深度测试企业应用安全经验谈only_guest.pptx

深度测试企业应用信息安全 经验谈作者:Only_GuestDate:2015/6/26关于我PKAV创始人张瑞冬only_guest渗透测试web漏洞挖掘移动终端安全业务逻辑漏洞新浪微博 - 修改用户密码微信 - 任意用户密码修改腾讯、迅雷、乐视、58同城、PPTV … 等各大互联网企业。交行、建行 - 支付问题几家知名互联网公司的 对比嗯！ 一定是因为工资！企业应用安全的转变测试方法的转变传统安全测试新型安全测试弱口令测试大数据TOP100HASH比对漏洞扫描系统指纹识别平台预警未授权访问垂直and水平权限测试自身信息泄漏Github，SVN等信息泄漏是否存在入侵事件APT主动防御弱口令/社工库缺陷：一般人的记忆长度是有限的，记忆回溯过程是需要关联的结果：一般人的密码长度是不足的，密码中词汇往往具有特定意义，多个网站用一个密码路径猜解/备份文件猜解缺陷：人类思维在一定程度上具有相似性结果：程序员甲的命名习惯被黑客乙所猜解使用默认配置/内网系统对外缺陷：人类惰性结果：默认配置存在缺陷，内网系统被攻击所以，很多时候，还轮不到谈技术层面。。猫扑某分站phpmyadmin root 弱口令某基金的某整站备份你可以让一个人通过培训，避免以上缺陷带来的问题！但是，个体的差异性，决定了不可能所有人都避免这些缺陷！大规模，广覆盖度的趋势，让“人缺陷” 导致的问题更加凸显！从员工弱口令下手员工帐号搜集 ? OA系统弱口令测试 ? 进入OA系统员工邮箱帐号搜集 ? 邮箱内敏感信息? 之后的步骤国政通内网漫游及域名劫持（大量业务系统、内网系统、商业资料）游久网大量敏感信息泄露（微信公众号、各渠道账号、大量QB充值卡密码、几十万礼包兑换码等）蚂蜂窝内部系统漫游影响5000W+用户（大量服务器信息、运营信息、短信验证码、影响线上业务）…..撞库渗透案例撞库渗透案例撞库渗透案例撞库渗透案例撞库渗透案例撞库渗透案例撞库渗透案例从 WIFI 下手天河一号专线用户， 无线网络对外开放WIFI 万能钥匙入内网WIFI 万能钥匙入内网从员工QQ业务、QQ群下手QQ群入侵手把手教你劫持李开复的腾讯微博从员工邮箱下手大规模企业钓鱼大规模企业钓鱼大规模企业钓鱼从经常“背锅”的程序员下手Github 信息泄漏Github 信息泄漏Github 信息泄漏Github 信息泄漏从运维问题下手.git.svnelasticSearch:9200Redis:6379Memcache:11211Mongodb:27017总结 前面这些都是当前正在流行的手段，然后而这些手段在以往可能会被忽略，而仅仅是测试应用自身的安全问题。 攻击是多个维度的，应用自身只是一个维度，人所带来的安全问题与应用自身安全问题同样重要。 此外，人的安全问题，不仅仅通过安全培训来进行一定程度上的解决，另一方面，还应该通过应用自身的设计来进行弥补。比较典型的例子：验证码或是强制性的限定口令强度等措施来弥补弱口令问题；随机的初始化口令来弥补用户使用默认配置的问题（路由器）。漏洞预警漏洞预警漏洞预警漏洞预警人员信息预警基于团队的测试方法基于团队的测试方法基于团队的测试方法协同化的测试工具谢谢大家不要认真的下结论，当作是一个调侃！一些能够直接威胁网站数据安全、服务器安全的漏洞已经越来越少。（例如SQL注入、命令执行等）慢慢的所有的安全问题由原有的代码层面的问题转变为 业务的问题，逻辑的问题，人的问题。攻击手段也会变得更为间接，可能结合多个漏洞来实现攻击行为，可能以员工或相关人员为目标来实现攻击行为（利用人性缺陷、利用人员的操作失误）。这是传统安全与新型的安全测的对比接下来我讲一些比较流行的新型渗透测试手段人的缺陷，导致了网站的缺陷例如PKAV.NET 的团队博客中,文章里所展示的图片的文件名没有被重新定义,采用了日期加数字递增的命名方案,如2012年12月12号发布的文章中的图片分别为1.jpg,2.jpg,3.jpg.那么这些图片的路径就是/2012-12-12/1.jpg,?/2012-12-12/2.jpg, /2012-12-12/3.jpg ?, 此时我们在博客上发布了一篇内容加密的文章,只有团队成员才知道密码,但是黑客们根据博客以往发布文章的命名规则推测出了这些图片的准确地址,从而通过图片内容泄漏了文章的大致概念.?不是从管理后台弱口令或是管理员弱口令下手，而是从搜集到的常规员工来做入手点你自己的58同城案例各种企业在这种方式下都纷纷沦陷不是从管理后台弱口令或是管理员弱口令下手，而是从搜集到的常规员工来做入手点专线用户自身安全管理不当，很多企业设置访客网络就是为了提供给访客一个热点并且保障企业内网安全对吧。很多网管说我们有了访客网络，和内网隔离了，我们就安全了呀。可是，访客网络难道不是应该是拉