亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        一種內(nèi)網(wǎng)Web應(yīng)用URL地址自動(dòng)化檢測方法

        2018-02-22 07:39:52朱犇陳夢嫻孫望舒戴文博
        網(wǎng)絡(luò)空間安全 2018年11期
        關(guān)鍵詞:存活漏洞端口

        朱犇,陳夢嫻,孫望舒,戴文博

        (國網(wǎng)浙江省電力有限公司溫州供電公司,浙江溫州 32500)

        1 引言

        2017年5月12日,WannaCry勒索病毒事件全球爆發(fā),利用了微軟公司W(wǎng)indows操作系統(tǒng)的SMB服務(wù)漏洞(MS17-010)進(jìn)行傳播感染,兩天時(shí)間,約2242.3萬個(gè)IP地址遭受“永恒之藍(lán)”漏洞攻擊。2017年12月15日, Oracle WebLogic存在CVE-2017-3506/CVE-2017-10352漏洞,被挖礦程序Watch-smartd所利用。2018年2月28日,知名代碼托管網(wǎng)站 GitHub 遭遇了史上最大規(guī)模的 DDoS 網(wǎng)絡(luò)攻擊,每秒 1.35 TB 的流量瞬間沖擊了這一開發(fā)者平臺(tái),攻擊者利用了基于 Memcached 的超放大攻擊。以上所有的這些安全事件受影響的設(shè)備基本都是暴露在互聯(lián)網(wǎng)上的,因此掌握企業(yè)資產(chǎn)在全互聯(lián)網(wǎng)中的暴露情況非常值得關(guān)注。

        近年來互聯(lián)網(wǎng)大發(fā)展,正逐漸改變企業(yè)辦公、系統(tǒng)運(yùn)維的工作方式,同時(shí)推動(dòng)了生產(chǎn)系統(tǒng)的更新?lián)Q代和生產(chǎn)方式的變革。因企業(yè)業(yè)務(wù)需要I T 業(yè)務(wù)系統(tǒng)越建越多,資產(chǎn)暴露面越來越大,給別有用心者更多可乘之機(jī),甚至導(dǎo)致災(zāi)難性的破壞。

        企業(yè)信息化工作經(jīng)過數(shù)年發(fā)展,業(yè)務(wù)系統(tǒng)、互聯(lián)網(wǎng)業(yè)務(wù)、手機(jī)應(yīng)用已經(jīng)得到了推廣,但隨著業(yè)務(wù)發(fā)展系統(tǒng)建設(shè)仍在不停發(fā)展,未經(jīng)報(bào)備私搭私建的情況仍然存在。這些業(yè)務(wù)系統(tǒng)未經(jīng)上線安全評(píng)估,存在極大的安全風(fēng)險(xiǎn)。主要表現(xiàn)在兩個(gè)方面,一是多數(shù)應(yīng)用使用未經(jīng)安全檢測的第三方應(yīng)用,二是系統(tǒng)開發(fā)人員安全意識(shí)薄弱,業(yè)務(wù)安全漏洞層出不窮。

        對(duì)于日常安全管理來說,基于上述情況,主要要求業(yè)務(wù)部門做上線前安全評(píng)估,通過系統(tǒng)安全檢測挖掘安全風(fēng)險(xiǎn),檢測通過方可上線運(yùn)行,同時(shí)發(fā)布上線前安全管理辦法,從管理維度進(jìn)行約束。雖然從技術(shù)和管理都進(jìn)行了相應(yīng)的要求,但仍然無法杜絕私自上線業(yè)務(wù)系統(tǒng),破壞安全的行為,給企業(yè)安全管理造成不小影響。

        綜上所述,不管從業(yè)務(wù)自身安全考慮,還是從企業(yè)安全整體考慮。通過建設(shè)自動(dòng)化監(jiān)測Web應(yīng)用URL地址工具,來監(jiān)控網(wǎng)絡(luò)內(nèi)私自上線業(yè)務(wù)系統(tǒng)的行為,勢在必行。

        圖1 勒索病毒

        2 資產(chǎn)暴露成因

        2.1 監(jiān)管難度大

        現(xiàn)階段上線前安全評(píng)估流程在各大企業(yè)是力推的工作,但是一項(xiàng)流程如果通過制度推進(jìn),因涉及多個(gè)部門等因素通過制度很難推進(jìn)。如果流程通過線上平臺(tái)控制,不僅可以減少運(yùn)營跟進(jìn)的人工成本,還能使推進(jìn)工作更加順暢。資產(chǎn)變更工作,安全部與業(yè)務(wù)部門對(duì)接較多,如圖1所示,通過建立資產(chǎn)發(fā)現(xiàn)平臺(tái)與需求申請(qǐng)平臺(tái)、開發(fā)管理平臺(tái)等對(duì)接,可以最大限度地減少溝通成本,提升推進(jìn)效率。

        2.2 安全意識(shí)及KPI考核目標(biāo)不一致

        很多業(yè)務(wù)系統(tǒng)由于用戶較多,需求較大,開發(fā)團(tuán)隊(duì)有時(shí)候一周要對(duì)一個(gè)系統(tǒng)進(jìn)行多次修改,如果每次修改都需要多個(gè)部門介入評(píng)審或評(píng)估,工作效率極地。同時(shí),大部分企業(yè)對(duì)信息安全意識(shí)宣貫力度不夠,開發(fā)部門KPI更多的在于業(yè)務(wù)連續(xù)性、功能使用等方面,因此為了便捷及KPI會(huì)拋棄安全性。

        圖2 業(yè)務(wù)部門分布

        2.2 資產(chǎn)風(fēng)險(xiǎn)分析

        資產(chǎn)風(fēng)險(xiǎn)主要來源主要包括三個(gè)方面:一是未經(jīng)上線的業(yè)務(wù)系統(tǒng)(Web系統(tǒng)為主);二是未經(jīng)加固直接上線的;三是由于后期運(yùn)維為了便捷而開啟的運(yùn)維端口;四是由于業(yè)務(wù)需要但未經(jīng)過評(píng)估私自開啟的系統(tǒng)互聯(lián)接口。

        Web系統(tǒng)方面主要風(fēng)險(xiǎn)為XSS漏洞、SQL注入漏洞、越權(quán)訪問、旁注、任意文件上傳等高危應(yīng)用層漏洞。輕則系統(tǒng)遭受非法攻擊,重則數(shù)據(jù)泄露、主機(jī)權(quán)限丟失等。

        未經(jīng)加固的主機(jī)及運(yùn)維端口開啟風(fēng)險(xiǎn)包括:開啟不必要的服務(wù)、高危端口、弱口令等??赡苊媾R攻擊包括拒絕服務(wù)攻擊、內(nèi)存溢出、提權(quán)等高危風(fēng)險(xiǎn)。

        系統(tǒng)互聯(lián)接口包括系統(tǒng)服務(wù)接口、W e b 接口、數(shù)據(jù)庫接口、運(yùn)維端口等。風(fēng)險(xiǎn)包括賬號(hào)越權(quán)、弱口令、主機(jī)提取等。

        圖3 Web2.0安全研究報(bào)告

        3 資產(chǎn)暴露風(fēng)險(xiǎn)防范措施

        3.1 安全編碼規(guī)范培訓(xùn)

        安全部門提供安全編碼規(guī)范,開發(fā)團(tuán)隊(duì)在開發(fā)過程中需要上按照編碼規(guī)范要求。在開發(fā)階段減少安全隱患。規(guī)范需要涵蓋賬號(hào)與認(rèn)證、輸入與輸出驗(yàn)證、授權(quán)管理、數(shù)據(jù)保護(hù)、會(huì)話管理、加密管理、日志管理、異常管理等方面,從業(yè)務(wù)邏輯建議、代碼編寫建議、管理規(guī)范建議等方面提出安全需求。定期對(duì)開發(fā)部門進(jìn)行安全編碼培訓(xùn),講解常見應(yīng)用漏洞產(chǎn)生原理,提升開發(fā)人員安全編碼意識(shí)和安全開發(fā)水平。

        3.2 規(guī)范上線前安全流程

        新上線系統(tǒng)、修改后的系統(tǒng)上線前,需要經(jīng)過安全部門檢測(包括滲透測試、漏洞掃描、代碼設(shè)計(jì)等評(píng)估),對(duì)發(fā)現(xiàn)高危漏洞的系統(tǒng),修復(fù)后復(fù)測,保證沒有安全隱患后才允許上線。

        3.3 日常安全檢測

        對(duì)正在運(yùn)行的線上系統(tǒng),每日由滲透測試團(tuán)隊(duì)進(jìn)行安全檢測,包括Web漏洞掃描和人工滲透測試等措施,漏洞掃描使用多款掃描器交叉掃描,人工滲透根據(jù)制定的漏洞清單Checklist檢測,根據(jù)檢測結(jié)果,建立知識(shí)庫,統(tǒng)計(jì)出一般掃描器能檢測哪些漏洞,哪些漏洞掃描器不好發(fā)現(xiàn),如邏輯漏洞、越權(quán)漏洞等,只能通過人工滲透方式檢測,保證檢測的廣度和深度,提高檢測效率。

        3.3 資產(chǎn)整合

        (1)測試使用的應(yīng)用,遷移到內(nèi)網(wǎng),不在互聯(lián)網(wǎng)暴露。

        (2) 對(duì)訪問量較少的應(yīng)用,建議關(guān)閉,訪問量數(shù)據(jù)可以從WAF、防火墻等設(shè)備上獲取。

        (3)部分網(wǎng)站啟用了HTTPS后,HTTP網(wǎng)站可以繼續(xù)訪問,建議關(guān)閉HTTP網(wǎng)站的訪問。

        (4) 業(yè)務(wù)系統(tǒng)有關(guān)聯(lián)或者相似的,通過一個(gè)U R L 訪問主站,其他業(yè)務(wù)系統(tǒng)通過二級(jí)目錄訪問。

        3.4 建立自動(dòng)化檢測工具,探測未報(bào)備資產(chǎn)私自上線

        (1)通過自動(dòng)化掃描全網(wǎng)存活I(lǐng)P、端口等信息,自動(dòng)化識(shí)別U R L 地址,并判斷U R L 是否有效,通過指紋特征庫識(shí)別URL歸屬。

        (2)建立指紋特征庫,自動(dòng)化識(shí)別已備案和未備案業(yè)務(wù)系統(tǒng),系統(tǒng)應(yīng)建立指紋算法,根據(jù)不同U R L 信息通過算法算出指紋與后臺(tái)指紋庫進(jìn)行對(duì)比,輸出結(jié)果。

        (3)自動(dòng)化掃描全網(wǎng)IP存活情況、端口開放情況,系統(tǒng)根據(jù)用戶輸入I P 資產(chǎn)信息,允許定期、不定期自動(dòng)化掃描I P 存活情況,自動(dòng)化分析開放端口情況。

        自動(dòng)化檢測是本文研究重點(diǎn),通過實(shí)時(shí)探測分析,可及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)源。

        4 Web應(yīng)用URL地址自動(dòng)化檢測方法

        4.1 實(shí)現(xiàn)流程

        自動(dòng)化檢測最重要的工作是自動(dòng)化檢測資產(chǎn)存活情況,存活情況包括IP存活情況、端口開放情況、系統(tǒng)服務(wù)開啟情況等。結(jié)合業(yè)務(wù)上線規(guī)律,工具應(yīng)具備幾點(diǎn)能力:定時(shí)自動(dòng)掃描能力;自動(dòng)化收集掃描結(jié)果能力;應(yīng)具備歷史經(jīng)驗(yàn)庫收集、白名單、黑名單等能力;應(yīng)能根據(jù)經(jīng)驗(yàn)庫,黑白名單自動(dòng)判別的能力。

        圖4 自動(dòng)化檢測流程

        4.2 自動(dòng)化掃描能力

        第一種方式:使用Shell腳本檢測某個(gè)網(wǎng)段內(nèi)存活的主機(jī),主要原理是使用循環(huán)Ping該網(wǎng)段內(nèi)的每一個(gè)地址,根據(jù)執(zhí)行是否成功輸出主機(jī)是否存活。

        第二種方式:使用專業(yè)的網(wǎng)絡(luò)工具Nmap、IPscan等。

        4.3 定時(shí)掃描能力

        應(yīng)允許用戶自定義掃描頻率、掃描內(nèi)容及資產(chǎn)自定義等能力。

        4.4 URL自動(dòng)化識(shí)別能力

        當(dāng)工具檢測到目標(biāo)主機(jī)開啟端口時(shí),工具應(yīng)自動(dòng)化判別目標(biāo)端口是否為Web端口,并對(duì)其網(wǎng)站的存活判斷,如果目標(biāo)站點(diǎn)可用,應(yīng)對(duì)其進(jìn)行自動(dòng)化識(shí)別。識(shí)別依據(jù)來源歷史經(jīng)驗(yàn)庫和黑白名單庫,如果識(shí)別成功,進(jìn)行標(biāo)注,如果識(shí)別失敗交由人工判斷。

        4.5 歷史經(jīng)驗(yàn)庫及黑白名單

        Web資產(chǎn)眾多及開發(fā)迭代較快,安全部門管理需求包括:一是通過工具識(shí)別存量業(yè)務(wù);二是通過工具識(shí)別新增業(yè)務(wù)及未報(bào)備的業(yè)務(wù)。基于安全部門需求分析,工具應(yīng)具備:記錄歷史Web資產(chǎn)信息的能力;具備記錄業(yè)務(wù)黑白名單的能力。

        4.6 自動(dòng)分析、判別

        當(dāng)工具完成自動(dòng)化掃描之后,應(yīng)根據(jù)掃描策略完成掃描結(jié)果歸集,根據(jù)分析策略進(jìn)行及時(shí)分析,并根據(jù)歷史庫、黑白名單信息完成結(jié)果的梳理。針對(duì)分析誤報(bào)的情況,工具應(yīng)提供手工修正的能力。

        4.7 工具架構(gòu)

        工具采用Java語言開發(fā),采用了B/S架構(gòu)的模式(表示層-業(yè)務(wù)層-數(shù)據(jù)訪問層-數(shù)據(jù)層)四層結(jié)構(gòu)。將各種業(yè)務(wù)處理、一系列邏輯判斷及各種運(yùn)算置于業(yè)務(wù)層,將各種復(fù)雜的查詢、與數(shù)據(jù)庫的交互置于數(shù)據(jù)訪問層,明確各層的業(yè)務(wù)規(guī)則及界限,工具結(jié)構(gòu)圖如5所示。

        圖5 自動(dòng)化工具架構(gòu)圖

        (1)表示層:采用Bootstrap來展示前端數(shù)據(jù),jQuery負(fù)責(zé)處理異常請(qǐng)求及前端業(yè)務(wù)邏輯判斷。

        (2)業(yè)務(wù)層:采用SpringMVC框架實(shí)現(xiàn)本系統(tǒng)業(yè)務(wù)邏輯處理及數(shù)據(jù)層調(diào)度。

        (3)數(shù)據(jù)訪問層:主要采用Mybatis框架實(shí)現(xiàn)數(shù)據(jù)交互,包括業(yè)務(wù)的增、刪、改、查、視圖查詢等。

        (4)數(shù)據(jù)層:以MySQL數(shù)據(jù)庫為承載,存儲(chǔ)改系統(tǒng)的所有補(bǔ)丁及經(jīng)驗(yàn)庫。

        安全防護(hù)層:系統(tǒng)中主要集成了Esapi安全框架負(fù)責(zé)常見的安全漏洞防護(hù)。

        6 結(jié)束語

        Web應(yīng)用URL地址自動(dòng)化檢測可以有效的監(jiān)控內(nèi)網(wǎng)隨意開啟Web服務(wù)的情況,可以有效彌補(bǔ)監(jiān)管難度大的問題,有助于安全部分開展日常安全工作及降低公司整體安全風(fēng)險(xiǎn)。

        猜你喜歡
        存活漏洞端口
        漏洞
        一種端口故障的解決方案
        病毒在體外能活多久
        愛你(2018年24期)2018-08-16 01:20:42
        病毒在體外能活多久
        端口阻塞與優(yōu)先級(jí)
        三明:“兩票制”堵住加價(jià)漏洞
        漏洞在哪兒
        飛利浦在二戰(zhàn)中如何存活
        中國照明(2016年4期)2016-05-17 06:16:18
        高鐵急救應(yīng)補(bǔ)齊三漏洞
        131I-zaptuzumab對(duì)體外培養(yǎng)腫瘤細(xì)胞存活的影響
        午夜毛片午夜女人喷潮视频| 波多野结衣在线播放| 肉体裸交137日本大胆摄影| 国产精品户露av在线户外直播| 欧美日韩综合在线视频免费看| 亚洲精品一区二区三区四区| 特黄 做受又硬又粗又大视频 | 99久久国内精品成人免费| 国产伦一区二区三区久久| 亚洲av天堂在线视频| ā片在线观看免费观看 | 99热高清亚洲无码| 日本中文字幕精品久久| 又色又爽又黄高潮的免费视频| 久久久久久久99精品国产片| 中文人妻av大区中文不卡| 日韩麻豆视频在线观看| 未满十八勿入av网免费| 日本高清一区二区三区水蜜桃| 青青青伊人色综合久久| 亚洲国产综合久久天堂| 爆爽久久久一区二区又大又黄又嫩| 国产白丝网站精品污在线入口| 青青青草视频手机在线| 神马影院午夜dy888| 国产人在线成免费视频| 爆乳无码AV国内| 按摩师玩弄少妇到高潮av| 久久99国产精一区二区三区| 亚洲精品国产字幕久久vr| 日本久久一级二级三级| 337p日本欧洲亚洲大胆色噜噜 | 尤物99国产成人精品视频| 韩国免费一级a一片在线| 精品国产一区二区三区不卡在线| 中文成人无码精品久久久不卡| 青青草视频网站免费观看| 中文日本强暴人妻另类视频| 人妻少妇精品视频专区| 99久久国产视频| 日本女优爱爱中文字幕|