为在Graylog开源社区版本对用数据的数据处理量没有上限限制,可以扩展很多的结点来扩展数据存储的空间和瞬时数据处理的并发能力。Suricata在日志输出方面,可以将日志的输出,输出成标准的JSON格式,通过日志脚本收集工具,可以将日志数据推送给Graylog日志收集服务,Graylog只要对应创建日志截取,就可以对JSON日志数据,进行实时快速的收集与对日志数据结构化和格式化。将JSON按Key和Value的形式进行拆分,然后保存到ElasticSearch数据库中,并提供一整套的查询API取得Suricata日志输出结果。
在通过API取得数据这种形式以外,Graylog自身就已经支持了插件扩展,数据面板,数据查询前台,本地化业务查询语言,类SQL语言。通过开源IDS与开源SIEM结合,用Suricata分析威胁产生日志,用Graylog收集威胁事件日志并进行管理分析,可以低成本的完成威胁事件分析检测系统,本文的重点还在于日志收集的实践,检测规则的创建为说明手段。
Suricata经过多年发展沉淀了很多有价值的威胁检测规则策略,当然误报的情况也是存在的,但可能通过手动干预Surcicata的规则,通过日志分析后,迭代式的规则,让系统随着时间生长更完善,社区也提供了可视化的规则管理方案,通过后台管理方式管理Suricata检测规则,规则编辑本文只是简单介绍。Scirius就是一种以Web界面方式的Suricata规则管理工具,可视化Web操作方式进行管理Suricata规则管理。
应对措施:文档上传的绕过方法网上一搜有很多(比如upload-labs的各种方法、绕防火墙的各种方法(虽然很多已经过时),可能还有些没有公开的方法,总结一下:1.常规的绕过方法:文档后缀(大小写、文档别名等等)、文档名(文档名加分号、引号等等)、文档内容(比如图片马)、请求包结构等等。
2.结合服务器解析漏洞:IIS、apache、nginx的特定版本都有对应的解析漏洞。3.利用文档包含漏洞:如果有文档包含漏洞,可以结合文档包含漏洞,上传马。4.利用组件漏洞:如果知道组件版本和名称,可以网上找一下相应漏洞。注:手动一个一个去试各种方法,的确很麻烦,可以试试burpsuit的上传插件upload-scanner(但本人觉得并不好用)。
早上,我突然被客户告知,他部署在云平台的服务器被检测到webshell,已经查杀了,而且云平台检测到这个ip是属于我公司的,以为是我们公司做了测试导致的,问我这个怎么上传的webshell,我当时也是一脸懵逼,我记得很清楚这是我的项目,是我亲自测试的,上传点不会有遗漏的,然后开始了我的排查隐患工作。
巡检查杀首先,我明白自己要做的不是找到这个上传的位置是哪里出现的,我应该登上服务器进行webshel查杀,进行巡检,找找看是否被别人入侵了,是否存在后门等等情况。虽然报的是我们公司的ip,万一漏掉了几个webshell,被别人上传成功了没检测出来,那服务器被入侵了如何能行。所以我上去巡检了服务器,上传这个webshell查杀工具进行查杀,使用netstat-anpt和iptables-L判断是否存在后门建立,查看是否有程序占用CPU,等等,此处不详细展开了。万幸的是服务器没有被入侵,然后我开始着手思考这个上传点是怎么回事。
文档上传漏洞回顾首先,我向这个和我对接的研发人员咨询这个服务器对外开放的,要了之后打开发现,眼熟的不就是前不久自己测试的吗?此时,我感觉有点懵逼,和开发人员对质起这个整改信息,上次测试完发现这个上传的地方是使用了白名单限制,只允许上传jpeg、png等图片格式了。当时我还发现,这个虽然上传是做了白名单限制,也对上传的文档名做了随机数,还匹配了时间规则,但是我还是在返回包发现了这个上传路径和文档名,这个和他提议要进行整改,不然这个会造成这个文档包含漏洞,他和我反馈这个确实进行整改了,没有返回这个路径了。
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞,对各项功能都进行了全面的安全检测。
石家庄服务器漏洞检测报价
