好，第三個的話就是對白盒測試，那么非常重要的一點(diǎn)就是你要知道如何去設(shè)計用例，如何去設(shè)計用例 好，設(shè)計用例的話，其實(shí)就是也就是你測試這個軟件的一個非常重要的邏輯思維這個東西。 因此就是說并不是說每個人都能夠隨隨便便去做一做一個很好的黑盒測試的工程師。
在安全運(yùn)營工作當(dāng)中，經(jīng)常需要系統(tǒng)日志、設(shè)備威脅事件日志、告警日志等，各種日志進(jìn)行收集匯聚，具體分析，通過日志來分析威脅事件發(fā)生源頭、相關(guān)聯(lián)的人和資產(chǎn)關(guān)系，以日志數(shù)據(jù)的角度，來追究溯源威脅事件發(fā)生的過程和基本概括原貌。評估威脅事件產(chǎn)生危害的影響范圍，關(guān)聯(lián)到人與資產(chǎn)，采取順藤摸瓜，將各種信息進(jìn)行關(guān)聯(lián)，無論是二維關(guān)系數(shù)據(jù)聯(lián)系關(guān)聯(lián)，還是大數(shù)據(jù)分析建模，數(shù)據(jù)的分類采集都是基礎(chǔ)工作。
企業(yè)安全相關(guān)的各種日志數(shù)據(jù)，存放的位置、形式、大小、業(yè)務(wù)、使用人群都不同，如何根據(jù)不同業(yè)務(wù)規(guī)模的日志數(shù)據(jù)，采取相得益彰的技術(shù)形式進(jìn)行合理的日志、聚合、分析、展示，就成為了一個課題，接下來，我們主要圍繞這些相關(guān)的主題進(jìn)行討論分享，通過具體的日志聚合分析實(shí)踐，讓數(shù)據(jù)有效的關(guān)聯(lián)，使其在威脅事件分析、應(yīng)急事件分析響應(yīng)過程中讓數(shù)據(jù)起到方向性指引作用、起到探測器的作用，通過以上技術(shù)實(shí)踐，讓更多日志數(shù)據(jù)，有效的為企業(yè)安全運(yùn)營提供更好的服務(wù)。
在實(shí)際工作當(dāng)中，日志聚合分析工具種類繁多：ELK、Graylog、rk、Clickhouse、Superset等工具。我們以常用的日志數(shù)據(jù)使用場景為例子，結(jié)合這些工具的使用，向大家展示在實(shí)際數(shù)據(jù)工作中數(shù)據(jù)運(yùn)營的情況，如何進(jìn)行數(shù)據(jù)聚合分析，以提供實(shí)際的操作案例，能能直觀的了解數(shù)據(jù)管理的工作流程，之后可以重復(fù)實(shí)踐，不繞道走遠(yuǎn)路，著重給出日志分析工具使用的要點(diǎn)，快速上手掌握相關(guān)工具的使用，掌握日常日志數(shù)據(jù)實(shí)操及相關(guān)方法。
為了方便實(shí)踐，盡量避免商業(yè)系統(tǒng)和設(shè)備在案例中的出現(xiàn)，以可以方便取材的開源項(xiàng)目為基礎(chǔ)，展開案例的講解，大家可以容易的在網(wǎng)上取材這些軟件系統(tǒng)，在本地完成實(shí)踐練習(xí)過程。本篇介紹入侵檢測系統(tǒng)Suricata及威脅日志事件管理系統(tǒng)Graylog，通過對入侵檢測系統(tǒng)的日志進(jìn)行收集，來展現(xiàn)日志收集處理的典型過程。
開源IDS系統(tǒng)Suricata與威脅事件日志管理平臺Graylog結(jié)合，對網(wǎng)絡(luò)環(huán)境進(jìn)行截取與日志收集分析統(tǒng)計，通過Suricata捕獲輸出的日志，經(jīng)過Nxlog日志收集工具，將相關(guān)事件日志、告警日志、HTTP日志，通過Graylog進(jìn)行日志聚合，對日志進(jìn)行統(tǒng)計分析，分析網(wǎng)絡(luò)環(huán)境中存在各種威脅事件類型，通過自定義Suricata的檢測規(guī)則，控制入侵檢測的策略，以及入侵檢查系統(tǒng)的輸出結(jié)果。

當(dāng)攻擊者通過API調(diào)用遍歷攻擊系統(tǒng)時，他們必須弄清楚可以發(fā)送些什么來獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個事實(shí)：即越復(fù)雜的系統(tǒng)，出錯的地方越多。攻擊者識別出API后，他們將對參數(shù)進(jìn)行分類，然后嘗試訪問管理員（垂直特權(quán)升級）或另一個用戶（水平特權(quán)升級）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項(xiàng)目中，我們對目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎勵信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對他們知道的參數(shù)進(jìn)行爆密。

攻擊產(chǎn)業(yè)鏈成熟，攻擊成本極低
目前黑產(chǎn)產(chǎn)業(yè)愈發(fā)成熟，發(fā)起一次網(wǎng)絡(luò)攻擊或入侵的代價變得非常低廉，如果你在網(wǎng)上搜一搜，就會發(fā)現(xiàn)，僅需花費(fèi)數(shù)十元，便可以購買 50M 的日攻擊服務(wù)。如果包月，費(fèi)用更低，即花費(fèi) 500 元就可以攻擊一個中小企業(yè)長達(dá)一個月。這樣一來，企業(yè)將面臨的不但是要在應(yīng)用架構(gòu)上花重金配置的安全防護(hù)類產(chǎn)品，還需要在安全防護(hù)方面投入運(yùn)維人力，中小企業(yè)根本無力承擔(dān)，安全成為中小企業(yè)無法承受之重。

下面開始我們的整個滲透測試過程，首先客戶授權(quán)我們進(jìn)行網(wǎng)站安全測試，我們才能放開手的去干，首先檢測的是網(wǎng)站是否存在SQL注入漏洞，我們SINE安全在檢測網(wǎng)站是否有sql注入的時候都會配合查看mysql數(shù)據(jù)庫的日志來查詢我們提交的SQL語句是否成功的執(zhí)行，那么很多人會問該如何開啟數(shù)據(jù)庫的日志，如何查看呢？首先連接linux服務(wù)器的SSH端口，利用root的賬號密碼進(jìn)服務(wù)器，打開mysql的配置文件mysqld.cnf編輯general_log_file=（log日志的），general_log=1，在服務(wù)器里輸入tail -f （log），來查看實(shí)時的數(shù)據(jù)庫語句執(zhí)行日志。當(dāng)我們SINE安全技術(shù)在測試SQL注入漏洞的時候，就會實(shí)時的看到是否有惡意的SQL語句執(zhí)行成功，如果有那么數(shù)據(jù)庫日志就會出現(xiàn)錯誤提示，在滲透測試中是很方便的，也更利于查找漏洞。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.agrivod.com