主頁 > 企業開發 > DAST 黑盒漏洞掃描器 第一篇:流量

DAST 黑盒漏洞掃描器 第一篇:流量

2022-07-13 09:03:31 企業開發

掃描器已經接觸了三年,目前比較成熟,在這個方向里,遇到過很多問題,各種方案或多或少接觸過,大多數安全產品都可以用流量+規則+引擎+處置來抽象框架,DAST也是這樣,而功能,用目的劃分,個人拙見主要5個:流量全、規則全、引擎高性能高可用、掃描無害化、運營高效化,這個系列主要是對應功能的描述,

DAST流量主要以web應用(WEB流量以及對應API)和主機服務(HOST流量與域名流量)為主

1 WEB流量

web流量,即有哪些web漏洞

1.1 欄位

域名、路徑、get引數、post引數、headers;
回傳請求的header和body

1.2 來源

1.2.1 線上環境-流量鏡像

交換機處通過網卡采集流量,把由外部訪問的流量收集并轉發,
可參考 https://help.aliyun.com/document_detail/207513.htm
對應的流量型別還有由內到外的訪問,合并為南北向流量,
由內到外的流量通常用于IDS 入侵檢測系統,檢測對外訪問是否有木馬特征(心跳回連、DGA域名、發起IP較少等),
東西向流量,即內網server-server流量,通常用于檢測內網橫向滲透的行為,
流量鏡像的特點是全,訪問的http流量都可以抓取,缺點也挺明顯

  • 臟資料
    由于抓取的都是訪問的流量,那么就可能會帶來臟資料,
    比如,首頁登錄處獲取收集驗證碼,用戶A點擊一次獲取驗證碼后,斷斷續續收到十幾條驗證碼,感覺很莫名其妙,懷疑是網站泄露了手機號,代碼撰寫的在開發角度也挺合理,手機號作為GET引數傳入后端,沒有頻率限制,沒有token,收到請求就發送,當天用完即止,
    比如,作為開發,我用戶憑證的token不想放在cookie里,而是作為get引數,用戶新增了一個識訓地址,一天后發現地址串列里多了一百多條看不懂的地址,大為惶恐懷疑賬號被黑了,
    這是有增刪改的場景,
    單純的查詢也不是就沒有風險,比如,用戶訪問帖子、商品、文章等串列,掃描的時候觸發業務自己的風控,導致介面反爬機制對該用戶做了處置(封IP/驗證登錄等),
  • 資料量過大
    互聯網公司的每日訪問量一般超過百億,資料量背后需要一套聚合與去重的服務
  • 缺乏https
    網卡抓取的流量鏡像一般是在請求決議前,所以https的流量還沒決議,目前https的比例越來越大,簡單的流量鏡像會導致這一塊的安全檢測都漏掉

1.2.2 線上環境-nginx流量

為解決https流量,可抓取nginx日志,決議后獲取流量,成本較低但不好控制 覆寫率有限(看運維這塊記錄的內容)

1.2.3 線上環境-WAF流量

WAF流量與鏡像流量相似,都是全面的流量,與鏡像流量不同的是,WAF通常是在nginx層后,可獲取https流量

1.2.4 線上/測驗環境-爬蟲

采用爬蟲模擬用戶操作抓取流量

好處:
采用自身測驗賬號抓取的流量,通常臟資料問題會比較少,因為這些請求都是正常用戶可以訪問到發出的,也是外部掃描器會收集到的,有問題的情況一般是業務存在漏洞、比如越權、注入、存盤XSS等,
缺點:

  • 覆寫率問題
    采用基于無頭瀏覽器的爬蟲爬取的流量,可以實作js的決議,解決前后端分離(vue.js)等問題,能實作覆寫率90%,但是移動端APP流量的爬取還是個難題
  • 研發成本
    爬蟲可能遇到訪問的時候中斷、卡住的問題,各種各樣的JS功能并不可預料,遇到例外情況需要適配優化,這方面需要持續投入
  • 運營成本:cookie問題
    如果作為一個服務提供給業務使用,并沒有這個問題,而想要全面hold住,業務線很多,每個業務線下的業務可能需要的賬號權限都不一樣,即使有統一的passport,同一個賬號,這個業務有沒有開VIP,那個業務有沒有認證(用戶的實名認證、微信系結,商家的營業執照認證等等),場景繁多,意味著需要一套持續維護的登錄服務,賬號、密碼、自動登錄的頁面和驗證碼破解,召回時不斷添加,實在繁瑣,運營成本極大
  • 資源成本
    采用無頭瀏覽器模擬瀏覽器操作的pc web爬蟲、以及app爬蟲等,都極大的占用資源

1.2.5 測驗環境-瀏覽器插件

采用瀏覽器插件的形式,將訪問中的流量抓取下來,通過redis或者介面的方式發送給后端,再到引擎進行掃描,最后將結果回傳平臺;插件訪問介面做漏洞提醒,
單純的作為一個能力,提供給QA使用,QA控制流量開關
優點:簡單、可控
缺點:安全培訓的推廣,直接影響了整體使用率,在業務線不負責安全漏洞成本的情況下,推廣難度較大,

1.2.6 測驗環境-統一抓取

使用HIDS/IAST實作流量抓取,結合CI/CD平臺,在CD平臺上提供掃描能力,由QA自行開啟,
QA比較反感無感知的漏洞掃描,而且還用了QA的cookie,所以一定要站在QA角度 考慮QA的感受,
QA并不想在測驗的時候有較多的其他請求,所以不能實時同步掃描,QA也不想自己測完了,還要等待很長時間的安全掃描,所以不能做定時收集與掃描,最好的方式還是提供給QA能夠自己控制的安全測驗能力,在測驗結束后,可將這次測驗的流量投到DAST中,
掃描的時間視窗也要做限制,2-3分鐘內適宜,這就要求web掃描插件的時間需要控制在合適的范圍內,比如sqlmap做介面掃描方式可能不可行,超過時間視窗的只能丟棄或者以線上安全漏洞工單形式發送,
卡點:卡點功能最好也是由業務線可控,可以以報表的形式描述開啟率
如果能夠分辨增刪改流量,也可以將這部分流量是否掃描的控制交給業務

優點:作為一種能力提供給業務使用,QA可自行控制風險
缺點:理論上是可全覆寫的,初始階段因抓取服務的部署率和業務線合作程度,覆寫率會比較低,但這兩方面都可以通過技術手段以及運營推廣手段(漏洞成本轉移/安全培訓)提升

2 HOST流量

1.1 欄位

IP、埠、埠指紋、IP所屬集群(漏洞找人)、IP所屬業務線等

1.2 來源

內部平臺:IT資產資訊、運維CMDB、HIDS等
IP來源較為廣泛,有的時候較為復雜的內網,運維也無法清楚有多少IP,存在很多找不到人的IP
黑盒掃描:采用masscan+nmap的方式,做全網段存活主機發現、主機埠服務探測

內部獲取的資產資訊以及黑盒角度收集的資產資訊,是互補的兩個途徑,
通過兩種途徑結合起來的資產,往往會比內部其他平臺更全一些,

1.3 資產指紋

而HOST資產,最好還有打標流程,收集每個埠的指紋、http回應,將nmap的nmap-service-probes做成可配置的指紋檢測規則,掃描時判斷具體埠服務,各欄位匹配出多特征、多特征組合成打標規則,
一方面是0day出現時判斷影響范圍,另一方面是快速進行應急回應、漏洞掃描,

3 域名流量

域名是對外開放的一個口子,像一些框架漏洞、CORS,往往是整個域名都存在的、對域名下的每一條URL檢測效果都一樣,
這時候需要域名資產,
檢測時結合公網資產,對域名的埠進行掃描,在應急上ROI也比較高(一般0day爆發、外部漏洞掃描時,先用漏洞對企業所有域名掃一遍)

4 API

API是web流量的演化,如線上流量的去重規則到了較為成熟的時候,離線URL流量接近于企業的API,
對API作打標,結合SAST/IAST,判斷每個介面的操作屬性(增刪改查)、服務呼叫鏈、資料庫與表的呼叫,對于處理臟資料問題和資料安全問題都有比較好的輔助作用

轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/498782.html

標籤:訊息安全

上一篇:Base64隱寫

下一篇:基于數傳電臺的組態王控制實作遠程采集控制器PLC

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • IEEE1588PTP在數字化變電站時鐘同步方面的應用

    IEEE1588ptp在數字化變電站時鐘同步方面的應用 京準電子科技官微——ahjzsz 一、電力系統時間同步基本概況 隨著對IEC 61850標準研究的不斷深入,國內外學者提出基于IEC61850通信標準體系建設數字化變電站的發展思路。數字化變電站與常規變電站的顯著區別在于程序層傳統的電流/電壓互 ......

    uj5u.com 2020-09-10 03:51:52 more
  • HTTP request smuggling CL.TE

    CL.TE 簡介 前端通過Content-Length處理請求,通過反向代理或者負載均衡將請求轉發到后端,后端Transfer-Encoding優先級較高,以TE處理請求造成安全問題。 檢測 發送如下資料包 POST / HTTP/1.1 Host: ac391f7e1e9af821806e890 ......

    uj5u.com 2020-09-10 03:52:11 more
  • 網路滲透資料大全單——漏洞庫篇

    網路滲透資料大全單——漏洞庫篇漏洞庫 NVD ——美國國家漏洞庫 →http://nvd.nist.gov/。 CERT ——美國國家應急回應中心 →https://www.us-cert.gov/ OSVDB ——開源漏洞庫 →http://osvdb.org Bugtraq ——賽門鐵克 →ht ......

    uj5u.com 2020-09-10 03:52:15 more
  • 京準講述NTP時鐘服務器應用及原理

    京準講述NTP時鐘服務器應用及原理京準講述NTP時鐘服務器應用及原理 安徽京準電子科技官微——ahjzsz 北斗授時原理 授時是指接識訓通過某種方式獲得本地時間與北斗標準時間的鐘差,然后調整本地時鐘使時差控制在一定的精度范圍內。 衛星導航系統通常由三部分組成:導航授時衛星、地面檢測校正維護系統和用戶 ......

    uj5u.com 2020-09-10 03:52:25 more
  • 利用北斗衛星系統設計NTP網路時間服務器

    利用北斗衛星系統設計NTP網路時間服務器 利用北斗衛星系統設計NTP網路時間服務器 安徽京準電子科技官微——ahjzsz 概述 NTP網路時間服務器是一款支持NTP和SNTP網路時間同步協議,高精度、大容量、高品質的高科技時鐘產品。 NTP網路時間服務器設備采用冗余架構設計,高精度時鐘直接來源于北斗 ......

    uj5u.com 2020-09-10 03:52:35 more
  • 詳細解讀電力系統各種對時方式

    詳細解讀電力系統各種對時方式 詳細解讀電力系統各種對時方式 安徽京準電子科技官微——ahjzsz,更多資料請添加VX 衛星同步時鐘是我京準公司開發研制的應用衛星授時時技術的標準時間顯示和發送的裝置,該裝置以M國全球定位系統(GLOBAL POSITIONING SYSTEM,縮寫為GPS)或者我國北 ......

    uj5u.com 2020-09-10 03:52:45 more
  • 如何保證外包團隊接入企業內網安全

    不管企業規模的大小,只要企業想省錢,那么企業的某些服務就一定會采用外包的形式,然而看似美好又經濟的策略,其實也有不好的一面。下面我通過安全的角度來聊聊使用外包團的安全隱患問題。 先看看什么服務會使用外包的,最常見的就是話務/客服這種需要大量重復性、無技術性的服務,或者是一些銷售外包、特殊的職能外包等 ......

    uj5u.com 2020-09-10 03:52:57 more
  • PHP漏洞之【整型數字型SQL注入】

    0x01 什么是SQL注入 SQL是一種注入攻擊,通過前端帶入后端資料庫進行惡意的SQL陳述句查詢。 0x02 SQL整型注入原理 SQL注入一般發生在動態網站URL地址里,當然也會發生在其它地發,如登錄框等等也會存在注入,只要是和資料庫打交道的地方都有可能存在。 如這里http://192.168. ......

    uj5u.com 2020-09-10 03:55:40 more
  • [GXYCTF2019]禁止套娃

    git泄露獲取原始碼 使用GET傳參,引數為exp 經過三層過濾執行 第一層過濾偽協議,第二層過濾帶引數的函式,第三層過濾一些函式 preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'] (?R)參考當前正則運算式,相當于匹配函式里的引數 因此傳遞 ......

    uj5u.com 2020-09-10 03:56:07 more
  • 等保2.0實施流程

    流程 結論 ......

    uj5u.com 2020-09-10 03:56:16 more
最新发布
  • 使用Django Rest framework搭建Blog

    在前面的Blog例子中我們使用的是GraphQL, 雖然GraphQL的使用處于上升趨勢,但是Rest API還是使用的更廣泛一些. 所以還是決定回到傳統的rest api framework上來, Django rest framework的官網上給了一個很好用的QuickStart, 我參考Qu ......

    uj5u.com 2023-04-20 08:17:54 more
  • 記錄-new Date() 我忍你很久了!

    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 大家平時在開發的時候有沒被new Date()折磨過?就是它的諸多怪異的設定讓你每每用的時候,都可能不小心踩坑。造成程式意外出錯,卻一下子找不到問題出處,那叫一個煩透了…… 下面,我就列舉它的“四宗罪”及應用思考 可惡的四宗罪 1. Sa ......

    uj5u.com 2023-04-20 08:17:47 more
  • 使用Vue.js實作文字跑馬燈效果

    實作文字跑馬燈效果,首先用到 substring()截取 和 setInterval計時器 clearInterval()清除計時器 效果如下: 實作代碼如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta ......

    uj5u.com 2023-04-20 08:12:31 more
  • JavaScript 運算子

    JavaScript 運算子/運算子 在 JavaScript 中,有一些運算子可以使代碼更簡潔、易讀和高效。以下是一些常見的運算子: 1、可選鏈運算子(optional chaining operator) ?.是可選鏈運算子(optional chaining operator)。?. 可選鏈操 ......

    uj5u.com 2023-04-20 08:02:25 more
  • CSS—相對單位rem

    一、概述 rem是一個相對長度單位,它的單位長度取決于根標簽html的字體尺寸。rem即root em的意思,中文翻譯為根em。瀏覽器的文本尺寸一般默認為16px,即默認情況下: 1rem = 16px rem布局原理:根據CSS媒體查詢功能,更改根標簽的字體尺寸,實作rem單位隨螢屏尺寸的變化,如 ......

    uj5u.com 2023-04-20 08:02:21 more
  • 我的第一個NPM包:panghu-planebattle-esm(胖虎飛機大戰)使用說明

    好家伙,我的包終于開發完啦 歡迎使用胖虎的飛機大戰包!! 為你的主頁添加色彩 這是一個有趣的網頁小游戲包,使用canvas和js開發 使用ES6模塊化開發 效果圖如下: (覺得圖片太sb的可以自己改) 代碼已開源!! Git: https://gitee.com/tang-and-han-dynas ......

    uj5u.com 2023-04-20 08:01:50 more
  • 如何在 vue3 中使用 jsx/tsx?

    我們都知道,通常情況下我們使用 vue 大多都是用的 SFC(Signle File Component)單檔案組件模式,即一個組件就是一個檔案,但其實 Vue 也是支持使用 JSX 來撰寫組件的。這里不討論 SFC 和 JSX 的好壞,這個仁者見仁智者見智。本篇文章旨在帶領大家快速了解和使用 Vu ......

    uj5u.com 2023-04-20 08:01:37 more
  • 【Vue2.x原始碼系列06】計算屬性computed原理

    本章目標:計算屬性是如何實作的?計算屬性快取原理以及洋蔥模型的應用?在初始化Vue實體時,我們會給每個計算屬性都創建一個對應watcher,我們稱之為計算屬性watcher ......

    uj5u.com 2023-04-20 08:01:31 more
  • http1.1與http2.0

    一、http是什么 通俗來講,http就是計算機通過網路進行通信的規則,是一個基于請求與回應,無狀態的,應用層協議。常用于TCP/IP協議傳輸資料。目前任何終端之間任何一種通信方式都必須按Http協議進行,否則無法連接。tcp(三次握手,四次揮手)。 請求與回應:客戶端請求、服務端回應資料。 無狀態 ......

    uj5u.com 2023-04-20 08:01:10 more
  • http1.1與http2.0

    一、http是什么 通俗來講,http就是計算機通過網路進行通信的規則,是一個基于請求與回應,無狀態的,應用層協議。常用于TCP/IP協議傳輸資料。目前任何終端之間任何一種通信方式都必須按Http協議進行,否則無法連接。tcp(三次握手,四次揮手)。 請求與回應:客戶端請求、服務端回應資料。 無狀態 ......

    uj5u.com 2023-04-20 08:00:32 more