关注网络与数据安全
在群里面发了一句,后来就有跟帖……
认识个做安利的,天天烦我。
和我说:做安利5-8年你就可以1年收入十几万了。
我说:我搞安全,明年就可以收入十几万了……
他不吭气了……
搞黑站挂马的说:
认识个做安全的,天天烦我。
和我说:做安全明年你就可以1年收入十几万了。
我说:我搞黑产,明天就可以收入十几万了……
他不吭气了……
卖上网行为管理系统的说:
认识个做黑产的,天天烦我。
和我说:做黑产明天你就可以收入十几万了。
我说:我搞网络监察,马上就可以收入十几万了……
他不吭气了……
搞地下交易的说:
认识个做网络监察的,天天烦我。
和我说:做网络监察马上你就可以收入十几万了。
我说:我搞网络攻击的,已经收入几百万了……
他不吭气了……
在华安论坛看到在讨论启明星辰的UTM2
说法是叫:UTM2=UTM的平方
网路游侠更乐意理解UTM2为“UTM×2”而不是UTM的平方,原因:
目前启明星辰的UTM无非为了解决2个问题,或者说2个最重要的问题:
1、外网带来的安全隐患
2、终端带来的安全隐患
UTM2就是为了管理2者带来的安全风险,并进行有效的控制
那么,原来意义上的产品:
UTM、终端安全管理系统,本来就可以做到一起
如:做成硬件的终端安全管理系统也不止一家(服务器端)
那么,同样的,基于Linux的UTM+基于linux的终端安全管理系统服务器做到一起就没有任何技术上的问题
目前西安的交大捷普、安智科技,终端安全管理系统都可以做在硬件
那么,2者还都有防火墙或此类的产品(IDS、IPS等)
做到一起完全没有技术上的难度
同样的,启明星辰、绿盟、天融信自己也有UTM“类UTM”或“终端安全”管理的产品,做到一起貌似问题也不大
并且有启明星辰的人也在华安论坛提到了这个问题
说UTM2实际上是天清汉马+天珣内网,也看出来的确是2个产品的融合
那么,回到最后:UTM2=网络UTM+终端UTM(貌似只有网路游侠在说终端安全管理系统为“终端UTM”?呵呵)
所以,网路游侠的理解是:UTM2=UTM×2
10月就要结束,分析下本月的流量吧:
下图是全国的分析,按照颜色,可见沿海的几个省份还是占了多数。
其实CNZZ的统计不是很准,来自美国的流量没有这么多,网站流量98%的都来自国内,下图是国内流量的饼型图。看到:广东省、北京市、陕西省、浙江省、江苏省、上海市的流量比较多。
按照地区的话,北京毫无疑问的占了老大的地位。
下图是51.la的来路统计。看到42.5%的来自Google、23.1%的来自百度,这比例与国内搜索引擎的占有率比例并不成正比,同事说了一句话概况:Google的优质流量优于百度。另外可以看出,22.3%的是“直接输入网址访问”,可以看出把www.youxia.org加入收藏夹或能记住网址的人还不算少数,这个让我很欣慰。
展示下来源图吧,就像上面说的,多数来自“优质流量”的Google。
关键词比较敏感,不发了……只是说一下:网站流量和本站定位的符合度相当好,网站几乎没有垃圾流量。
感谢一直关心游侠博客的朋友们!周末快乐!(可怜地游侠还在出差……)
早上在公司接到快递公司电话,说有包裹,跑下去拿来看是51CTO邮寄的礼品和证书到了。
证书图:
还有一个杯子。
如果不出意外今天还会收到2个快递——从亚马逊和当当网买的几本书。
相关:[游侠在参加51CTO活动:保障企业核心机密--与专家对话内网安全]、[有篇文章在51CTO被编辑推荐了]
上午的时候是误报本站有恶意代码,赶紧的到StopBadware.org提交了信息
现在在Google用site列下,已经全部清除了恶意软件提示
对待误报这个事情上,StopBadware.org的效率还是比较高的!
刚群里面的朋友说游侠博客打不开了,在Google上site:www.youxia.org发现的确是提示有恶意软件警告。
疑为服务器被攻击,于是仔细核查整个网站,发现并不不良现象。
昨天一天都几乎每隔一段时间就刷新一次博客,我的杀毒软件为Mcafee VirusScan Enterprise 8.7i,傍晚时分换成了360杀毒,都没有提示病毒,另外我的电脑安装了360安全卫士,全部是最新版本,都无病毒或恶意软件提示。
登录Google管理员页面,说明了下情况,然后就得等待Google和StopBadware.org更新了。
打开Google的相关提示页面,并在Google管理员页面查看了相关报警页面,发现是主要是Tags和首页的问题,但是确认无毒,也没有被篡改的迹象……
误报事件,敬请放心访问本站。另外,Firefox和Google都是直接采用了StopBadware.org的数据,因此在FireFox下面也打不开https://www.youxia.org,请用其它访问本博。
游侠我没有装过非法内外联监控系统,但是圈子里面的一些朋友发来一些资料,看了下几个厂商的白皮书,或用户手册,感觉就本质上来说,和我几年前就在想的非法内外联监控系统如出一辙——没错,几年前,我刚入行的时候的想法。
为何说流行?——因为现在很多纯内网的单位都在买,如火如荼。
为何说扯蛋?我先说下原理:
1、在所有的内部计算机安装Agent,用以向中心报警
2、在外网设立一个Server,注意,是要有外网地址,可以是IP或Domain Name
3、当你的计算机拿到外网上网的时候,Agent向Server发送信息,汇报现在的IP等信息,说明你连上了外网,形成报警事件
4、Server发送指令给Agent,非法外联计算机自动关机
下面,说说如何搞定这些个破烂货:
前提:网上随便下载个防火墙,阻断所有外联的进程
a、在防火墙开放某个URL的访问,如www.126.com,然后发送信息,绕过了不是?
b、在防火墙开放某个进程,如FlashFXP,然后向远程服务器发文件,绕过了不是?
c、在防火墙仅开放某个IP的访问,然后直接共享拷贝,绕过了不是?
d、如果非要我举例子,我可以把26个字母序列写全……
某厂家可能会说:这些计算机上没有防火墙——是啊,XP的SP3自带防火墙呢!我就是想装个瑞星、金山,你不能不让我装吧,安装光盘里面有个人防火墙呢!
反正我看过了几款非法内外联监控系统,看原理、看资料,都可以用此类方法绕过。如果选用这样的产品毫无疑问将会给单位、给国家造成严重的损失,如果您正准备购买或正在测试这样的产品,网路游侠(https://www.youxia.org)提醒您,一定要注意下是否可以用此类方法绕过,小心为上!
前一段游侠曾经在《用网络运维操作管理平台进行网络安全管理》中给大家提到了关于管理Unix、Windows服务器以及交换机等网络产品的设备,今天收到了升级。有一些变化,现在的主机可选项很多了,可以直接选择主机的类型:
来个下拉菜单的图,支持但不限于如下设备:
对用户控制更加严格,管理员的操作也全部有审计。另增加了资产管理员,可以管理网络中的相关资产。
貌似有5类管理员的安全管理产品极为少见……
昨天51CTO技术门诊的负责人联系我,去参加个互动栏目。今天做好了,活动的主题是:《保障企业核心机密——与专家对话内网安全》,主持人——张百川,就是在下。嘿嘿
截个图吧:
个人介绍:
我这次负责解答的专题页面:
http://doctor.51cto.com/develop-146-1.html
有何问题可以直接在这里提问,我会抽时间解答。
[第133期] 保障企业核心机密——与专家对话内网安全
无数个地方引用了这样一句话:“85%以上的安全事件出自内网”;可口可乐也有一句话“保住了秘密就保住了市场”;“力拓案”、“彩票门”引起了全国上下公众和政府的关注……
买了防火墙、防病毒、入侵检测就可以高枕无忧?
无论是政府还是企业,相对于门户网站被篡改等而“形象工程”被抹黑,“内鬼”造成的损失往往更大:U盘拷贝机密文档、文件打印测试报告、管理员对服务器的文件任意操作、数据库被非法复制……涉及单位核心机密的信息资产消失于无形,却无处追踪……
本次门诊,我们以内网安全建设为讨论点,和大家讨论交流内网安全管理中遇到的问题及相应的解决方案。希望本次门诊能引起大家对内网安全的关注,共同为保护企业核心资产而努力,感谢支持!
【活动时间】
此次活动的专家坐诊时间是 9月24日-10月9日,请大家在活动在线的一周时间内在本帖提问,期间专家会对问题进行答复。在提问的时候保持跟这期活动的主题密切相关,方便问题有针对性的及时处理,严禁灌水,谢谢!
【门诊活动奖励】
★参与奖:参与门诊提问的用户,可获得由系统颁发的10枚无忧币。
PS:所赠送的无忧币将在本期门诊结束后发放。
前几天游侠(https://www.youxia.org)曾经在博客提到,说外交部的网站有跨站脚本漏洞(原文链接:[中国人民共和国外交部网站的一个跨站漏洞],然后从外交部网站找到管理员的邮箱发了一封邮件,今天得到了回复。
信中说此XSS/CSS问题已经修复,上去看看,依然提交以前的测试语句:
可以看到,的确已经修复了。外交部网站管理员的效率还是比较高的。
我说:得到了外交部网站工作人员的表扬;哥们说:得强调下,是书面表扬 🙂
对外交部网站工作人员的态度表示赞赏,要知道:以前经常发现网站有漏洞,写个木马过去,然后给管理员发邮件说网站存在漏洞,是否需要帮助?人家都不鸟你……除非哪天网站彻底挂掉……
其实这台WEB应用防火墙(WAF)在公司放了很久了,平时看看,但是基本没有静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF的功能。
实际上WAF和传统防火墙的区别比较大,比如传统防火墙一般通过对IP和Port的过滤实现安全性,而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断,如SQL注入攻击、XSS攻击等,下面我举例子看WAF是如何对网站进行防护的。
网络的拓扑是这样的:
我用的是笔记本电脑,通过交换机到WEB服务器,在服务器前我串接了WAF,是透明接入。说一句:我用的这台WAF透明接入,一个网卡是in,一个网卡是out,还有一个Admin口,部署相当便捷,可以说5分钟就可以调试。用Console线设置下IP地址,就可以通过Admin口用浏览器访问了。
我关闭了WAF的阻断功能,就是说,现在虽然WAF部署在WEB服务器前,但是是不对网站进行防护的。然后找了一套企业网站CMS程序,服务器是Windows 2003 + IIS,为了省事,程序理所当然的选择的ASP的。下面我们看看演示,下图是用明小子Domain的扫描结果,提示有注入漏洞:
找一个连接,复制到浏览器,手工输入个判断SQL注入的语句看看:
说找不到产品,实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试,这个不用游侠我多说。我们下面开启WEB应用防火墙:
开启了WAF后,我们尝试下SQL注入,手工就OK了。
看到了吧?并没有出现什么提示,而是被WAF直接就阻断掉了。
登录WAF看看报警提示:
攻击IP、时间,攻击的形式,都可以展现在管理员面前。
点击报警的记录,还可以展现更详细的内容:
WAF对攻击的四种处理方式:检测、阻断、直接放行、丢弃
当然,阻断SQL注入攻击仅仅是WAF的一个小功能,其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略,大家可以看看,手头这个设备的策略还是比较丰富的。
本款WAF支持WEB缓存加速,并且配置非常简单。大家看下图:
只需要开启就可以了,并且鼠标放到“?”图标上就可以看到即时帮助,这个还是很人性化的。
不得不说的还有报表功能,除了可以自定义时间段、攻击类型、IP地址等等常见的功能,导出功能也比较强大,还有我比较喜欢的PDF和PPT类型,不得不说是比较人性化。下面是生成的一份图形报告:
好了,WEB应用防火墙就介绍到这里,近期会介绍数据库审计与风险控制系统,敬请关注张百川(网路游侠)的博客(https://www.youxia.org)!
作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。
中华人民共和国外交部网站 http://www.fmprc.gov.cn
这个XSS漏洞不难利用,问题在 search.jsp 文件过滤不严格,且没有过滤post提交的数据,我们看看攻击的截图:
或者这个:
当然,用来做点别的也行……
测试链接:
http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>
或在:
http://www.fmprc.gov.cn/wjb/search.jsp
搜索框中输入:
<script>alert('youxia')</script>
千言万语也胜不过一张截图啊
最近事情多,博客更新少了……
当然一部分精力放在了新站:
http://www.cnciso.com
欢迎访问网路游侠的新站!
当然,CNCISO是准备和圈里面朋友合作
网路游侠的信息与网络安全博客
https://www.youxia.org
依然会在闲暇时间更新
并且,下一步将以原创作品为主
感谢关注!
傍晚到汉中市,当然现在说来应该是“昨天”了,到宾馆打开电脑,发现自己的博客打不开了。
联系空间商,发现说有非法的关键词……一看,居然是Sinfors!
自己博客曾经增加了几个介绍Sinfors产品的链接,于是乎——被干掉了!
其实很多事情说起来很无法理解,Sinfors的上网行为管理产品本身在国内做的不错,估计是前几天网上说深大学生抗议装这个产品的文章引起了关注……但是实际上现在有多少政府、企业、学校在装这样的产品呢?相信做这个产品的都知道吧!
我本身也是一直做这个行业,也知道有些东西让人不舒服。但是如果仅仅因为我博客写到了Sinfors产品的功能就要干掉那几篇文章,我感觉冤!
当然,不得不佩服,GFW过滤的关键词越来越多了。
顺便说一句,《寂静之城》还没被封,很奇怪啊……
“游侠安全网”微信公众号
