Sea0fStars 提问: 使用AppArmor或者SELinux加固系统,效果明显吗?然后,如何更好的加固Web服务器呢?
明显,其他可以参考安全技能树里防御那里的说明与资料。
匿名用户 提问: 余弦老师,请问您如何看待现在的入侵检测技术已经很成熟,也有很多检测web注入攻击的技术被提出,但web注入攻击的误报率、漏报率仍然很高的问题?
没感觉很成熟呀,在各种动态复杂场景下,所谓的“智能”、“自学习”、“下一代”都难以适应,别看宣传做得那么好,漏误报一直是很大的问题。但再深入思考下,其实这些防御或检测“智能”水平相当情况下,这种攻防平衡目的倒是达到了。
未来如果 AI 真能在这样的场景下发挥好,会是很大的机会,可是真的懂 AI 又懂安全的人有几个呢?🙂
匿名用户 提问: 有一些账号密码,或者一些关键的信息。以前一直都是用的txt或者word保存,学习过sql sever。用什么保存这类文件,是数据库还是用其他的工具呢?若是数据库选择什么数据库比较合适且以后学习安全也适合的。希望解答~
1Password
#姿势#
今天看到这篇文章《论如何反击用AWVS的黑客》:
论如何反击用AWVS的黑客 - FreeBuf.COM | 关注黑客与极客
思路是经典的,本质是 AWVS 内置的浏览器解析引擎会执行我们自定义好的 JavaScript。然后大家可以再看看 BeEF 里的路由器攻击插件集:
beef/modules/exploits/router/
这里有一堆路由器的 CSRF 利用插件。
如果你在自己的页面(比如自己的博客)挂上这些插件利用,哪天有人不小心访问你的页面,那么他们用的路由器就可能被 CSRF 利用,然后中招,比如有命令执行的,可以反弹出 MSF 利用。
去年我办的 TOBEAHACKER 培训,我分享了一个国产路由器 0day 利用,也是此道理。未来会考虑公布完整的挖掘与分析利用全过程。
...
...
匿名用户 提问: iPhone保持不越狱,及时更新,同时不让其他人碰到,既然生活离不开手机,如何保护好自己手机上的隐私安全?
已经很安全,如果还中招你就遇到百万价值的0day,或者无力抵抗的黑灰产业。
在密码方面 1Password 值得用,云服务谨慎用,陌生 Wi-Fi 更需谨慎。
...
...
这周开始网络流量分析的系列分享 简单来说,攻击行为都会产生网络流量(侧信道攻击另谈,以后分享),许多从主机防护层面看起来再隐蔽的攻击行为,从网络流量层面上来看都非常明显,举个比较极端的栗子:某黑客拿0day打下一台服务器种了个免杀马。这个场景下大部分安防设备都无效,但是如果上了网络流量分析,你会发现那个免杀马发出的心跳包是多么明显,0day利用的过程每一条指令都在数据包中显露无遗。很容易就定位到问题机器,然后走常规流程处理。
工欲善其事,必先利其器。推我日常用的神器之一,科来网络分析系统 下载科来网络分析系统技术交流版 - 科来
技术交流版是免费的
一个国内厂商做的,数据包的分类和展示都要比Wireshark直观,可以实时抓包分析也可以导入数据包回放分析,大伙儿先下来玩玩熟悉一下功能,官网也有非常详细的模块说明和几个案例,后续我会分享用如何通过网络流量分析发现常见的攻击行为
...
...
网络流量安全分析第二弹—发现端口扫描
许多入侵都是从端口扫描开始的,发现扫描行为是网络安全流量分析里重要的一环,本次分享如何从网络流量分析中发现端口扫描行为
(由于小密圈不支持图文混排,我写了个PDF)
分享文件:
#工具#
基础工具之 防火墙管理软件iptables
很多人知道iptables却不知道netfilter,实际上iptables只是linux防火墙的管理工具,真正实现防火墙功能的是netfilter,它集成在linux内核中。
我以前也和大多数人一样,对iptables只会一些简单的操作,编写简单的规则进行网络安全防护,最近几天由于工作需求,对它系统性的研究了一下,才发现原来对它的认识是那么的浅薄。据我所知有一些小型企业,是直接架起一台pc将iptables当成硬件防火墙来用的。
iptables 不仅可以进行常规的规则限制,还可以用来做端口转发、关键字过滤、时间段控制、连接数控制、速率控制,可以通过对recent模块的各个参数进行组合来匹配各种各样的特征包,然后根据匹配规则来执行各种动作,自由度非常大。 一个有趣的例子是当你的ssh不准许外部任何IP进行连接,但是自己有时候又有管理需求,可以定制一个暗号,来使你的ip可以接入ssh。 实例:
(1):iptables -P INPUT DROP
(2):iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
(3):iptables -A INPUT -p icmp --icmp-type 8 -m length --length 128 -m recent --set --name SSHOPEN --rsource -j ACCEPT
(4):iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
(5):iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 15 --name SSHOPEN --rsource -j ACCEPT
解释:
(1):先将INPUT 默认所有流量全部DROP
(2):-m --state 意思为引用状态匹配扩展,将其中RELATED,ESTABLISHED状态的数据包设置为准许
(3):--icmp-type 8 为ping的请求数据包类型,-m length --length 128,引用length匹配扩展,并且匹配长度为128,icmp包本身包头大小为28,这里填写大小128,实际ping 大小为100的包就可以匹配到,-m recent 为引用recent模块,并设置一个记录的名字为 SSHOPEN,设置完成后,触发一下这个规则,可以在 /proc/net/xt_revent/SSHOPEN 看到相关的记录。--rsource 为记录源IP
(4):这条意思为准许ping的请求包。
(5):增加一条准许连接到22端口,并且状态为新建立,在SSHOPEN
列表有记录源IP,在15秒内,匹配通过这些条件后就准许放行ssh连接了。 配置完后,你再去连ssh是连不通的 你用windows,ping -l 100 IP ,之后再用ssh就可以连接了,相当于一个暗号。
这个例子只是想表达iptables非常自由,脑洞够大的话可以想到各种条件搭配去执行各种动作,有兴趣的话也可以看看我发的第二篇中的,利用iptables进行端口复用的例子,那个作者真是个高手。值得学习!
最后贴一张我做的比较粗糙的关于iptables的思维导图,就是推荐大家在学习一个东西的时候,最好边做笔记并且能把核心的要点都整理出来,这样对学习的效率会是一个很大的提升,并且日后自己回头看,也很容易回忆起来。
http://www.zsythink.net/archives/1199
iptables快速入门系列,超爱这种把一个技术工具写的浅显易懂连载十几篇,我真的是非常敬佩这种分享精神的人!
...
...
今天分享文件加密
出于各种各样的原因,我们都有一些文件需要加密,万一文件被盗对方也无法恢复,加密工具多如牛毛,我尽量推荐可信的工具
Truecrypt
平台:windows/Linux/MacOS
斯诺登曾推荐过这款加密工具,图形化界面,由于其加密严格,难以破解,作者一直保持神秘,但在其官网遭到入侵后据传其作者被NSA请去喝茶,在2014年停止更新,官网请大伙移驾微软的BitLocker,公开的理由是truecrypt被曝光存在提权漏洞,不过这个比较牵强,毕竟truecrypt源码经过两次代码审计,并没有发现明显的后门。目前不建议使用最后一版7.2(喝茶后的版本),建议使用7.1.a或更早的版本。
官网已死,下载请去 TCnext - Site dedicated to the development of the ...
使用上的howto请google,很多
dm-crypt
平台:Linux
Linux内核提供的磁盘加密工具,“dm-crypt”是 Linux 内核提供的一个磁盘加密功能,而“cryptsetup”是一个命令行的前端,通过它来操作“dm-crypt”。
使用dm-crypt首先你要先安装cryptsetup,在ubuntu中:apt-get install cryptsetup
dm-crypt既可以加密整块物理磁盘也可以加密一个虚拟磁盘,这里我给出一个方便简易的使用方法,需要深入的可以看官方文档 cryptsetup / cryptsetup · GitLab
首先要创建一个容器文件,通过 fallocate 创建一个 10GB 容器文件。
fallocate -l 10G /root/luks.vol
接下来使用cryptsetup加密这个文件容器得到一个虚拟加密盘
cryptsetup --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 10000 luksFormat /root/luks.vol
参数含义:
--cipher 加密方式
--key-size 密钥长度
--hash 散列算法
--iter-time 迭代时间
使用如下命令打开上述的文件容器,使用的映射名是 xxx(你也可以改用其它单词)。
cryptsetup luksOpen /root/luks.vol xxx
打开之后,该虚拟盘会被映射到 /dev/mapper/xxx
你可以用如下命令看到:
ls /dev/mapper/
由于加密盘已经打开并映射到 /dev/mapper/xxx 你可以在 /dev/mapper/xxx 之上创建文件系统。命令如下(文件系统类型以 ext4 为例)
mkfs.ext4 /dev/mapper/xxx
创建完文件系统之后,你还需要挂载该文件系统,才能使用它。挂载的步骤如下。
首先,你要先创建一个目录,作为【挂载点】。俺把“挂载点”的目录设定为 /mnt/xxx(当然,你可以用其它目录作为挂载点)。
mkdir /mnt/xxx
创建好“挂载点”对应的目录,下面就可以进行文件系统的挂载。
mount /dev/mapper/xxx /mnt/xxx
挂载好文件系统,用如下命令查看,就可以看到你刚才挂载的文件系统。
df -hT
接下来,你就可以通过 /mnt/xxx 目录去访问该文件系统。当你往 /mnt/xxx 下面创建下级目录或下级文件,这些东东将被存储到该虚拟加密盘上。
当你使用完,要记得退出。包括下面两步:
+ 卸载文件系统 umount /mnt/xxx
- 关闭加密盘
cryptsetup close xxx
之后你需要再次使用这个加密盘的时候只需要
cryptsetup luksOpen /root/luks.vol xxx
mount /dev/mapper/xxx /mnt/xxx
使用完后
umount /mnt/xxx
cryptsetup close xxx
(附图,两种加密工具的对比)
...
...
嗯,最近写了些脚本自动采开源情报,定时分享一些,大家可以添进各自的规则里
分享文件:
...
...
嗯。。。科普一下自动爬取开源情报 比如 http://osint.bambenekconsulting.com/feeds/c2-domma...
这个源经常更新很多c2域名,那我们只需要写个简单的小脚本每小时自动化爬下来然后每天整合一下 以下是脚本示例
#!bin/bash
#获取当前系统时间精确到时
date=$(date +%Y%m%d%H)
#文件名变量
filename=baddomains_${date}.txt
#用wget把情报爬下来
wget http://osint.bambenekconsulting.com/feeds/c2-dommasterlist-high.txt
作个简单字符串处理后保存
cut c2-dommasterlist-high.txt -f 1,2 -d , | sed -e '/#/d' > $filename
rm c2-dommasterlist-high.txt
脚本2,每天把拿到的情报去除重复项整合一下
#!/bin/bash
#获取昨天的日期
date=$(date -d yesterday +%Y%m%d)
filename=IOC_${date}.txt
#把昨天所有文件排序整合
cat baddomains_${date}*|sort|uniq|sort -t , +1 -2 > $filename
rm baddomains_${date}*
最后把以上脚本加入到crontab里面定时运行就OK了
...
FireHOL IP Lists | IP Blacklists | IP Blocklists |...
更新脚本比较复杂,不过看懂之后再写类似的脚本就不在话下了:
firehol/update-ipsets at master · firehol/firehol ...
...
Google 的 Safe Browsing 保护了全球 30 亿设备,这真是一件了不起的事。除了 Google 众多产品(包括 Chrome),还不知不觉植入了 Safari、Firefox 等产品里...
大体量做大事,但不是所有大体量的公司都能做到这种水平。
http://security.googleblog.com/2017/09/safe-browsing-protecting-more-than-3_11.html
最近美国 Equifax 被黑导致 1.43 亿美国用户数据泄露,说是 Struts2 的锅(S2-052那个)。
纽约时报问:未来你如何有能力保护自己的隐私? 答案很简单:不能...
不过还是给了些好建议。当然,这远远不够。
在个人隐私保护方面,颠覆性的产品或服务在哪呢?其实上条分享已经让我意识到了点什么。
看来一篇文章,分析了face ID与传统密码在不同威胁场景下的安全性。提取简介如下:iPhone X带着face ID闪亮登场,这回不能用照片骗过人脸设别了。但是,face ID真的安全吗?这取决于你的身份,准确的说,取决于你面临的威胁模型。 一个普通教师和机场工作人员或者政府机构雇员所面临的威胁模型是完全不同的。对大多数人来说,最大的威胁可能就是手机被盗,这种情况下face ID基本上是安全的。对于一些特殊人群来说,存在着连人带手机被某些势力捕获(或误捕)的可能,这时候,face ID或指纹识别会让搜查你手机里的机密资料变得轻而易举,此时传统密码似乎安全性要好的多。
Does Face ID make the iPhone X more secure? Depends who's asking | ZDNet
...
...
匿名用户 提问: 余弦你好,我发现我的手机莫名其妙发短信给我妈,而且是诸如“我需要帮助”“SOS”这种,还附带高德导航的紧急定位链接,我这算是被黑客入侵了吗?现在我该怎么办?
应该算,不过如果是蠕虫应该会批量发给你通讯录里更多的用户。有没有可能是被恶搞,也注意下。以后这种问题强烈建议带上手机型号系统版本等详细场景信息,否则不好判断。
如果真被黑,对新手来说最好的方式,备份关键文件后,重置。
...
...
分享点安全分析的经验
首先,要了解你的客户 例如客户的IT资产列表,主要业务,重要服务器,网络拓扑,薄弱点,历史安全事件等等
其次,要了解你的敌人 通过掌握的情报和客户报告的事件,去分析有哪些攻击者对客户感兴趣,甚至一些敏感客户的攻击者会是一些国家、组织。平时要搜集它们的情报,了解敌人的惯用手法。
有以上这些了解,在分析的时候才能有的放矢
#讨论#
苹果的安全生态真是堪忧。我举几个例子吧:1. 对于 ARP 这类中间人攻击毫无反抗之力;2. Mac 上安装的不可信第三方应用出问题了都很难有感知,基本没听说谁安装了 Mac 上的安全防御软件(有,但是这成为专业人士的东西);3. 刚刚微博上发的那个 Wi-Fi 假关闭之坑;4. 之前我发现的某知名 App 本地 XSS 会让目标毫无抵抗之力;5. 一些猥琐脚本攻击,在苹果生态有奇效。
我举这些例子不是说苹果安全生态一无是处,而是苹果的傲慢导致其生态里的用户默认过于信任苹果生态的安全,真出问题那就是毁灭级的。苹果在对抗越狱、权限控制、隐私安全等方面确实下了很多苦力,但其傲慢的本性,一定会让自己在未来变得很被动。希望不要最终走向“宿命已定”的悲催状态吧。
大家有什么看法可以来讨论讨论。
...
...
#资源#
关于 Mac 电脑的隐私与安全,给大家分享个很赞的指南:
GitHub - drduh/macOS-Security-and-Privacy-Guide: A...
点进去别害怕,里面可以找到中文版:)
Mac 本身的安全起跑线挺高的,但是其安全生态也可以很脆弱,建议用 Mac 的同学们掌握这些技巧,真不费劲。
如果你们感兴趣 Mac 下的隐私与安全话题,后续我可以做些自己的经验分享,支持不支持?
没 Mac 的同学,可以考虑入手一台,这个世界上最好用的两台电脑,一台是 Mac,另一台是 ThinkPad,因为那个小红点,脱离鼠标是多重要的一件事...
...
Securing a default installation of MacOS – n00py B...
...
匿名用户 提问: 弦哥 求几个保密性强的邮件系统 就是那种不被发现使用者身份的 有什么好的建议么 (不是做黑产 嘿嘿)
ProtonMail,之前推荐过呀,不过前段时间他家 V-P~N 出了点丑闻。要想完全匿名,还得不少步骤,这里就不说了。
...
...
#资源#
新 DNS 服务 9.9.9.9
IBM推出新 DNS 服务(9.9.9.9),谷歌(8.8.8.8)要哭了。。。
“IBM 、Global Cyber Alliance 和 Packet Clearing House 合作推出了免费的 Quad9 公共 DNS 服务(9.9.9.9),它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。Quad9 的工作与其它免费的公共 DNS 相似,但不会返回已识别为恶意的域名解析。”
“Quad9还可以从18个额外的威胁情报合作伙伴那里获取信息,以阻止面临最终用户和企业风险的大部分威胁。”
“系统不收集个人身份信息。最终用户的IP地址不会被存储到磁盘上,也不会被分发到应答本地数据中心查询的设备之外。”
...
...
#资源#
GitHub 代码安全检查机制终于来了
“依赖图和安全警报目前支持 JavaScript 和 Ruby,Python 支持将在 2018 年到来。”
期待更多的支持。👏
其实这个思路是可以很好实现 SDL 安全开发过程里的代码安全审计辅助的。
#经验#
一份威胁追踪(hunting)的手册 利用Sysmon和Windows事件日志进行威胁追踪(hunting),遵循MITRE ATT&CK框架。
GitHub - Cyb3rWard0g/ThreatHunter-Playbook: A Thre...
...
...
#tools#
nsjail是Google开发的一款轻量级进程隔离工具
如ImageMagick去年出了几次漏洞,虽然有替代品,但现有的项目对ImageMagick有很大的依赖性,不能每次等着出了漏洞再去升级,这时我们可以用nsjail
GitHub - google/nsjail: A light-weight process iso...
#经验#
使用Microsoft Advanced Threat Analytics(ATA)检测远程代码执行(Psexec Wmi) 1.8版本新增检测WMI
Detecting remote code execution with Microsoft Adv...
#经验#
使用Windows Defender ATP和AMSI检测脚本(JavaScript,VBScript、PowerShell之类的脚本)攻击。
AMSI可检测内存加载的混淆脚本,并且AMSI提供接口,可供其他杀软使用,但是AMSI只有在WIN10上才有。
其实在17年Kcon演讲时本准备在PPT提AMSI,但当时本地做测试AMSI接口没有调用成功,就把PPT中这页给删除了。
Detecting remote code execution with Microsoft Adv...
...
...