越来越多的网站和应用的上线导致安全问题和漏洞越来越多。大公司迫切需要成立专业的渗透测试团队,以确保新项目的安全性和稳定性,防止入侵和黑客攻击。因此,我们在Sinesafe会给大家讲解一些组建安全团队的要点,实现各个项目安全渗透工作的分工和实施能力。
渗透测试安全团队建设
红蓝军团介绍
在团队对抗演习中,蓝军通常指在部队模拟对抗演习中扮演假想敌的部队,与红军(代表我军正面部队)进行有针对性的训练。
网络安全红蓝对抗的概念就来源于此。红军作为企业的防守方,通过安全加固、攻击监测、应急处置等手段保障企业安全。蓝军作为攻击者,旨在发现安全漏洞,获取业务权限或数据,利用各种攻击手段,试图绕过红军的层层保护,达到既定目标。可能会引起混淆的是,在美, 欧,红队一般代表进攻方,蓝队代表防守方,颜色则代表相反。
企业网蓝军的工作主要包括渗透测试和RedTeaming。这两种方法使用的技术基本相同,但侧重点不同。
渗透测试侧重于在短时间内挖掘更多的安全漏洞,一般很少关注是否检测到攻击,目的是帮助业务系统暴露和汇聚更多的风险。
红蓝对抗更接近真实场景,专注于绕过防御系统,达到默默获取业务权限或数据的目的,不寻求发现所有风险点,因为攻击越多,被发现的概率越大。一旦被发现,红军将把蓝军踢出战场。红蓝对抗的目的是测试纵深防御能力、警报操作质量和真实攻击中的应急反应能力。
人事处
系主任
负责组织整体信息安全规划
负责与高级管理层沟通申请资源
负责与组织其他部门的协调和沟通
共同推进信息安全工作
负责信息安全团队建设
负责安全事件的应急处理
负责推动组织安全规划的实施
合规管理员
负责制定
促进服务器和网络基础设施的安全加固
调查和分析安全事件,并定期配合编写安全分析报告
关注行业安全事件,跟踪最新漏洞信息,对业务产品进行安全检查
负责推进bug修复工作,跟踪解决情况,收集问题
了解最新的安全技术趋势
渗透/代码审计员
对组织的业务网站和业务系统进行安全评估和测试
为漏洞结果提供解决方案和修复建议
安全设备操作和维护人员
负责设备配置和策略修改
负责协助实施因其他部门变动而导致的安全策略修改
安全发展
根据组织安全需求,开发安全辅助工具或平台
参与安全系统的需求分析、设计、编码等开发工作
维护公司现有的安全程序和系统
5.5.内部网渗透补充操作
5.5.1.端口转发
窗子
冠状动脉左旋支(left circumflex coronary artery)
命令行脚本实用工具
Linux操作系统
端口映射
防火墙
套接字代理
Win:xsocks
Linux:proxychains
基于Http的转发和套接字代理(低权限下的渗透)
端口转发:图纳
袜子代理:reGeorg
Ssh通道
端口转发
袜子
5.5.2.去拿贝壳
一般弹壳反弹
突破防火墙的Imcp_shell反弹
前壳
nc-e/bin/sh-lp1234
nc.exe-ecmd.exe-lp1234
5.5.3.内部网文件传输
windows下的文件传输
管理员
Vbs脚本文件
bitsadmin
文件共享
使用telnet接收数据
(耐)高温粘结剂(High Temperature Adhesive)
linux下的文件传输
大蟒
工具
tar ssh
通过dns传输数据
文件编译
Powershell将exe转换为txt,然后将txt转换为exe
5.5.4.远程连接执行程序
atschtasks
psexec
世界分子影像大会
wmiexec.vbs
smbexec
powershellremoting
供应链创建服务执行
任务计划
中小企业财政基金| |德国
pTH compmgmt.msc
Windows系统持久性
6.1.整体思维
5.2.持久性-窗口
Web应用程序需要限制用户对应用程序数据和功能的访问,以防止用户未经授权的访问。访问控制的过程可以分为认证、会话管理和访问控制。
6.1.1.1.验证机制
认证机制是应用程序用户访问处理的基础部分,认证是为了确定用户的有效性。大多数web应用程序使用身份验证模型,即用户提交用户名和密码,应用程序检查其有效性。在安全性非常重要的应用程序中,如银行,基本身份验证模型通常需要添加额外的证书和多级登录过程,如客户端证书和硬件。
6.1.1.2.会话管理
为了实现有效的访问控制,应用程序需要一种方法来识别和处理来自不同用户的这一系列请求。大多数程序为每个会话创建一个唯一的令牌来标识。
对于攻击者来说,会话管理机制高度依赖于令牌的安全性。在某些情况下,攻击者可以将网络应用程序用作受害者授权用户。这种情况可能有几个原因。一是token生成算法的缺陷,使得攻击者能够猜测其他用户的token;二是令牌后处理方法的缺陷,使得攻击者能够获取其他用户的令牌。
6.1.1.3.访问控制
处理用户访问的最后一步是正确决定是允许还是拒绝每个独立的请求。如果所有先前的机制都正常工作,应用程序就知道每个接收到的请求来自的用户的id,并决定用户是否被授权访问所请求的操作或数据。
由于访问控制本身的复杂性,它已经成为攻击者的常见目标。开发人员经常对用户如何与应用程序交互做出有缺陷的假设,并且经常忽略对某些应用程序功能的访问控制检查。
6.1.2.输入加工
对Web应用程序的许多攻击都涉及提交意外的输入,这会导致应用程序设计者的意外行为。因此,应用程序安全保护的一个关键要求是它必须以安全的方式处理用户输入。
基于输入的漏洞可能出现在应用程序功能的任何地方,并且与应用程序使用的技术类型有关。对于这种攻击,输入验证是常见的必要防御。没有通用的单一保护机制。常用的保护机制如下:
6.1.2.1.黑名单
黑名单包含一组攻击中使用的已知文字字符串或模式,验证机制会阻止任何与黑名单匹配的数据。
一般来说,这种方法被认为是一种糟糕的输入法。主要有两个原因。首先,网络应用程序中的一个典型漏洞可以通过使用许多不同的输入来利用,这些输入可以被加密或以各种方式表达。
第二,利用漏洞的技术在不断完善,利用现有类型漏洞的新方法不能被当前黑名单所阻挡。
6.1.2.2.白名单
白名单包含一系列字符串、模式或一组匹配所需输入的标准。这种检查机制允许匹配白名单数据,并阻止除它之外的任何数据。这种方法相对有效,但需要更好的设计。
6.1.2.3.过滤器
过滤将删除潜在的恶意字符,并留下安全字符。基于数据的过滤通常是有效的,并且在许多情况下可以用作处理恶意输入的通用解决方案。
6.1.2.4.安全处理数据
许多web应用程序漏洞的出现是因为用户提供的数据以不安全的方式处理。在某些情况下,有一些安全的编程方法可以避免常见的问题。例如,SQL注入攻击可以通过预编译来组织,而XSS在大多数情况下可以通过转义来防御。如果想了解更多以上渗透测试团队建设或新项目的要求,可以咨询专业的网站安全公司进行测试和处理。综合网站安全维护公司推荐Sine安全,和启明星辰, 绿盟等都比较不错。