|
|
本帖最后由 long_323 于 2010-5-18 10:39 编辑
小弟刚接触网站渗透,内容只涉及sql注入,希望大家把对其他渗透行为检测的实现方法补全,谢谢!
一、概要
本次分析针对客户需求,对网站的攻击、入侵行为进行诊断、定位和取证。这种网站渗透行为都是通过对web访问,查找漏洞、猜测口令,然后进一步实现越权访问,最终达到提权、获取数据、修改数据库的目的。而我们可以针对web访问的url,进行审计、保存,实现客户需求。
二、数据采集
2.1部署
此次科来网络分析系统部署在外网出口处,即:防火墙与路由器之间,增加一镜像交换机,安装科来的测试机接镜像口,从而实现监听。
2.2设置
2.2.1过滤器
综合考虑网络流量、测试机硬盘容量以及客户需求,需设置过滤器,只采集192.168.10.0/24网段的数据,并进行实时保存。
如图:
2.2.2日志设置
科来支持对Http、Dns、Email、Ftp等访问日志进行实时保存,此次根据客户需求,只需要保存http日志。日志文件的保存方式,可以根据时间、大小进行自定义设置,便于查找,我们可以按小时进行设置,如图:
2.3采集
此次采集时间为:5月12日上午-14日上午 共48小时。把实时保存的数据包及日志文件提交给分析人员。
注意:设置完毕后,在采集过程中,要找到相关目录,确定数据包及日志文件是否实现了实时保存。
三、数据分析
数据分析需结合日志文件和数据包文件进行总体分析,从而对入侵、提权、篡改数据等行为进行诊断、审计、取证。
从日志文件中,查找特征url,定位攻击IP、攻击时间。
根据IP、时间,调取相关数据包,查看详细会话信息,为审查人员提供实实在在的证据。
随着网络技术和操作系统的不断发展和完善,网站渗透技术所涉及的url链接也在千变万化。因此对URL的收集和更新就显得尤为重要,这就更需要各方人员的紧密配合,甚至是一些专门的网络安全系统测试人员的帮助,才能更好的保障网站的安全性。
url的不断增加,必然会增加我们的查找工作量,我们也可以借助其他工具或脚本进行查找,是整个流程更加简洁、快速、准确。比如:ultraedit
3.1 SQL注入
Sql注入的入侵过程主要包括如下步骤:
1、测试系统是否有注入漏洞;2、获取数据库名;3、测试管理员ID;4、测试管理员用户名长度和管理员密码长度;5、从高到底测试出管理员用户名和密码。
这个过程涉及的字段和字符一般包括如下内容:
and、<>、select、create、where、shell、.db、exec、master、delete、sa、top、table temp、HKEY等。
1、And 、Select关键字的查找,并未发现异常url,只有如图这些信息:
2、Create关键字查找;
在已保存的日志文件中,查找这些字符。如存在则定位时间和相关IP,如图:
根据时间,查找相关数据包,定位相关IP,查看其所有访问web日志,发现此ip有大量登录及创建目录的url,如图:
定位到会话视图查看整个会话信息,发现这些URL,都对应了404的报错,如图:
http请求内容都以404报错返回,有尝试查找登录路径的嫌疑,如图:
保存数据包,待web系统管理人员来进一步核实,如图:
3.2跨站攻击CSS cross site scripting 跨站脚本 也叫XSS。
所谓跨站攻击其实也就是代码(js,vs,html等)注入,利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行,从而损害访问者。利用CSS可以实现cookie窃取,钓鱼,会话劫持,插入木马,权限提升等工作。
针对跨站攻击,我们可以查找如下字段:
|
评分
-
3
查看全部评分
-
|
发表于 2010-5-18 10:20:01
发表于 2010-5-18 12:38:25
发表于 2010-6-4 14:30:01
发表于 2010-6-7 10:21:05
