攻防演练安全服务介绍

1.1为什么需要安全攻防演练

在黑客入侵攻击日益猖獗的现实情况下，我们需要提升安全建设水平来更好保护企业信息安全。不知攻，焉知防，只有了解黑客是如何进行攻击才能够更好保护我们的网络系统。在网络环境汇总只有知道敌人是如何进行攻击，这样才会知道如何应对这些攻击，防止黑客入侵窃取破坏数据。

亚凡科技拥有丰富的安全行业经验，为客户发现大量的安全漏洞。我们提供安全攻防演练服务，通过对客户的安全技术人员进行安全培训，帮助客户深入了解到漏洞的成因与黑客利用方法从而进行针对性的防御。并通过搭建的实战环境帮助学员建立从理论到实践的逐步深入的过程，使学员能够提升对漏洞的学习理解，并能从实战环境中提升安全技能，更好地保护企业的数据信息安全。

1.2攻防演练安全服务项目收益

亚凡科技拥有一支专业的安全团队，团队成员均为行业内优秀的安全专家、白帽子，拥有丰富的安全检测经验，先后为国家贡献近100个原创安全漏洞。

亚凡科技安全攻防培训采用亚凡科技安全攻防演练系统，该系统是根据我们多年对信息安全趋势的把握与安全行业经验，以及对企事业单位对人才培养、安全岗位技能的需求基础上，提供的一套专业、全面、成熟的攻防演练环境。

从安全攻防演练服务项目中，客户能够得到的收益至少有：

1) 安全攻防演练服务项目帮助客户了解到当前安全的发展状况与业界最新的安全攻击防御技术；

2) 安全攻防演练服务以贴近实战的安全技术进行教学，让客户技术人员深入了解掌握安全业界的安全漏洞的成因、漏洞利用、漏洞的防御方法，提升学员安全技能与企业安全防护能力；

3) 安全攻防演练服务提升企业安全建设水平，提升企业信息安全的发展。

二、安全攻防演练服务内容

我们依据信息安全的发展状况及安全行业积累的经验，选取典型的安全测试工具与典型安全漏洞进行培训讲解。攻防演练培训内容主要包含：端口服务扫描检测、SQL注入漏洞、XSS跨站脚本漏洞、文件上传漏洞、暴力破解漏洞、命令执行漏洞、编辑器漏洞、、敏感信息检测、metasploit渗透平台的使用、提权漏洞、编码解码、流量分析、加密解密、取证分析、代码审计、程序逆向、实战环境演练。

2.1 SQL注入漏洞

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。

在SQL注入课程中通过介绍SQL注入的发现、利用工具、防御等具体具体技术细节，课程主要包含如下内容：

1) SQL注入原理

2) SQL注入的发现查找

3) SQL注入的利用方法与自动化工具利用

4) SQL注入的防御方法

2.2 XSS跨站脚本执行漏洞

跨网站脚本（Cross-site scripting），通常简称为XSS或跨站脚本或跨站脚本攻击。这是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到正常的网页上，在其他用户浏览网页或点击网页链接时受到安全威胁。这一类XSS攻击通常包含了HTML以及客户端执行的脚本。

XSS的攻击通常是只通过网页开发室留下的漏洞，通过巧妙地设置注入的方法使恶意代码嵌入页面，在客户端浏览网页或点击链接时，嵌入的恶意代码得到执行。常见的网页程序为JavaScript，另外还包括了Java, VBScript, ActiveX,Flash,甚至是HTML页面。攻击成功后，攻击者可以执行一些高权限的操作，xss蠕虫，获取管理地址，会话和cookies等敏感内容。

当然XSS跨站脚本不仅仅是可以弹出对话框，还可以执行深入的窃取cookie，进行键盘记录、端口探测等高级的利用。

2.3 文件上传漏洞

在网站的交互中经常会使用到上传功能，如果文件上传功能的实现代码没有严格限制用户上传的文件后缀名以及文件类型，可能导致用户上传.aspx，.jsp，.php等脚本文件。

如果远程服务器权限配置不当，对上传目录配置了可执行权限，则攻击者可以远程执行上传的文件，即我们通常称为webshell。此外上传文件还可以结合服务器特性、web容器特性进行畸形解析，到达恶意文件执行的目的。下

2.4 暴力破解漏洞

暴力破解，即用暴力穷举的方式大量尝试性地猜解密码。穷举法的基本思想是根据题目的部分条件确定答案的大致范围，并在此范围内对所有可能的情况逐一验证，直到全部情况验证完毕。比如一个四位并且全部由数字组成其密码共有10000种组合，也就是说最多我们会尝试9999次才能找到真正的密码。利用这种方法我们可以运用计算机来进行逐个推算，也就是说用我们破解任何一个密码也都只是一个时间问题。

在设置密码时需要对密码强度进行设置8位以上数字+字符+大小写字母，设置密码尽量避免简单例如：123456，admin888，passw0rd，1qaz2wsx等形式。

2.5 端口服务扫描

在服务器中，开放的端口都对应着相应的服务应用，在对外开放的端口服务不能为无关的业务，如果对外开放多个无关端口与服务则会导致安全问题。例如：21端口对应FTP服务，22端口对应SSH服务，80端口对应web服务，443端口对应SSL服务。

通过探测服务器开放的端口与服务可以针对相应的服务进行漏洞的探测。windows2003  445端口SMB服务存在远程溢出漏洞可被入侵风险；SSH端口对外开放则存在被爆破的风险。

2.6 命令执行漏洞

命令执行漏洞指程序设计未严格限制输入参数，导致可以执行系统命令或者是应用框架存在安全漏洞导致可以执行系统命令。例如大量使用的struts2框架由于未对输入数据严格校验导致可以执行任意系统命令，影响数以百万计网站；最近爆发的java反序列化漏洞，由于未对输入数据未严格校验导致可以执行命令，影响weblogic、JBOSS、websphere、jenkins等众多应用。例如struts2命令执行漏洞：

2.7 编辑器漏洞

在网站开发中使用第三方编辑器可以方便快捷的搭建起响应编辑、插入图片、上传文件功能，大大节省了开发时间，但也由于很多编辑器存在安全问题导致可以上传恶意后门文件，危害服务器安全。

在使用量较大的编辑器为Fckeditor和Ewebeditor，这两种编辑器部分版本存在安全问题，影响众多网站。Ewebeditor编辑器默认数据库可下载，导致可以获取用户名密码；Fckeditor编辑器存在文件上传点，可上传恶意后门文件，导致服务器被入侵。

2.8 Metasploit渗透平台的使用

Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，密码审计，Web应用程序扫描，社会工程。它分为auxiliary辅助模块、exploits攻击模块、encoders编码模块、payloads攻击载荷、post后渗透模块。它可以进行扫描，暴力破解、入侵，生成后门、提权等众多功能，且所有攻击载荷在内存中运行，不会在目标留下痕迹。

2.9 编码解码

编码是信息从一种形式或格式转换为另一种形式的过程也称为计算机编程语言的代码简称编码。解码是编码的逆过程，是将编码后的代码还原为原始格式。常见的编码解码的格式有Javascript混淆编码解码、base64编码解码、Hex编码解码、SQL编码解码、Unicode编码解码、rot13编码解码等格式。

2.10 流量分析

网络流量就是网络上传输的数据量。网络流量的大小对网络架构设计具有重要意义，就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式类似，根据网络流量进行安全分析，可以有效地发现网络的存在的安全漏洞、敏感信息、文件传输。常见网络流量分析分为FTP流量分析、HTTP流量分析、HTTPS流量分析、DDOS流量分析等。

2.11 加密解密

加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。程序的加密与解密是专业性很强研究领域，它可以与任意计算机技术紧密结合--密码学、程序设计语言、操作系统、数据结构。对常见的密码的加密解密有：MD5加密解密、凯撒密码、栅栏密码、自定义算法加密解密。通过熟悉加密解密方法来解决系统安全问题。

2.12 取证分析

在信息安全领域的的取证分析针对信息系统的特点，提取Web日志、系统日志、数据库日志、流量日志、安全设备日志等。通过对web日志分析，提取web访问记录中存在的攻击特征、攻击数据、利用的漏洞点等重要信息；对数据库日志信息分析可以发现数据库中的非法访问、异常的数据读取、插入、删除等操作；对系统流量进行分析可以发掘出异常的网络通信行为。通过对取证分析可以有效排查定位攻击源、漏洞信息以及为安全的修复评估提供依据。

2.13 代码审计

代码审计（Code audit）是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。通过分析源代码找出程序存在的漏洞与不当的配置，常见代码审计有：

1.前后台分离的运行架构2.WEB服务的目录权限分类

3.认证会话与应用平台的结合

4.数据库的配置规范

5.SQL语句的编写规范

6.WEB服务的权限配置

2.14 程序逆向

逆向技术，是一种产品设计技术再现过程，即对一项目标产品进行逆向分析及研究，从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素。在安全中对可执行程序进行逆向分析，得到程序中存在的敏感信息、功能模块、时间处理机制，从而可以针对性进行软件的注册绕过、指令的绕过、程序修改等操作。

2.15 提权漏洞

提权漏洞就是一个本来非常低权限、受限制的用户，可以提升到系统至高无上的权限。当黑客已经通过传入WEBSHELL手段进入了目标机器后，但此时权限是非常低的，黑客无法种植木马，控制目标机器，也无法渗透到服务器更深层的机器。可以通过利用系统提权的漏洞获取system权限或管理员权限，从而完整控制服务器。

2.16 实战环境演练

在学习了安全知识后可以在亚凡科技攻防演练环境中进行实战的操作：

一、专项安全练习：通过学习的技能与工具对演练环境目标模拟黑客进行攻击（如SQL注入、文件上传、暴力破解、命令执行等），通过对专项的安全漏洞进行练习，让学员深刻学习安全的理论与实践知识。

二、综合攻防环境练习，通过对综合的演练环境进行攻防对抗，利用学习的安全知识进行实战运用，攻防双方相互攻击与防御，夺取FLAG或者对方系统权限，最先完成的一方为胜方。