渗透测试及攻防演练PDF.pdf-道客多多

资源描述

1、广东省信息安全测评中心渗透测试与攻防演练 - 目录 - 渗透测试攻防演练团队优势及案例 3 4 中心介绍 2 1 渗透体系全面、最新、顶尖一、渗透测试 4 1、扫描及信息收集网络信息获取常用手段：（ 1） google ,bing,百度等搜索工具轻量级的搜索出一些遗留后门、后台入口等，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是 mdb文件下载，网站配置密码 filetype:lst password， php远程文件包含漏洞等重要信息，包括 Robots.txt中包含的路径，可能没有设置 forbidden访

2、问权限，知道了路径后就可以进入。一、渗透测试 5 1、扫描及信息收集（ 2）端口扫描可以通过扫描出的端口来判断服务器上开放的服务，如常见的 21、80、 443、 3389等，则可以通过弱口令尝试或通过一些服务的基础漏洞进行处理。常用工具： Nmap。一、渗透测试 6 1、扫描及信息收集（ 3）扫描器扫描可以通过爬虫扫描器，对网站域名，网站根目录下的文件进行扫描，说丌定能发现惊喜。常用的扫描工具： WVS,Appscan等。一、渗透测试 7 1、扫描及信息收集（ 4） web框架漏洞可以通过搜集网站使用的框架，利用框架对应的 w

3、eb漏洞进行渗透测试。常见的 web框架漏洞有： Struts2框架漏洞，可直接利用。 ThinkPHP任意代码执行。一、渗透测试 8 1、扫描及信息收集（ 5）弱口令最常见最危险也最掉以轻心一、渗透测试 9 2、 web页面渗透测试常见渗透测试手法：（ 1）注入常见的注入包括：页面调用时候的 sql注入，一般直接穿山甲， sqlmap跑出来 dbs和表，用来进后台用或者泄露用户信息。万能密码之类的 sql注入，进入前端应用或者后台管理。一、渗透测试 10 2、 web页面渗透测试常见渗透测试手法：（ 2）上传利用上传漏洞可以直接得到 WEBSHELL

4、，危害等级高，现在的入侵中上传漏洞也是常见的漏洞，通过截断上传， IIS解析漏洞等上传 webshell获取系统权限。常用的工具有 burpsuite等。一、渗透测试 11 3、内网渗透（ 1）信息获取信息获取总是第一步执行的操作，利用管理员的疏忽或者内网机器的弱口令来发现更多的信息。可以使用工具 pwdump来抓取管理员 hash，配合彩虹表或者在线 hash破解，获得管理员的明文密码，这个可以作为自己的密码表，在进行内网其他机器的登陆时尝试。假如存在数据库管理工具，ftp管理工具等，如 Navicat，SecureCRT， flashfxp等，查看是否是保存的密码，尝试登陆。

5、一、渗透测试 12 一、渗透测试流程 3、内网渗透（ 2）内网探测通过上传一些工具，如 HScan，可以探测同一个段内存活机器的 IP，端口，开启的服务等信息，包括存活机器的弱口令。通过本地远程桌面跳转到相应的服务器上。如 web渗透一样，在进行端口 /服务探测时，可以根据探测到的服务版本信息，根据已知的漏洞进行攻击，从而获取对应服务器权限。 2014/12/23 渗透测试能够获取的有效信息：信息泄露：对外服务是否暴露了可能被黑客利用的敏感信息业务逻辑测试：系统是否在业务逻辑设计上存在被黑客利用的漏洞认证测试：系统是否存在弱口令、绕过身份认证、浏览器缓

6、存管理等漏洞会话管理测试：系统是否存在会话劫持、 CSRF等漏洞数据有效性验证测试：系统是否存在 SQL注入、跨站脚本攻击、 LDAP注入等漏洞拒绝服务测试：系统是否易受 DdOS攻击应用安全测试： Web服务测试、 AJAX测试等入侵通路测试：测试系统是否存在入侵通路，使入侵者可以通过入侵通路进入到内部网络 14 - 目录 - 渗透测试 1 攻防演练团队优势及案例 3 4 中心介绍 2 2014/12/23 二、攻防演练 YES NO 攻防演练项目项目实施介绍攻防演练实施安全调查、交流预演演练实施资产调查安全状况调查人员、组织和管理

7、状况调查技术性安全保障措施调查演练风险预测与分析交流防范意识培训黑客攻击思路培训第一阶段实施 I X 系统抽样控制台审计第二阶段实施第三阶段实施第N阶段实施阶段性总结发现攻击列表未发现攻击列表综合分析和评分完成全部？网络安全攻防演练流程达成项目实施共识确定工作内容和目标确定双方的人员配合 2014/12/23 网络安全攻防演练手法二、攻防演练 2014/12/23 演练项目名称信息篡改事件应用系统名称 XXX网站事件描述 IP地址为 XXX.XXX.XXX.XXX的 WEB服务器的页面被篡改。应急处理时间 20:00-2:00 应急处理人员赵

8、xx， 138， xx公司（第三方代维厂商）；王 xx， 139， xx市供电局。事件上报过程 21:05应急处理人将事件内容电话上报给业务支撑中心领导、网络与信息安全办公室21:08，网络与信息安全办公室将事件内容电话上报给集团、省管局。应急处理过程 21:45 21:50，管理员收到网站监控软件告警，页面被篡改。按照应急预案进行处置和响应，使用在【 XX位置】备份的原始页面，替换被篡改的页面，实现系统的临时恢复，告警消失。 21:50 22： 00，利用计算机管理功能，查看系统帐号，并检查XXX.XXX.XXX.XXX服务器日志，持续监控服务器登陆情况，及时发现再次的异常登录攻击行为

9、。 22:50 23:00，分析 IIS Web应用日志，发现存在 sql注入漏洞的页面 conn.asp。登录web应用防火墙 XXX.XXX.XXX.XXX开启安全策略，同时对 conn.asp进行修复，加入过滤代码。使用阿 D注入检测工具进行验证，问题解决。 23:00 24:00，进行深入风险检查。使用任务管理器，查找恶意进程；使用Netstat.exe命令行实用工具，显示 TCP 和 UDP 的所有打开的端口；使用 webshell扫描清理工具查找后门程序。发现 windowssystem32目录下 sethc.exe，并删除。 24： 00- 00： 20，查看网站监控软件的告警状

10、况，确认网站已经安全。事件原因分析及后续建议遭到 SQL注入攻击，事件结果是 XXX.XXX.XXX.XXX服务器网站页面被篡改。对网站的代码进行代码审核，找到存在 sql注入漏洞的页面 conn.asp，进行了代码修改，删除后门程序，系统恢复。后续考虑对该网站进行安全加固，例如删除 Wscript.Shell组件，避免黑客使用 webshell执行 DOS命令等。事件处理结果上报 00： 25，将事件处理结果电话上报给业务支撑中心领导、网络与信息安全办公室。00： 30网络与信息安全办公室将事件处理结果电话上报给集团公司、省管局。攻防演练案例的事件处理 -XX市供电局

11、二、攻防演练 2014/12/23 网络安全攻防演练的效益 1、能有效结合安全工具使用，快速发现异常，有效抑制攻击，快速反应处理，恢复服务 2、基本了解各种安全工具，能发现异常，当查阅了解该种攻击后能有效处理，恢复服务 3、将带动信息安全保障队伍的专业素质及相关管理组织的提高 4、增强了信息安全保障队伍对攻击应急事件的认识 5、丰富了安全保障队伍实战经验 2014/12/23 渗透测试 1 攻防演练 2 团队优势及案例 - 目录 - 3 4 中心介绍 2014/12/23 广东省信息安全测评中心通过常年跟踪研究全球信息安全最新动态，以技术创新为根本，以提升国家信息安全保障能力为己任，成功培养

12、出一支具有专业信息安全漏洞发现和分析能力的优秀团队，开展源代码安全测试、漏洞风险验证与评估、网络渗透性测试、系统应用安全测试、APT攻击风险通报等高端特色信息安全服务。三、团队优势及成功案例 2014/12/23 信息安全检查工作中的渗透测试案例：（ 1） 2013、 2014年广东省金融行业安全检查，通过对 166个金融网站进行渗透测试方式的安全检查，找到并最终帮助金融单位修复了大量高危漏洞，获得了省领导的高度重视。（ 2） 20112014年南方电网公司一体化信息安全风险评估工作（信息安全检查工作）项目范围包括：南方电网公司、广东电网公司、广州供电局、深圳供电局、海南电网公司

13、、贵州电网公司、云南电网公司、广西电网公司、超高压输电公司、调峰调频发电公司。通过远程渗透测试和专网渗透测试工作，现场基线核查等手段，统计南方电网各公司的信息安全现状。此项目风险报告作为南方电网考核各公司年底 KPI的重要依据。三、团队优势及成功案例 2014/12/23 （ 3）承担 20122014年广东省网络信息和保密联合检查工作，对广东省电子政务外网进行远程安全检查，通过远程渗透测试，反映各市电子政务外网信息安全现状，支撑广东省经济和信息化委员会对信息安全事件进行通报。（ 4） 2013年广东省信息中心网上办事大厅外网安全检查，为广东省网上办事大厅提供有效的安

14、全加固建议。（ 5）配合中央网信办对部分国企进行信息安全检查，帮助推进在粤国企信息安全建设工作。部分攻防演练安全介绍（ 1）深圳供电局外网 5个信息系统攻防演练（ 2）通过自主开发的网络安全对抗实训及操作仿真平台对包括南方电网、中石油等企业进行信息安全技术培训。 2014/12/23 2014/12/23 渗透测试 1 攻防演练 2 团队优势及案例 - 目录 - 3 中心介绍 4 2014/12/23 四、中心基本概况中心简介广东省信息安全测评中心是广东省人民政府批准于 2011年 5月成立的具有独立法人资格的事业单位。广东省信息安全测评中心经中国信息安全测评中心授权为“

15、中国信息安全测评中心广东测评中心”。一、事业单位二、职能部门三、科研机构四、服务机构中心承担我省基础信息网络和重要信息系统的信息安全漏洞发现、分析和信息通报、风险评估及相关信息安全测评工作，是我省信息安全保障体系中专业、权威的第三方机构。广东省信息安全测评中心跟踪研究全球信息安全最新动态、网络攻防最新态势，以技术创新为根本，以提升国家信息安全保障能力和水平为己任，推动信息安全技术和产业发展，为各级政府部门、企事业单位，特别为国家有关信息和网络安全职能部门提供优质安全服务和先进技术手段。广东省信息安全测评中心突出信息安全漏洞发现和分析，在测评理论、测试方法、测评技术等方面不断创新，

16、形成信息技术安全测试、 WEB安全在线监测、 APT攻击风险监测与分析等多个技术平台，开展以源代码安全测试、漏洞风险验证与评估、网络渗透性测试、系统应用安全测试、 APT攻击风险通报等高端特色信息安全服务。监测通报院士工作站研发团队实验室测评咨询监控应急培训 2014/12/23 四、中心基本概况技术服务框架等保建设方案技术方案设计管理方案设计安全平台选型安全培训服务应急响应服务安全通告服务安全值守服务安全监控服务项目管理综合分析风险评估现状调查安全现状、规划安全需求分析安全方案设计安全工程实施安全运行维护监控、值守、响应系统安全检

17、查需求分析总体规划详细设计工程开发和实施运行维护废弃阶段信息安全保障体系合规性规划风险评估与咨询合规性指标需求安全需求分析安全咨询安全产品选型安全方案设计工程验收服务实施产品实施设计实施方案制定实施计划安全工程开发、实施安全审计服务安全优化服务安全加固服务安全检测服务安全运行维护数据安全安全咨询人、工具、标准人、标准人、产品人、产品人、工具、平台人、工具、标准安全体系规划定级咨询系统开发咨询安全体系设计建设规划方案安全域和边界划分关联安全分析变更信息系统生命周期阶段需求需求分解业务类别所需资源 201

18、4/12/23 四、中心基本概况为什么选择中心职能部门 1、对所服务的机构负责，交付结果（报告、证明）具有职能部门的责任。 2、对于服务过程中所发现的问题或漏洞无保留呈现给客户并协助进行整改。国测分中心 1、作为中国信息安全测评中心的广东分中心，共享CNNVD国家漏洞库，并且为 WooYun第三方合作机构。 2、配合国测或广东省行业监管单位进行安全检查：政府联合大检查、银监局安全检查、南方电网一体化风险评估自身定位广东省信息安全测评中心定位于高端行业咨询专家，专注于风险评估、渗透测试、攻防技术。 28 部分成功案例介绍政企客户案例广东省电子政务系统建设安全评测和安全检查服务广

19、东省机构编制电子政务中心信息安全风险评估服务广州建设工程交易中心专家系统安全测评服务广东地税发票抽奖登记改进方案安全评估服务项目中国对外文书刊宣传信息化工程电子政务风险评估住房和城乡建设部房地产市场预警报系统信息安全电子政务风险评估项目松山湖高新区技术产业开发区信息安全调研及管控需求咨询服务松山湖国家高新区基础数据云服务平台信息安全服务广东省土地登记信息监管系统国土资源业务网与电子政务外网数据交换安全设计服务项目 29 广东省国土资源厅信息安全规划项目惠州市政府网站远程测评服务佛山市经济和信息化局信息安全调研项目东莞电子政务外网信息安全调研服务横琴新区信息化环境互联网

20、安全保障技术方案需求分析项目广州市广交会电子商务有限公司采购商数据库系统等保差距测评安全服务深圳航空有限责任公司系统安全测评服务深圳农产品信息系统风险测评及 WEB监控服务部分成功案例介绍政企客户案例 30 部分成功案例介绍能源行业客户案例南方电网 2013年、 2014年一体化信息安全风险评估项目项目范围包括：南方电网公司、广东电网公司、广州供电局、深圳供电局、海南电网公司、贵州电网公司、云南电网公司、广西电网公司、超高压输电公司、调峰调频发电公司。广东电网公司信息系统安全渗透测试项目广东电网公司信息安全整体评估及保障技术服务项目深圳供电局 2013年、 2014年信息系统安全加固实施项目南方电网超高压输电公司安全规划项目南方电网超高压输电公司 2014年安全产品测评项目（安全虚拟化）南方电网超高压输电公司 2014年信息安全综合服务项目冀北电力公司信息系统风险评估项目贵州电网信息系统等级保护测评采购服务项目中国石油天然气集团公司信息安全战略合作委托服务项目

展开阅读全文