存档

文章标签 ‘Web安全’

在线攻击的幕后场景:对利用Web漏洞行为的分析

2015年4月28日 没有评论

原文:http://www.internetsociety.org/doc/behind-scenes-online-attacks-analysis-exploitation-behaviors-web

翻译:赵阳

摘要:现如今Web攻击已经成为了互联网安全的一个主要威胁,人们对它进行了很多研究,特别详细地分析了攻击是如何进行,如何传播的。但是,对于当Web被攻陷时的攻击者的典型行为研究却很少。本文描述了一个设计、执行、配置有500个完整功能的蜜罐技术网站,从而可以提供多种不同服务,目的就是要吸引攻击者,采集攻击者在攻击过程中和攻击后的行为信息。在100天的实验过程中,我们的系统自动采集、处理和规整了85000个在大概6000次攻击后留下的文件,并把攻击者的攻击路线标记成了不同类别,以区分它们在每次利用Web应用漏洞过程中的行为。

一、引言

Web攻击是对人们经济和知识财产造成破坏的主要原因之一。去年,这种攻击的数量不断在增长,复杂程度也在增加,并且目标多是政府和高利润的公司,窃取个人信息的同时造成了数百万欧元的经济损失。使用台式机、笔记本和智能手机上网的人数的不断增加,这就有了很吸引人的攻击目标,从而使他们走上了犯罪的道路。

这种趋势也已经成为了学术研究之一。事实上,快速的看下前些年发表的论文,会发现与Web攻击和防守相关的文章很多。这些研究大多数关注于一些普通的与Web应用、Web服务器或是浏览器相关的漏洞,通过这些漏洞来拿下目标。其余的剖析了针对内部构件的特殊攻击活动[5,13,17][……]

阅读全文

如何开始CTF比赛之旅

2014年6月20日 没有评论

原文:http://www.endgame.com/blog/how-to-get-started-in-ctf.html

翻译:赵阳

在过去的两个星期里,我已经在DEFCON 22 CTF里检测出了两个不同的问题:“shitsco”和“nonameyet”。感谢所有的意见和评论,我遇到的最常见的问题是:“我怎么才能在CTFs里开始?”在不久前我问过自己一样的问题,所以我想要给出些对你追求CTFs的建议和资源。最简单的方法就是注册一个介绍CTF的帐号,如CSAWPico CTFMicrocorruption或是其他的。通过实践、耐心和奉献精神,你的技能会随着时间而提高。

如果你对CTF竞争环境之外的问题有兴趣,这里有一些CTF比赛问题的集锦。挑战往往也是有多种不同的难度级别,注意解决最简单的问题。难易程度是根据你的个人技能的程度决定的,如果你的长处是取证,但是你对加密不在行,取证问题将会成为得分点而相比之下加密问题就会拖后腿。CTF组织者对此有同样的感知,这是为什么对于CTF比赛的评价是很大的挑战性。

如果你已经亲自尝试过几个基础问题且仍然苦恼,现在有很多自学的机会!CTF比赛主要表现以下几个技能上:逆向工程、密码学、ACM编程、web漏洞、二进制练习、网络和取证。可以从中选择并关注一个你已经上手的技能方向。

1、逆向工程。我强烈建议你得到一个IDA Pr[……]

阅读全文

2011年-2012年渗透测试调查

2013年7月12日 没有评论

原文:PHDays活动资料

翻译:章典

这次调查涵盖Positive Technologies的专家对2011年到2012年的渗透测试进行一般的统计数据。其中包括了外部测试和攻击方的渗透测试。

在2011年和2012年,Positive Technologies的专家进行了超过50次渗透测试,本研究基于其中20个最具规模的测试报告结果(每年10个结果)。我们将那些受限制的主机排除,因为这些主机的测试结果无法广泛反映目标信息系统的安全级别。

这次研究涵盖了政府和商业的主要机构,其中包括了专业RA机构评出的俄罗斯前400强的企业。

一、2011和2012年整体数据

最低攻击条件(对重要资源的控制)

Positive Technologies的专家对其中75%的目标进行测试,并获得了管理和完全控制重要资源的权限,几乎一半(45%)的测试结果显示,任何外部攻击者都可以获得相同访问权限。四分之一的测试显示,位于内部攻击者在用户网段可以对关键资源完全控制,并不需要任何额外的特权。

最低攻击条件(边界绕过)

其中一半的系统不需要额外的特权便可由攻击者绕过安全边界。每个Internet用户都可能访问系统中的外部网络。在这种情况下,如果对大型国有企业公司进行未授权的渗透测试,那么意味着会造成巨大的损失,这些结果表明,俄罗斯的企业信息安全处于一个很低的水平。

部分web攻击者获取权限级别

[……]

阅读全文

Web应用程序漏洞——比看起来更加危险

2013年7月8日 没有评论

原文:PHDays活动资料

翻译:李天星(Leo)

如果计划针对企业的信息基础设施进行攻击的话,网络罪犯会首先研究其web应用程序。这些资源不仅很容易获得,而且存在一系列的漏洞,通过挖掘还有可能访问到企业网络和关键位置。例如,ICS/SCADA或者ERP。

在2012年,作为安全隐患审计和渗透测试的一部分,Positive Technology的专家审查了几十家企业客户和合作伙伴的web应用程序,包括:移动运营商的自助服务门户,网上银行系统,信息资源等等。所获得的信息将作为研究基础,精简版资料会在本文中提供。下一页我们将会分析银行应用程序漏洞,我们将指出最严重的web威胁,其触角伸到了电信公司、企业、IT和IS公司,我们会将结果和2010、2011年的数据进行对比分析。

漏洞排行榜

在所有已检测过的漏洞中,高危漏洞占有45%。

在2012年中,四分之三的资源(73%)包含指纹识别漏洞(软件分析鉴定)。第二个部分就是允许跨站脚本的漏洞,它在已检测的web应用程序中占63%。

在2010年和2011年10大最常见web资源漏洞里,排名第一的是跨站请求伪造(CSRF),它使得61%的被检测的网络资源会被泄露,而三大漏洞SQL注入(47%)、OS命令(28%)和路径穿越(28%)都在漏洞排行榜的前十位里。

高危漏洞所占的比例在2012年中却有所减少:SQL注入影响的网站有38%,路径穿越的占18%,OS命令占16%。

哪一个更加[……]

阅读全文