金沙js娱乐场Web应用安全 三 失效的身份认证和会话管理

获取域管理员权限的最小步骤数

为了检测到这一点,我们首先需要确保我们有适当的组策略设置。我们需要将帐户登录设置为“成功”,因为我们需要用事件日志4624作为检测的方法。

失效的身份认证和会话管理

与身份认证和回话管理相关的应用程序功能往往得不到正确的实现,这就导致了攻击者破坏密码、密钥、会话令牌或攻击其他的漏洞去冒充其他用户的身份(暂时或永久的)。

金沙js娱乐场 1

失效的身份认证和会话管理

安全建议:

请注意,你可以(也可能应该)将域的日志也进行分析,但你很可能需要根据你的实际情况调整到符合基础结构的正常行为。比如,OWA的密钥长度为0,并且具有与基于其代理验证的哈希传递完全相同的特征。这是OWA的正常行为,显然不是哈希传递攻击行为。如果你只是在本地帐户进行过滤,那么这类记录不会被标记。

攻击案例场景

  • 场景#1:机票预订应用程序支持URL重写,把会话ID放在URL里:
    http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
    该网站一个经过认证的用户希望让他朋友知道这个机票打折信息。他将上面链接通过邮件发给他朋友们,并不知道自己已经泄漏了自己的会话ID。当他的朋友们使用上面的链接时,他们将会使用他的会话和信用卡。
  • 场景#2:应用程序超时设置不当。用户使用公共计算机访问网站。离开时,该用户没有点击退出,而是直接关闭浏览器。攻击者在一个小时后能使用相同浏览器通过身份认证。盐
  • 场景#3:内部或外部攻击者进入系统的密码数据库。存储在数据库中的用户密码没有被哈希和加盐,
    所有用户的密码都被攻击者获得。

目标企业的安全等级分布

接下来,工作站名称肯定看起来很可疑;
但这并不是一个好的检测特征,因为并不是所有的工具都会将机器名随机化。你可以将此用作分析哈希传递攻击的额外指标,但我们不建议使用工作站名称作为检测指标。源网络IP地址可以用来跟踪是哪个IP执行了哈希传递攻击,可以用于进一步的攻击溯源调查。

补充:

用于穿透网络边界的Web应用漏洞

金沙js娱乐场 2

– 2. 验证成功后更换sessionID

在登录验证成功后,通过重置session,使之前的匿名sessionId失效,这样可以避免使用伪造的sessionId进行攻击。代码如下

protected void doPost(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException { 
    String username=request.getParameter("username"); 
    Stringpassword=request.getParameter("password");
    if("admin".equals(username) &&"pass".equals(password)){ //使之前的匿名session失效 
          request.getSession().invalidate(); 
          request.getSession().setAttribute("login", true);  
          response.sendRedirect("hello.jsp"); 
    }
    else{ 
          response.sendRedirect("login.jsp");
   } 
}

检测建议:

另外一个好处是这个事件日志包含了认证的源IP地址,所以你可以快速的识别网络中哈希传递的攻击来源。

– 1. 设置httponly属性.

httponly是微软对cookie做的扩展,该值指定 Cookie 是否可通过客户端脚本访问,
解决用户的cookie可能被盗用的问题,减少跨站脚本攻击,主流的大多数浏览器已经支持此属性。

  • asp.net全局设置:

//global中设置有所的cookie只读
protected void Application_EndRequest(Object sender, EventArgs e)
        {
            foreach(string sCookie in Response.Cookies)
            {
                Response.Cookies[sCookie].HttpOnly = true;
                Response.Cookies[sCookie].Secure = true;
            }

        }
  • JAVA

httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat,>6.0.19或者>5.5.28的版本才支持httpOnly属性,具体方法是在conf/context.xml添加httpOnly属性设置

<Context useHttpOnly="true"> ... </Context>

另一种设置httpOnly的方式是使用Tomcat的servlet扩展直接写header

response.setHeader( "Set-Cookie", "name=value; HttpOnly");

检查来自用户的所有数据。

限制对管理接口、敏感数据和目录的访问。

遵循最小权限原则,确保用户拥有所需的最低权限集。

必须对密码最小长度、复杂性和密码更改频率强制进行要求。应该消除使用凭据字典组合的可能性。

应及时安装软件及其组件的更新。

使用入侵检测工具。考虑使用WAF。确保所有预防性保护工具都已安装并正常运行。

实施安全软件开发生命周期(SSDL)。

定期检查以评估IT基础设施的网络安全性,包括Web应用的网络安全性。

最后,我们看到这是一个基于帐户域和名称的本地帐户。

如何防止?

1、区分公共区域和受限区域
  站点的公共区域允许任何用户进行匿名访问。受限区域只能接受特定用户的访问,而且用户必须通过站点的身份验证。考虑一个典型的零售网站。您可以匿名浏览产品分类。当您向购物车中添加物品时,应用程序将使用会话标识符验证您的身份。最后,当您下订单时,即可执行安全的交易。这需要您进行登录,以便通过SSL
验证交易。
  将站点分割为公共访问区域和受限访问区域,可以在该站点的不同区域使用不同的身份验证和授权规则,从而限制对
SSL 的使用。使用SSL
会导致性能下降,为了避免不必要的系统开销,在设计站点时,应该在要求验证访问的区域限制使用
SSL。
2、对最终用户帐户使用帐户锁定策略
  当最终用户帐户几次登录尝试失败后,可以禁用该帐户或将事件写入日志。如果使用
Windows 验证(如 NTLM
或Kerberos协议),操作系统可以自动配置并应用这些策略。如果使用表单验证,则这些策略是应用程序应该完成的任务,必须在设计阶段将这些策略合并到应用程序中。
  请注意,帐户锁定策略不能用于抵制服务攻击。例如,应该使用自定义帐户名替代已知的默认服务帐户(如IUSR_MACHINENAME),以防止获得
Internet 信息服务
(IIS)Web服务器名称的攻击者锁定这一重要帐户。
3、支持密码有效期
  密码不应固定不变,而应作为常规密码维护的一部分,通过设置密码有效期对密码进行更改。在应用程序设计阶段,应该考虑提供这种类型的功能。
4、能够禁用帐户
  如果在系统受到威胁时使凭证失效或禁用帐户,则可以避免遭受进一步的攻击。5、不要在用户存储中存储密码
  如果必须验证密码,则没有必要实际存储密码。相反,可以存储一个单向哈希值,然后使用用户所提供的密码重新计算哈希值。为减少对用户存储的词典攻击威胁,可以使用强密码,并将随机salt
值与该密码结合使用。
5、要求使用强密码
  不要使攻击者能轻松破解密码。有很多可用的密码编制指南,但通常的做法是要求输入至少
8位字符,其中要包含大写字母、小写字母、数字和特殊字符。无论是使用平台实施密码验证还是开发自己的验证策略,此步骤在对付粗暴攻击时都是必需的。在粗暴攻击中,攻击者试图通过系统的试错法来破解密码。使用常规表达式协助强密码验证。
6、不要在网络上以纯文本形式发送密码
  以纯文本形式在网络上发送的密码容易被窃听。为了解决这一问题,应确保通信通道的安全,例如,使用
SSL 对数据流加密。
7、保护身份验证 Cookie
  身份验证
cookie被窃取意味着登录被窃取。可以通过加密和安全的通信通道来保护验证票证。另外,还应限制验证票证的有效期,以防止因重复攻击导致的欺骗威胁。在重复攻击中,攻击者可以捕获cookie,并使用它来非法访问您的站点。减少
cookie 超时时间虽然不能阻止重复攻击,但确实能限制攻击者利用窃取的
cookie来访问站点的时间。
8、使用 SSL 保护会话身份验证 Cookie
  不要通过 HTTP 连接传递身份验证 cookie。在授权 cookie 内设置安全的
cookie 属性,以便指示浏览器只通过HTTPS
连接向服务器传回
cookie。
9、对身份验证 cookie 的内容进行加密
  即使使用 SSL,也要对 cookie 内容进行加密。如果攻击者试图利用 XSS
攻击窃取cookie,这种方法可以防止攻击者查看和修改该
cookie。在这种情况下,攻击者仍然可以使用 cookie
访问应用程序,但只有当cookie 有效时,才能访问成功。
10、限制会话寿命
  缩短会话寿命可以降低会话劫持和重复攻击的风险。会话寿命越短,攻击者捕获会话
cookie并利用它访问应用程序的时间越有限。
11、避免未经授权访问会话状态
  考虑会话状态的存储方式。为获得最佳性能,可以将会话状态存储在 Web
应用程序的进程地址空间。然而这种方法在
Web场方案中的可伸缩性和内涵都很有限,来自同一用户的请求不能保证由同一台服务器处理。在这种情况下,需要在专用状态服务器上进行进程外状态存储,或者在共享数据库中进行永久性状态存储。ASP.NET支持所有这三种存储方式。
  对于从 Web 应用程序到状态存储之间的网络连接,应使用 IPSec 或 SSL
确保其安全,以降低被窃听的危险。另外,还需考虑Web
应用程序如何通过状态存储的身份验证。
  在可能的地方使用
Windows验证,以避免通过网络传递纯文本身份验证凭据,并可利用安全的
Windows帐户策略带来的好处。

获取域管理员权限的最简单攻击向量的示例:

在这个例子中,攻击者通过传递哈希建立了到第二个系统的连接。接下来,让我们看看事件日志4624,包含了什么内容:

我存在会话劫持漏洞吗?

如何能够保护用户凭证和会话ID等会话管理资产呢?以下情况可能产生漏洞:
1.用户身份验证凭证没有使用哈希或加密保护。
2.认证凭证可猜测,或者能够通过薄弱的的帐户管理功能(例如账户创建、密码修改、密码恢复,
弱会话ID)重写。
3.会话ID暴露在URL里(例如, URL重写)。
4.会话ID容易受到会话固定(session fixation)的攻击。
5.会话ID没有超时限制,或者用户会话或身份验证令牌特别是单点登录令牌在用户注销时没有失效。
6.成功注册后,会话ID没有轮转。
7.密码、会话ID和其他认证凭据使用未加密连接传输。

下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:

安全ID:NULL
SID可以作为一个特征,但不要依赖于此,因为并非所有的工具都会用到SID。虽然我还没有亲眼见过哈希传递不会用到NULL
SID,但这也是有可能的。

定期检查所有系统,包括Web应用、内容管理系统(CMS)和网络设备,以查看是否使用了任何默认凭据。为管理员帐户设置强密码。在不同的系统中使用不同的帐户。将软件升级至最新版本。

帐户名称和域名:仅警告只有本地帐户(即不包括域用户名的账户)的帐户名称。这样可以减少网络中的误报,但是如果对所有这些账户进行警告,那么将检测例如:扫描仪,psexec等等这类东西,但是需要时间来调整这些东西。在所有帐户上标记并不一定是件坏事(跳过“COMPUTER$”帐户),调整已知模式的环境并调查未知的模式。

利用Web应用漏洞和可公开访问的管理接口获取内网访问权限的示例

密钥长度:0 –
这是会话密钥长度。这是事件日志中最重要的检测特征之一。像RDP这样的东西,密钥长度的值是
128位。任何较低级别的会话都将是0,这是较低级别协议在没有会话密钥时的一个明显的特征,所在此特征可以在网络中更好的发现哈希传递攻击。

第九步

总之,攻击者需要从系统中抓取哈希值,通常是通过有针对性的攻击(如鱼叉式钓鱼或通过其他方法直接入侵主机)来完成的(例如:TrustedSec
发布的 Responder
工具)。一旦获得了对远程系统的访问,攻击者将升级到系统级权限,并从那里尝试通过多种方法(注册表,进程注入,磁盘卷影复制等)提取哈希。对于哈希传递,攻击者通常是针对系统上的LM/NTLM哈希(更常见的是NTLM)来操作的。我们不能使用类似NetNTLMv2(通过响应者或其他方法)或缓存的证书来传递哈希。我们需要纯粹的和未经过滤的NTLM哈希。基本上只有两个地方才可以获得这些凭据;第一个是通过本地帐户(例如管理员RID
500帐户或其他本地帐户),第二个是域控制器。

金沙js娱乐场 3

登录类型:3

使用字典中的凭据(该漏洞在OWASP分类标准的身份验证破坏类别下)。该漏洞常在在线密码猜测攻击、离线密码猜测攻击(已知哈希值)以及对Web应用的源码进行分析的过程中发现。

登录过程:NtLmSsP

当一个应用程序账户在操作系统中具有过多的权限时,利用该应用程序中的漏洞可能在主机上获得最高权限,这使得后续攻击变得更加容易。

接下来的问题是,你怎么检测哈希传递攻击?

针对外部入侵者的安全评估

总而言之,有许多方法可以检测环境中的哈希传递攻击行为。这个在小型和大型网络中都是有效的,并且基于不同的哈希传递的攻击方式都是非常可靠的。它可能需要根据你的网络环境进行调整,但在减少误报和攻击过程中溯源却是非常简单的。

安全建议:

在这个例子中,我们将使用Metasploit
psexec,尽管还有很多其他的方法和工具可以实现这个目标:

金沙js娱乐场 4

Computer ConfigurationWindowsSettingsSecurity SettingsLocal PoliciesUser Rights Assignment 

我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。下图显示了这些企业的行业和地区分布情况。

主机名
:(注意,这不是100%有效;例如,Metasploit和其他类似的工具将随机生成主机名)。你可以导入所有的计算机列表,如果没有标记的计算机,那么这有助于减少误报。但请注意,这不是减少误报的可靠方法。并不是所有的工具都会这样做,并且使用主机名进行检测的能力是有限的。

最常见的漏洞和安全缺陷

接下来,我们看到登录过程是NtLmSsp,密钥长度为0.这些对于检测哈希传递非常的重要。

本节提供了漏洞的总体统计信息。应该注意的是,在某些Web应用中发现了相同类型的多个漏洞。

让我们分解日志并且模拟哈希传递攻击过程。在这种情况下,我们首先想象一下,攻击者通过网络钓鱼获取了受害者电脑的凭据,并将其提升为管理级别的权限。从系统中获取哈希值是非常简单的事情。假设内置的管理员帐户是在多个系统间共享的,攻击者希望通过哈希传递,从SystemA(已经被入侵)移动到SystemB(还没有被入侵但具有共享的管理员帐户)。

Kerberoasting攻击

检测哈希传递攻击是比较有挑战性的事情,因为它在网络中表现出的行为是正常。比如:当你关闭了RDP会话并且会话还没有关闭时会发生什么?当你去重新认证时,你之前的机器记录仍然还在。这种行为表现出了与在网络中传递哈希非常类似的行为。

在利用管理接口获取访问权限时利用过时软件中的已知漏洞是最不常见的情况。

下面我们要查看所有登录类型是3(网络登录)和ID为4624的事件日志。我们正在寻找密钥长度设置为0的NtLmSsP帐户(这可以由多个事件触发)。这些是哈希传递(WMI,SMB等)通常会使用到的较低级别的协议。另外,由于抓取到哈希的两个唯一的位置我们都能够访问到(通过本地哈希或通过域控制器),所以我们可以只对本地帐户进行过滤,来检测网络中通过本地帐户发起的传递哈希攻击行为。这意味着如果你的域名是GOAT,你可以用GOAT来过滤任何东西,然后提醒相应的人员。不过,筛选的结果应该去掉一些类似安全扫描器,管理员使用的PSEXEC等的记录。

从SAM中提取本地用户凭据

哈希传递仍然广泛的用于网络攻击并且是大多数企业和组织的一个共同的安全问题。有许多方法可以禁止和降低哈希传递的危害,但是并不是所有的企业和组织都可以有效地实现这一点。所以,最好的选择就是如何去检测这种攻击行为。

金沙js娱乐场 5

金沙js娱乐场 6

我们将企业的安全等级划分为以下评级:

安全ID:空SID – 可选但不是必需的,目前还没有看到为Null的
SID未在哈希传递中使用。

建议禁用NBNS和LLMNR协议

你可以禁止通过GPO传递哈希:

安全建议:

大多数企业或组织都没有能力实施GPO策略,而传递哈希可被利用的可能性却非常大。

第一步

【编辑推荐】

使用包含已知漏洞的过时版本的网络设备固件

使用弱密码

在多个系统和用户中重复使用密码

使用NBNS协议

金沙js娱乐场,SPN账户的权限过多

金沙js娱乐场 7

使用此技术的攻击向量的占比

金沙js娱乐场 8

金沙js娱乐场 9

设置路径位于:

最常见漏洞的Web应用比例

金沙js娱乐场 10

检测建议:

金沙js娱乐场 11

第一步 检测到一个只读权限的默认社区字符串的SNMP服务

利用管理接口发起攻击的示例

“拒绝从网络访问此计算机”

利用获取的凭据,通过XML外部实体漏洞(针对授权用户)读取文件

事件ID:4624

过时软件中的已知漏洞占我们实施的攻击向量的三分之一。

我不会在本文深入剖析哈希传递的历史和工作原理,但如果你有兴趣,你可以阅读SANS发布的这篇优秀的文章——哈希攻击缓解措施。

20%的漏洞是跨站脚本类型的漏洞。攻击者可以利用此漏洞获取用户的身份验证数据(cookie)、实施钓鱼攻击或分发恶意软件。

通过对成千上万个系统上的日志进行广泛的测试和分析,我们已经能够识别出在大多数企业或组织中的非常具体的攻击行为并且具有非常低的误报率。有许多规则可以添加到以下检测功能中,例如,在整个网络中查看一些成功的结果会显示“哈希传递”,或者在多次失败的尝试后将显示凭证失败。

目标企业的行业和地区分布情况

哈希传递对于大多数企业或组织来说仍然是一个非常棘手的问题,这种攻击手法经常被渗透测试人员和攻击者们使用。当谈及检测哈希传递攻击时,我首先开始研究的是先看看是否已经有其他人公布了一些通过网络来进行检测的可靠方法。我拜读了一些优秀的文章,但我没有发现可靠的方法,或者是这些方法产生了大量的误报。

金沙js娱乐场 12

为所有用户帐户实施严格的密码策略(包括用户帐户、服务帐户、Web应用和网络设备的管理员帐户等)。

提高用户的密码保护意识:选择复杂的密码,为不同的系统和帐户使用不同的密码。

对包括Web应用、CMS和网络设备在内的所有系统进行审计,以检查是否使用了任何默认帐户。

接下来我们看到登录类型是3(通过网络远程登录)。

责任编辑:

哈希传递的主要成因是由于大多数企业或组织在一个系统上拥有共享本地帐户,因此我们可以从该系统中提取哈希并移动到网络上的其他系统。当然,现在已经有了针对这种攻击方式的缓解措施,但他们不是100%的可靠。例如,微软修补程序和较新版本的Windows(8.1和更高版本)“修复”了哈希传递,但这仅适用于“其他”帐户,而不适用于RID为
500(管理员)的帐户。

如果我们查看每个Web应用的平均漏洞数量,那么经济成分的排名保持不变:政府机构的Web应用中的平均漏洞数量最高;金融行业其次,最后是电子商务行业。

金沙js娱乐场 13

在此类攻击中,从SAM存储或lsass.exe进程内存中获取的NTLM哈希被用于在远程资源上进行身份验证(而不是使用帐户密码)。

对NetNTLMv2哈希进行离线密码猜测攻击。

漏洞:弱密码

常见的内部网络攻击是利用Java RMI网络服务中的远程代码执行漏洞和Apache
Common
Collections(ACC)库(这些库被应用于多种产品,例如思科局域网管理解决方案)中的Java反序列化漏洞实施的。反序列化攻击对许多大型企业的软件都有效,可以在企业基础设施的关键服务器上快速获取最高权限。

金沙js娱乐场 14

检测从SAM提取登录凭据的攻击取决于攻击者使用的方法:直接访问逻辑卷、Shadow
Copy、reg.exe,远程注册表等。

要检测针对Windows帐户的密码猜测攻击,应注意:

非常低

中等偏下

中等偏上

最常用的攻击技术

通过何种方式获取管理接口的访问权限

漏洞分析

金沙js娱乐场 15

检测建议:

43%的目标企业对外部攻击者的整体防护水平被评估为低或非常低:即使外部攻击者没有精湛的技能或只能访问公开可用的资源,他们也能够获得对这些企业的重要信息系统的访问权限。

一种可能的解决方案是通过蜜罐以不存在的计算机名称来广播NBNS/LLMNR请求,如果收到了响应,则证明网络中存在攻击者。示例:

如果可以访问整个网络流量的备份,则应该监测那些发出多个LLMNR/NBNS响应(针对不同的计算机名称发出响应)的单个IP地址。

不同类型漏洞的比例

每个Web应用的平均漏洞数

金沙js娱乐场 16

NTLM中继攻击

破解从SAM文件中提取的NTLM哈希

破解通过NBNS/LLMNR欺骗攻击拦截的NetNTLMv2哈希

Kerberoasting攻击(见下文)

破解从其它系统上获取的哈希

防止此类攻击的最有效方法是禁止在网络中使用NTLM协议。

使用LAPS(本地管理员密码解决方案)来管理本地管理员密码。

禁用网络登录(本地管理员帐户或者本地管理员组的账户和成员)。(本地管理员组存在于Windows
8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows
8/Windows Server2008R2中)

在所有系统中遵循最小权限原则。针对特权账户遵循微软层级模型以降低入侵风险。

NBNS欺骗攻击。拦截NetNTLMv2哈希。

漏洞:使用NBNS协议

提取本地用户的哈希密码

金沙js娱乐场 17

离线密码猜测攻击

利用 Web应用中的漏洞发起的攻击

第一步

Web应用风险级别的分布

金沙js娱乐场 18

安全级别为高对应于在渗透测试中只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

卡巴斯基实验室的专家还利用了Windows网络的许多特性来进行横向移动和发起进一步的攻击。这些特性本身不是漏洞,但却创造了很多机会。最常使用的特性包括:从lsass.exe进程的内存中提取用户的哈希密码、实施hash传递攻击以及从SAM数据库中提取哈希值。

离线密码猜测攻击。可能利用的漏洞:弱密码

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

利用敏感信息泄露漏洞获取Web应用中的用户密码哈希

我们还建议您特别注意使用PowerShell(Invoke-Mimikatz)凭据提取攻击的检测方法。

由于Windows系统中单点登录(SSO)的实现较弱,因此可以获得用户的密码:某些子系统使用可逆编码将密码存储在操作系统内存中。因此,操作系统的特权用户能够访问所有登录用户的凭据。

金沙js娱乐场 19

在NBNS/LLMNR
欺骗攻击成功的情况下,一半的被截获的NetNTLMv2哈希被用于进行NTLM中继攻击。如果在NBNS/LLMNR
欺骗攻击期间拦截了域管理员帐户的NetNTLMv2哈希,则可通过NTLM中继攻击快速获得活动目录的最高权限。

金沙js娱乐场 20

使用默认密码和密码重用有助于成功地对管理接口进行密码猜测攻击。

此类攻击的典型踪迹是网络登录事件(事件ID4624,登录类型为3),其中“源网络地址”字段中的IP地址与源主机名称“工作站名称”不匹配。这种情况下,需要一个主机名与IP地址的映射表(可以使用DNS集成)。

或者,可以通过监测来自非典型IP地址的网络登录来识别这种攻击。对于每一个网络主机,应收集最常执行系统登录的IP地址的统计信息。来自非典型IP地址的网络登录可能意味着攻击行为。这种方法的缺点是会产生大量误报。

金沙js娱乐场 21

思科IOS中的远程代码执行漏洞(CVE-2017-3881)

VMware vCenter中的远程代码执行漏洞(CVE-2017-5638)

Samba中的远程代码执行漏洞(CVE-2017-7494 – Samba Cry)

Windows SMB中的远程代码执行漏洞(MS17-010)

触发终端保护解决方案中的IDS/IPS模块;

服务器应用进程大量生成非典型进程(例如Apache服务器启动bash进程或MS
SQL启动PowerShell进程)。为了监测这种事件,应该从终端节点收集进程启动事件,这些事件应当包含被启动进程及其父进程的信息。这些事件可从以下软件收集得到:收费软件EDR解决方案、免费软件Sysmon或Windows10/Windows
2016中的标准日志审计功能。从Windows 10/Windows
2016开始,4688事件(创建新进程)包含了父进程的相关信息。

客户端和服务器软件的不正常关闭是典型的漏洞利用指标。请注意这种方法的缺点是会产生大量误报。

金沙js娱乐场 22

通过分析用于在活动目录域中获取最高权限的攻击技术,我们发现:

外部渗透测试是指针对只能访问公开信息的外部互联网入侵者的企业网络安全状况评估

内部渗透测试是指针对位于企业网络内部的具有物理访问权限但没有特权的攻击者进行的企业网络安全状况评估。

Web应用安全评估是指针对Web应用的设计、开发或运营过程中出现的错误导致的漏洞(安全漏洞)的评估。

第二步

发表评论

电子邮件地址不会被公开。 必填项已用*标注