深度测试企业应用安全经验谈only_guest讲述.pptx

作者:Only_Guest Date:2015/6/26 深度测试企业应用信息安全 经验谈 关于我 渗透测试 web漏洞挖掘 移动终端安全 业务逻辑漏洞 新浪微博 - 修改用户密码 交行、建行 - 支付问题 腾讯、迅雷、乐视、58同城、PPTV … 等各大互联网企业。 PKAV创始人 几家知名互联网公司的 对比 嗯！ 一定是因为工资！ 企业应用安全的转变 SQL注入，弱口令，远程溢出 文件上传，文件包含，越权 XSS，逻辑漏洞，信息泄漏 传统安全测试 新型安全测试 弱口令测试 大数据TOP100HASH比对 漏洞扫描 系统指纹识别平台预警 未授权访问 垂直and水平权限测试 自身信息泄漏 Github，SVN等信息泄漏 是否存在入侵事件 APT主动防御 测试方法的转变 弱口令/社工库 缺陷：一般人的记忆长度是有限的，记忆回溯过程是需要关联的 结果：一般人的密码长度是不足的，密码中词汇往往具有特定意义，多个网站用一个密码 路径猜解/备份文件猜解 缺陷：人类思维在一定程度上具有相似性 结果：程序员甲的命名习惯被黑客乙所猜解 使用默认配置/内网系统对外 缺陷：人类惰性 结果：默认配置存在缺陷，内网系统被攻击 所以，很多时候，还轮不到谈技术层面。。 猫扑某分站phpmyadmin root 弱口令 某基金的某整站备份 你可以让一个人通过培训， 避免以上缺陷带来的问题！ 但是，个体的差异性， 决定了不可能所有人都避免这些缺陷！ 大规模，广覆盖度的趋势，让“人缺陷” 导致的问题更加凸显！ 从员工弱口令下手 员工帐号搜集 ? OA系统弱口令测试 ? 进入OA系统 国政通内网漫游及域名劫持（大量业务系统、内网系统、商业资料） 游久网大量敏感信息泄露（微信公众号、各渠道账号、大量QB充值卡密码、几十万礼包兑换码等） 蚂蜂窝内部系统漫游影响5000W+用户（大量服务器信息、运营信息、短信验证码、影响线上业务） ….. 员工邮箱帐号搜集 ? 邮箱内敏感信息? 之后的步骤 撞库渗透案例 撞库渗透案例 撞库渗透案例 撞库渗透案例 撞库渗透案例 撞库渗透案例 撞库渗透案例 从 WIFI 下手 天河一号专线用户， 无线网络对外开放 WIFI 万能钥匙入内网 WIFI 万能钥匙入内网 从员工QQ业务、QQ群下手 QQ群入侵 手把手教你劫持李开复的腾讯微博 从员工邮箱下手 大规模企业钓鱼 大规模企业钓鱼 大规模企业钓鱼 从经常“背锅”的程序员下手 Github 信息泄漏 Github 信息泄漏 Github 信息泄漏 Github 信息泄漏 从运维问题下手 .git .svn elasticSearch:9200 Redis:6379 Memcache:11211 Mongodb:27017 总结 前面这些都是当前正在流行的手段，然后而这些手段在以往可能会被忽略，而仅仅是测试应用自身的安全问题。 攻击是多个维度的，应用自身只是一个维度，人所带来的安全问题与应用自身安全问题同样重要。 此外，人的安全问题，不仅仅通过安全培训来进行一定程度上的解决，另一方面，还应该通过应用自身的设计来进行弥补。比较典型的例子：验证码或是强制性的限定口令强度等措施来弥补弱口令问题；随机的初始化口令来弥补用户使用默认配置的问题（路由器）。 漏洞预警 漏洞预警 漏洞预警 漏洞预警 人员信息预警 基于团队的测试方法 基于团队的测试方法 基于团队的测试方法 协同化的测试工具 谢谢大家