好，第三個(gè)的話(huà)就是對(duì)白盒測(cè)試，那么非常重要的一點(diǎn)就是你要知道如何去設(shè)計(jì)用例，如何去設(shè)計(jì)用例 好，設(shè)計(jì)用例的話(huà)，其實(shí)就是也就是你測(cè)試這個(gè)軟件的一個(gè)非常重要的邏輯思維這個(gè)東西。 因此就是說(shuō)并不是說(shuō)每個(gè)人都能夠隨隨便便去做一做一個(gè)很好的黑盒測(cè)試的工程師。
早上，我突然被客戶(hù)告知，他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell，已經(jīng)查殺了，而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的，以為是我們公司做了測(cè)試導(dǎo)致的，問(wèn)我這個(gè)怎么上傳的webshell，我當(dāng)時(shí)也是一臉懵逼，我記得很清楚這是我的項(xiàng)目，是我親自測(cè)試的，上傳點(diǎn)不會(huì)有遺漏的，然后開(kāi)始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺，進(jìn)行巡檢，找找看是否被別人入侵了，是否存在后門(mén)等等情況。雖然報(bào)的是我們公司的ip，萬(wàn)一漏掉了幾個(gè)webshell，被別人上傳成功了沒(méi)檢測(cè)出來(lái)，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個(gè)webshell查殺工具進(jìn)行查殺，使用netstat-anpt和iptables-L判斷是否存在后門(mén)建立，查看是否有程序占用CPU，等等，此處不詳細(xì)展開(kāi)了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵，然后我開(kāi)始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先，我向這個(gè)和我對(duì)接的研發(fā)人員咨詢(xún)這個(gè)服務(wù)器對(duì)外開(kāi)放的，要了之后打開(kāi)發(fā)現(xiàn)，眼熟的不就是前不久自己測(cè)試的嗎？此時(shí)，我感覺(jué)有點(diǎn)懵逼，和開(kāi)發(fā)人員對(duì)質(zhì)起這個(gè)整改信息，上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn)，這個(gè)雖然上傳是做了白名單限制，也對(duì)上傳的文檔名做了隨機(jī)數(shù)，還匹配了時(shí)間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名，這個(gè)和他提議要進(jìn)行整改，不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞，他和我反饋這個(gè)確實(shí)進(jìn)行整改了，沒(méi)有返回這個(gè)路徑了。

獲取SSL證書(shū)
如果您計(jì)劃在Web服務(wù)器上傳輸任何敏感用戶(hù)數(shù)據(jù)，則必須使用安接字層(SSL)證書(shū)。SSL是一種在瀏覽器級(jí)別發(fā)生的加密協(xié)議，可確保所有傳入和傳出的Web請(qǐng)求都被外部人員屏蔽。作為所有者，您有責(zé)任從機(jī)構(gòu)獲取有效的SSL證書(shū)并使其保持新。使用您的域名配置后，用戶(hù)將在瀏覽器中看到URL旁邊的掛鎖符號(hào)，這是安全的通用指標(biāo)。
使用CDN加速
盡管近年來(lái)全球互聯(lián)網(wǎng)速度越來(lái)越快，連接不同地域時(shí)仍會(huì)遇到延遲，一種流行的解決方案是采用CDN加速。CDN提供商在不同區(qū)域維護(hù)一組服務(wù)器用于緩存內(nèi)容的某些部分，以提高加載速度并實(shí)現(xiàn)大規(guī)模流量的負(fù)載均衡，降低DDoS攻擊損害。

討論回顧完上次整改的問(wèn)題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒(méi)有返回文檔上傳路徑，然后我又嘗試了各種繞過(guò)，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問(wèn)一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因。看了云平臺(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問(wèn)題不大，上傳文檔沒(méi)有執(zhí)行權(quán)限，而且沒(méi)有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測(cè)試的時(shí)候是沒(méi)有做編碼的。我突然想到了問(wèn)題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問(wèn)題所在是，在整改過(guò)程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過(guò)程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過(guò)程中.jsp也被成功解析，研發(fā)沒(méi)有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來(lái)已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫(huà)蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

在安全運(yùn)營(yíng)工作當(dāng)中，經(jīng)常需要系統(tǒng)日志、設(shè)備威脅事件日志、告警日志等，各種日志進(jìn)行收集匯聚，具體分析，通過(guò)日志來(lái)分析威脅事件發(fā)生源頭、相關(guān)聯(lián)的人和資產(chǎn)關(guān)系，以日志數(shù)據(jù)的角度，來(lái)追究溯源威脅事件發(fā)生的過(guò)程和基本概括原貌。評(píng)估威脅事件產(chǎn)生危害的影響范圍，關(guān)聯(lián)到人與資產(chǎn)，采取順藤摸瓜，將各種信息進(jìn)行關(guān)聯(lián)，無(wú)論是二維關(guān)系數(shù)據(jù)聯(lián)系關(guān)聯(lián)，還是大數(shù)據(jù)分析建模，數(shù)據(jù)的分類(lèi)采集都是基礎(chǔ)工作。
企業(yè)安全相關(guān)的各種日志數(shù)據(jù)，存放的位置、形式、大小、業(yè)務(wù)、使用人群都不同，如何根據(jù)不同業(yè)務(wù)規(guī)模的日志數(shù)據(jù)，采取相得益彰的技術(shù)形式進(jìn)行合理的日志、聚合、分析、展示，就成為了一個(gè)課題，接下來(lái)，我們主要圍繞這些相關(guān)的主題進(jìn)行討論分享，通過(guò)具體的日志聚合分析實(shí)踐，讓數(shù)據(jù)有效的關(guān)聯(lián)，使其在威脅事件分析、應(yīng)急事件分析響應(yīng)過(guò)程中讓數(shù)據(jù)起到方向性指引作用、起到探測(cè)器的作用，通過(guò)以上技術(shù)實(shí)踐，讓更多日志數(shù)據(jù)，有效的為企業(yè)安全運(yùn)營(yíng)提供更好的服務(wù)。
在實(shí)際工作當(dāng)中，日志聚合分析工具種類(lèi)繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場(chǎng)景為例子，結(jié)合這些工具的使用，向大家展示在實(shí)際數(shù)據(jù)工作中數(shù)據(jù)運(yùn)營(yíng)的情況，如何進(jìn)行數(shù)據(jù)聚合分析，以提供實(shí)際的操作案例，能能直觀的了解數(shù)據(jù)管理的工作流程，之后可以重復(fù)實(shí)踐，不繞道走遠(yuǎn)路，著重給出日志分析工具使用的要點(diǎn)，快速上手掌握相關(guān)工具的使用，掌握日常日志數(shù)據(jù)實(shí)操及相關(guān)方法。
為了方便實(shí)踐，盡量避免商業(yè)系統(tǒng)和設(shè)備在案例中的出現(xiàn)，以可以方便取材的開(kāi)源項(xiàng)目為基礎(chǔ)，展開(kāi)案例的講解，大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng)，在本地完成實(shí)踐練習(xí)過(guò)程。本篇介紹入侵檢測(cè)系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過(guò)對(duì)入侵檢測(cè)系統(tǒng)的日志進(jìn)行收集，來(lái)展現(xiàn)日志收集處理的典型過(guò)程。
開(kāi)源IDS系統(tǒng)Suricata與威脅事件日志管理平臺(tái)Graylog結(jié)合，對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行截取與日志收集分析統(tǒng)計(jì)，通過(guò)Suricata捕獲輸出的日志，經(jīng)過(guò)Nxlog日志收集工具，將相關(guān)事件日志、告警日志、HTTP日志，通過(guò)Graylog進(jìn)行日志聚合，對(duì)日志進(jìn)行統(tǒng)計(jì)分析，分析網(wǎng)絡(luò)環(huán)境中存在各種威脅事件類(lèi)型，通過(guò)自定義Suricata的檢測(cè)規(guī)則，控制入侵檢測(cè)的策略，以及入侵檢查系統(tǒng)的輸出結(jié)果。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://mmsped.com