化被动为主动!Web攻防之红蓝对抗分析
背景介绍
近几年,随着大数据、物联网、云计算的飞速发展,网络攻击触手已经从企业逐渐伸向国家,国家关键信息基础设施建设也面临着无形威胁。因此,我们应当未雨绸缪,厉兵秣马,化被动为主动。
在严峻的网络安全态势之下,2016年,有关部门组织开展了网络安全攻防演习活动。同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。自此网络安全攻防演习活动进入人们视野,成为网络安全建设中重要的一环。
红队常见的攻击技术
1. 信息收集
资产挖掘(子域名、目录、后台、服务、高位端口应用),Github、Google Hacking等。
企业信息(办公地点、投资者关系、上下游企业等)
企业员工信息收集(百度、微博、邮箱、手机号等)
2. 入口收集
Web中间件漏洞攻击(IIS、Nginx解析漏洞、RCE等)
第三方组件、框架漏洞攻击(Java反序列化、Struts2 RCE、CMS 0day等)
VPN,邮件,文件服务器漏洞信息收集。
3. 渗透阶段
常规WEB技术漏洞攻击(SQL注入、XSS、命令注入、文件上传等)
逻辑漏洞(认证缺陷,如:后台弱口令、登录表单可暴力破解、密码找回绕过、短信认证功能缺陷等)
业务漏洞(薅羊毛)
4. 社会工程学攻击
邮件、IM钓鱼或植马(客服、HR、运维,甚至是其他任意员工)
物理攻击(丢植马U盘、尾随捎带进入内网、WIFI攻击/钓鱼/劫持)
常见攻击手段总结如图:
在所有攻击技术中,web攻击变化多,影响大,已成为最难以防御的攻击之一。为此,安恒信息新一代智能WAF针对日益变化的web攻击,采用基于语义技术技术+AI技术进行全方位智能防护。
WAF构筑蓝队WEB防护体系
1. 防信息泄露
安恒信息新一代智能WAF通过基础特征库识别常见信息泄露漏洞,可以防护的信息泄露有:
1,Web服务器的目录信息
2,中间件信息,如:Apache/Nginx/IIS等
3,数据库信息,如:MS-SQL/PostgreSQL/Oracle/MySql等
4,源码泄露,防止ASP/JSP/PHP源码泄露输出
2. 防注入攻击
安恒信息新一代智能WAF可以防护的注入攻击有:
1. 命令注入:因为在Web应用在服务器上拼接系统命令而造成的漏洞。
2. 文件注入:传了一个可执行文件到服务器并执行。这里上传的文件可以是木马、病毒、恶意脚本等 。
3. SQL注入:在应用程序中,如果没有做恰当的过滤,则可能使得恶意的SQL语句被插入到输入字段中执行(例如将数据库内容转储给攻击者),安恒信息新一代智能WAF的智能语义分析引擎可以极大地降低误报率和漏报率。
智能语义分析原理如图所示:
输入语句标签化之后作为语法分析模块的输入,预置的SQL语法分析模块经过打分,判断输入是否为攻击。避免了冗长的正则规则的书写,可以有效防范基于正则绕过的变种攻击。
3.防XSS攻击
该漏洞发生在用户端,是指在渲染过程中发生了非法JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。和传统特征库相比,智能语义分析引擎可以极大地降低误报率和漏报率,减少维护条目,降低维护成本,提升防护准确性。
4. 防0day漏洞
近几年因0day漏洞引发的网络安全事件频发,已爆发的0day漏洞包括Apache Struts2 代码执行漏洞、Weblogic反序列漏洞、Fastjson反序列化远程代码执行漏洞、Jboss反序列化漏洞等。安恒信息新一代智能WAF采用机器学习+语义分析安全引擎两者结合的方式实现对0day漏洞的安全检测。
机器学习引擎学习客户正常业务流量,高效识别未知漏洞威胁:
机器学习引擎通过对业务流量的不断学习和训练,会建立一个符合业务正常访问的模型。模型建立成功后,对于到达WAF的流量,机器学习会对其进行判断,放行、阻断、或者到其他引擎进行深度分析。相比于传统WAF的自学习功能,机器学习具备更精准的建模、持续性的学习能力、全自动的攻防体系构建,大幅度提升0day的检出率及WAF的检测性能。
5. 防Webshell
黑客通过一些上传方式,将自己编写的Webshell上传到Web服务器的页面的目录下,然后通过页面访问的形式进行入侵,或者通过插入连接工具直接对服务器进行入侵操作。近几年针对Webshell的防护手段提升,攻击者也在不断采取新的绕过手段,“冰蝎3.0”就可以使依赖特征签名的安全设备防护失效。
安恒新一代智能WAF的Webshell安全检测引擎采用语义分析技术,支持包括PHP、JSP、ASP、ASPX、JSPX在内的五种主流的脚本内容格式。针对本次“冰蝎3.0”安恒信息新一代智能WAF无需增加和升级规则即可实现安全防护。
往期精选
围观
安全成就梦想——安恒信息正式成为成都大运会网络信息安全类官方独家供应商
热文
安恒信息助力杭州高新区启动“企业创新积分”全国试点,首批5036家企业实现在线查询
热文
安恒信息云安全战略升级,全新云安全品牌——“安恒云”正式发布!