搜索
广东省信息安全测评中心渗透测试与攻防演练-目录-渗透测试攻防演练团队优势及案例34中心介绍21渗透体系—全面、最新、顶尖一、渗透测试41、扫描及信息收集网络信息获取常用手段:(1)google,bing,百度等搜索工具轻量级的搜索出一些遗留后门、后台入口等,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,网站配置密码filetype:lstpassword,php远程文件包含漏洞等重要信息,包括Robots.txt中包含的路径,可能没有设置forbidden访问权限,知道了路径后就可以进入。一、渗透测试51、扫描及信息收集(2)端口扫描可以通过扫描出的端口来判断服务器上开放的服务,如常见的21、80、443、3389等,则可以通过弱口令尝试或通过一些服务的基础漏洞进行处理。常用工具:Nmap。一、渗透测试61、扫描及信息收集(3)扫描器扫描可以通过爬虫扫描器,对网站域名,网站根目录下的文件进行扫描,说丌定能发现惊喜。常用的扫描工具:WVS,Appscan等。一、渗透测试71、扫描及信息收集(4)web框架漏洞可以通过搜集网站使用的框架,利用框架对应的web漏洞进行渗透测试。常见的web框架漏洞有:①Struts2框架漏洞,可直接利用。②ThinkPHP任意代码执行。一、渗透测试81、扫描及信息收集(5)弱口令最常见最危险也最掉以轻心一、渗透测试92、web页面渗透测试常见渗透测试手法:(1)注入常见的注入包括:①页面调用时候的sql注入,一般直接穿山甲,sqlmap跑出来dbs和表,用来进后台用或者泄露用户信息。②万能密码之类的sql注入,进入前端应用或者后台管理。一、渗透测试102、web页面渗透测试常见渗透测试手法:(2)上传利用上传漏洞可以直接得到WEBSHELL,危害等级高,现在的入侵中上传漏洞也是常见的漏洞,通过截断上传,IIS解析漏洞等上传webshell获取系统权限。常用的工具有burpsuite等。一、渗透测试113、内网渗透(1)信息获取信息获取总是第一步执行的操作,利用管理员的疏忽或者内网机器的弱口令来发现更多的信息。①可以使用工具pwdump来抓取管理员hash,配合彩虹表或者在线hash破解,获得管理员的明文密码,这个可以作为自己的密码表,在进行内网其他机器的登陆时尝试。②假如存在数据库管理工具,ftp管理工具等,如Navicat,SecureCRT,flashfxp等,查看是否是保存的密码,尝试登陆。一、渗透测试12一、渗透测试流程3、内网渗透(2)内网探测①通过上传一些工具,如HScan,可以探测同一个段内存活机器的IP,端口,开启的服务等信息,包括存活机器的弱口令。②通过本地远程桌面跳转到相应的服务器上。③如web渗透一样,在进行端口/服务探测时,可以根据探测到的服务版本信息,根据已知的漏洞进行攻击,从而获取对应服务器权限。2014/12/23渗透测试能够获取的有效信息:信息泄露:对外服务是否暴露了可能被黑客利用的敏感信息业务逻辑测试:系统是否在业务逻辑设计上存在被黑客利用的漏洞认证测试:系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞会话管理测试:系统是否存在会话劫持、CSRF等漏洞数据有效性验证测试:系统是否存在SQL注入、跨站脚本攻击、LDAP注入等漏洞拒绝服务测试:系统是否易受DdOS攻击应用安全测试:Web服务测试、AJAX测试等入侵通路测试:测试系统是否存在入侵通路,使入侵者可以通过入侵通路进入到内部网络14-目录-渗透测试1攻防演练团队优势及案例34中心介绍22014/12/23二、攻防演练YESNO攻防演练项目项目实施介绍攻防演练实施安全调查、交流预演演练实施资产调查安全状况调查人员、组织和管理状况调查技术性安全保障措施调查演练风险预测与分析交流防范意识培训黑客攻击思路培训第一阶段实施IX系统抽样控制台审计第二阶段实施第三阶段实施第N阶段实施阶段性总结发现攻击列表未发现攻击列表综合分析和评分完成全部?网络安全攻防演练流程达成项目实施共识确定工作内容和目标确定双方的人员配合2014/12/23网络安全攻防演练手法二、攻防演练2014/12/23演练项目名称信息篡改事件应用系统名称XXX网站事件描述IP地址为XXX.XXX.XXX.XXX的WEB服务器的页面被篡改。应急处理时间20:00-2:00应急处理人员赵xx,138,xx公司(第三方代维厂商);王xx,139,xx市供电局。事件上报过程21:05应急处理人将事件内容电话上报给业务支撑中心领导、网络与信息安全办公室21:08,网络与信息安全办公室将事件内容电话上报给集团、省管局。应急处理过程21:45—21:50,管理员收到网站监控软件告警,页面被篡改。按照应急预案进行处置和响应,使用在【XX位置】备份的原始页面,替换被篡改的页面,实现系统的临时恢复,告警消失。21:50—22:00,利用计算机管理功能,查看系统帐号,并检查XXX.XXX.XXX.XXX服务器日志,持续监控服务器登陆情况,及时发现再次的异常登录攻击行为。22:50—23:00,分析IISWeb应用日志,发现存在sql注入漏洞的页面conn.asp。登录web应用防火墙XXX.XXX.XXX.XXX开启安全策略,同时对conn.asp进行修复,加入过滤代码。使用阿D注入检测工具进行验证,问题解决。23:00—24:00,进行深入风险检查。使用任务管理器,查找恶意进程;使用Netstat.exe命令行实用工具,显示TCP和UDP的所有打开的端口;使用webshell扫描清理工具查找后门程序。发现windows\system32目录下sethc.exe,并删除。24:00-00:20,查看网站监控软件的告警状况,确认网站已经安全。事件原因分析及后续建议遭到SQL注入攻击,事件结果是XXX.XXX.XXX.XXX服务器网站页面被篡改。对网站的代码进行代码审核,找到存在sql注入漏洞的页面conn.asp,进行了代码修改,删除后门程序,系统恢复。后续考虑对该网站进行安全加固,例如删除Wscript.Shell组件,避免黑客使用webshell执行DOS命令等。事件处理结果上报00:25,将事件处理结果电话上报给业务支撑中心领导、网络与信息安全办公室。00:30网络与信息安全办公室将事件处理结果电话上报给集团公司、省管局。攻防演练案例的事件处理---XX市供电局二、攻防演练2014/12/23网络安全攻防演练的效益1、能有效结合安全工具使用,快速发现异常,有效抑制攻击,快速反应处理,恢复服务2、基本了解各种安全工具,能发现异常,当查阅了解该种攻击后能有效处理,恢复服务3、将带动信息安全保障队伍的专业素质及相关管理组织的提高4、增强了信息安全保障队伍对攻击应急事件的认识5、丰富了安全保障队伍实战经验2014/12/23渗透测试1攻防演练2团队优势及案例-目录-34中心介绍2014/12/23广东省信息安全测评中心通过常年跟踪研究全球信息安全最新动态,以技术创新为根本,以提升国家信息安全保障能力为己任,成功培养出一支具有专业信息安全漏洞发现和分析能力的优秀团队,开展源代码安全测试、漏洞风险验证与评估、网络渗透性测试、系统应用安全测试、APT攻击风险通报等高端特色信息安全服务。三、团队优势及成功案例2014/12/23信息安全检查工作中的渗透测试案例:(1)2013、2014年广东省金融行业安全检查,通过对166个金融网站进行渗透测试方式的安全检查,找到并最终帮助金融单位修复了大量高危漏洞,获得了省领导的高度重视。(2)2011~2014年南方电网公司一体化信息安全风险评估工作(信息安全检查工作)项目范围包括:南方电网公司、广东电网公司、广州供电局、深圳供电局、海南电网公司、贵州电网公司、云南电网公司、广西电网公司、超高压输电公司、调峰调频发电公司。通过远程渗透测试和专网渗透测试工作,现场基线核查等手段,统计南方电网各公司的信息安全现状。此项目风险报告作为南方电网考核各公司年底KPI的重要依据。三、团队优势及成功案例2014/12/23(3)承担2012~2014年广东省网络信息和保密联合检查工作,对广东省电子政务外网进行远程安全检查,通过远程渗透测试,反映各市电子政务外网信息安全现状,支撑广东省经济和信息化委员会对信息安全事件进行通报。(4)2013年广东省信息中心网上办事大厅外网安全检查,为广东省网上办事大厅提供有效的安全加固建议。(5)配合中央网信办对部分国企进行信息安全检查,帮助推进在粤国企信息安全建设工作。部分攻防演练安全介绍(1)深圳供电局外网5个信息系统攻防演练(2)通过自主开发的网络安全对抗实训及操作仿真平台对包括南方电网、中石油等企业进行信息安全技术培训。2014/12/232014/12/23渗透测试1攻防演练2团队优势及案例-目录-3中心介绍42014/12/23四、中心基本概况——中心简介广东省信息安全测评中心是广东省人民政府批准于2011年5月成立的具有独立法人资格的事业单位。广东省信息安全测评中心经中国信息安全测评中心授权为“中国信息安全测评中心广东测评中心”。一、事业单位二、职能部门三、科研机构四、服务机构中心承担我省基础信息网络和重要信息系统的信息安全漏洞发现、分析和信息通报、风险评估及相关信息安全测评工作,是我省信息安全保障体系中专业、权威的第三方机构。广东省信息安全测评中心跟踪研究全球信息安全最新动态、网络攻防最新态势,以技术创新为根本,以提升国家信息安全保障能力和水平为己任,推动信息安全技术和产业发展,为各级政府部门、企事业单位,特别为国家有关信息和网络安全职能部门提供优质安全服务和先进技术手段。广东省信息安全测评中心突出信息安全漏洞发现和分析,在测评理论、测试方法、测评技术等方面不断创新,形成信息技术安全测试、WEB安全在线监测、APT攻击风险监测与分析等多个技术平台,开展以源代码安全测试、漏洞风险验证与评估、网络渗透性测试、系统应用安全测试、APT攻击风险通报等高端特色信息安全服务。监测通报院士工作站研发团队实验室测评咨询监控应急培训2014/12/23四、中心基本概况——技术服务框架等保建设方案技术方案设计管理方案设计安全平台选型安全培训服务应急响应服务安全通告服务安全值守服务安全监控服务项目管理综合分析风险评估现状调查安全现状、规划安全需求分析安全方案设计安全工程实施安全运行维护监控、值守、响应系统安全检查需求分析总体规划详细设计工程开发和实施运行维护废弃阶段信息安全保障体系合规性规划风险评估与咨询合规性指标需求安全需求分析安全咨询安全产品选型安全方案设计工程验收服务实施产品实施设计实施方案制定实施计划安全工程开发、实施安全审计服务安全优化服务安全加固服务安全检测服务安全运行维护数据安全安全咨询人、工具、标准人、标准人、产品人、产品人、工具、平台人、工具、标准安全体系规划定级咨询系统开发咨询安全体系设计建设规划方案安全域和边界划分关联安全分析变更信息系统生命周期阶段需求需求分解业务类别所需资源2014/12/23四、中心基本概况—为什么选择中心职能部门1、对所服务的机构负责,交付结果(报告、证明)具有职能部门的责任。2、对于服务过程中所发现的问题或漏洞无保留呈现给客户并协助进行整改。国测分中心1、作为中国信息安全测评中心的广东分中心,共享CNNVD国家漏洞库,并且为WooYun第三方合作机构。2、配合国测或广东省行业监管单位进行安全检查:政府联合大检查、银监局安全检查、南方电网一体化风险评估自身定位广东省信息安全测评中心定位于高端行业咨询专家,专注于风险评估、渗透测试、攻防技术。28部分成功案例介绍——政企客户案例广东省电子政务系统建设安全评测和安全检查服务广东省机构编制电子政务中心信息安全风险评估服务广州建设工程交易中心专家系统安全测评服务广东地税发票抽奖登记改进方案安全评估服务项目中国对外文书刊宣传信息化工程电子政务风险评估住房和城乡建设部房地产市场预警