SINE安全對(duì)網(wǎng)站漏洞檢測(cè)具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測(cè)服務(wù)都是由我們?nèi)斯とz測(cè)，比如對(duì)代碼進(jìn)行審計(jì)，以及都每個(gè)網(wǎng)站或APP的功能進(jìn)行單的詳細(xì)測(cè)試，如跨權(quán)限漏洞，支付漏洞繞過(guò)，訂單價(jià)格被篡改，或訂單支付狀態(tài)之類(lèi)的，或會(huì)員找回密碼這里被強(qiáng)制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
應(yīng)對(duì)措施：文檔上傳的繞過(guò)方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過(guò)時(shí)），可能還有些沒(méi)有公開(kāi)的方法，總結(jié)一下：1.常規(guī)的繞過(guò)方法：文檔后綴（大小寫(xiě)、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱(chēng)，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺(jué)得并不好用）。

文檔包含的概念很好理解，編程中經(jīng)常用到，比如python中的import、c中的include，php當(dāng)然也不例外。但php“牛逼”的地方在于即使包含的文檔不是php類(lèi)型，也不會(huì)報(bào)錯(cuò)，并且其中包含的php代碼也會(huì)執(zhí)行，這是文檔包含漏洞產(chǎn)生的根本原因。文檔包含漏洞和任意文檔漏洞很相似，只不過(guò)一個(gè)是解析，一個(gè)是。
漏洞利用的幾種方式：1.向服務(wù)器寫(xiě)馬：圖片中寫(xiě)惡意代碼(結(jié)合文檔上傳），錯(cuò)誤日志寫(xiě)惡意代碼(錯(cuò)誤訪問(wèn)會(huì)被記錄到錯(cuò)誤日志中），session中寫(xiě)惡意代碼。訪問(wèn)圖片、日志文檔或session文檔，服務(wù)器生成木馬，直接getshell。2.讀取敏感文檔：結(jié)合目錄遍歷漏洞讀取敏感文檔。3.偽協(xié)議：偽協(xié)議可以使用的話，可以嘗試讀取文檔或命令執(zhí)行。

開(kāi)源IDS系統(tǒng)有很多種，比較有名的系統(tǒng)有Snort、Suricata、Zeek等，我們選用Suricata是因?yàn)镾uricata有多年的發(fā)展歷史，沉淀了的各種威脅檢測(cè)規(guī)則，新版的Suricata3與DPDK相結(jié)合，處理大級(jí)別的數(shù)據(jù)分析，Suricata支持Lua語(yǔ)言工具支持，可以通過(guò)Lua擴(kuò)展對(duì)分析的各種實(shí)用工具。
Suricata與Graylog結(jié)合的原因，是因?yàn)樵贕raylog開(kāi)源社區(qū)版本對(duì)用數(shù)據(jù)的數(shù)據(jù)處理量沒(méi)有上限限制，可以擴(kuò)展很多的結(jié)點(diǎn)來(lái)擴(kuò)展數(shù)據(jù)存儲(chǔ)的空間和瞬時(shí)數(shù)據(jù)處理的并發(fā)能力。Suricata在日志輸出方面，可以將日志的輸出，輸出成標(biāo)準(zhǔn)的JSON格式，通過(guò)日志腳本收集工具，可以將日志數(shù)據(jù)推送給Graylog日志收集服務(wù)，Graylog只要對(duì)應(yīng)創(chuàng)建日志截取，就可以對(duì)JSON日志數(shù)據(jù)，進(jìn)行實(shí)時(shí)快速的收集與對(duì)日志數(shù)據(jù)結(jié)構(gòu)化和格式化。將JSON按Key和Value的形式進(jìn)行拆分，然后保存到ElasticSearch數(shù)據(jù)庫(kù)中，并提供一整套的查詢(xún)API取得Suricata日志輸出結(jié)果。
在通過(guò)API取得數(shù)據(jù)這種形式以外，Graylog自身就已經(jīng)支持了插件擴(kuò)展，數(shù)據(jù)面板，數(shù)據(jù)查詢(xún)前臺(tái)，本地化業(yè)務(wù)查詢(xún)語(yǔ)言，類(lèi)SQL語(yǔ)言。通過(guò)開(kāi)源IDS與開(kāi)源SIEM結(jié)合，用Suricata分析威脅產(chǎn)生日志，用Graylog收集威脅事件日志并進(jìn)行管理分析，可以低成本的完成威脅事件分析檢測(cè)系統(tǒng)，本文的重點(diǎn)還在于日志收集的實(shí)踐，檢測(cè)規(guī)則的創(chuàng)建為說(shuō)明手段。
Suricata經(jīng)過(guò)多年發(fā)展沉淀了很多有價(jià)值的威脅檢測(cè)規(guī)則策略，當(dāng)然誤報(bào)的情況也是存在的，但可能通過(guò)手動(dòng)干預(yù)Surcicata的規(guī)則，通過(guò)日志分析后，迭代式的規(guī)則，讓系統(tǒng)隨著時(shí)間生長(zhǎng)更完善，社區(qū)也提供了可視化的規(guī)則管理方案，通過(guò)后臺(tái)管理方式管理Suricata檢測(cè)規(guī)則，規(guī)則編輯本文只是簡(jiǎn)單介紹。Scirius就是一種以Web界面方式的Suricata規(guī)則管理工具，可視化Web操作方式進(jìn)行管理Suricata規(guī)則管理。

近，攻擊者接管賬戶(hù)的嘗試在不斷增加。錯(cuò)誤消息過(guò)于“詳細(xì)周到”，往往使此類(lèi)攻擊更加容易。冗長(zhǎng)的錯(cuò)誤消息會(huì)引導(dǎo)攻擊者了解他們需要進(jìn)行哪些更改才能偽裝成合法請(qǐng)求。API專(zhuān)為低負(fù)載下的高速交易而設(shè)計(jì)，使攻擊者可以使用高性能系統(tǒng)找出有效賬戶(hù)，然后嘗試登錄并更改密碼進(jìn)行利用。解決方法：不要拿用戶(hù)體驗(yàn)作為擋牌，有些看起來(lái)有利于用戶(hù)體驗(yàn)的做法，未必有利于安全性。系統(tǒng)返回的錯(cuò)誤信息不應(yīng)該包括錯(cuò)誤的用戶(hù)名或錯(cuò)誤的密碼，甚至不能包含錯(cuò)誤信息的類(lèi)別（用戶(hù)名還是密碼錯(cuò)誤）。用于查詢(xún)數(shù)據(jù)的錯(cuò)誤消息也是如此，如果查詢(xún)/搜索格式不正確或由于某種原因而無(wú)法執(zhí)行，則應(yīng)該返回“沒(méi)有營(yíng)養(yǎng)”的錯(cuò)誤信息：“糟糕，哪里出錯(cuò)了”。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.agrivod.com