About neohope

一直在努力,还没想过要放弃...

如何通俗解释零信任安全管控

零信任与传统的安全模型存在很大不同:
传统的安全模型:“一次验证+静态授权”的模式,就是“我记住你了,自己人”
零信任安全模型:“持续验证+动态授权”的模式,就是“你谁啊,凭证拿来”

用一句话解释零信任就是:别想刷脸,凭证拿来
无论你是哪个服务,无论你在内网还是外网,无论一天交互多少次,没有凭证,或者凭证无法验证通过,就会被阻止

零信任模型的核心原则:
1、永不信任:对内对外均不给予自动信任
2、持续验证:对所有入站和出站请求执行彻底验证
3、身份管理:对人、终端和应用进行统一身份化管理
4、精细授权:通过微分段、应用分级、功能分级、数据分级等技术,做到最小权限原则,减少潜在攻击面
5、动态授权:基于访问主体、目标客体、环境属性(终端状态、网络风险、用户行为等)进行权限动态判定
6、全局防御:持续监控终端风险、用户行为异常、流量威胁、应用鉴权等信息,实时进行信用评估
7、快速处置:对低分的主体,立即实施阻断措施

零信任模型的核心能力:
1、全面身份化能力
零信任的信任关系来源于对所有参与对象的身份验证,所有参与对象共同构建端到端信任链,参与对象包括网络、终端、人员、应用等。身份是访问控制体系的基石,零信任需要为所有对象赋予数字身份,基于身份而非网络位置来构建访问控制体系。
2、最小权限分配
零信任强调按需分配资源,实施细粒度的权限访问控制,仅授予访问主体执行任务所需的最小权限。
3、持续且动态的访问控制
零信任依据访问主体的身份信息、终端信息、网络信息等信任要素,通过实时计算信任要素形成访问控制策略。在资源访问过程中,一旦访问控制策略的决策依据发生变化,零信任将重新计算分析,动态调整认证和授权策略。
4、资源受控安全访问
零信任默认网络环境是不安全的,要求对所有业务场景、所有资源的所有访问请求进行强制身份识别和授权判定,确认访问请求的权限、信任等级符合访问控制策略后才予以放行。且要求所有的访问连接都必须加密。
5、组件联动能力
零信任需要具备较高的联动性,各类组件能够相互联动才能有效防范各类威胁并做到攻击快速闭环,切忌不可机械堆砌产品组件。

零信任架构的三大技术基础:
1、三大技术SIM之SPD,软件定义边界:应用程在部署时需要指定安全边界,以便将服务与不安全的网络隔离开。
2、三大技术SIM之IAM,身份识别与访问管理:解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。
3、三大技术SIM之MSG,微隔离:在逻辑上将数据中心划分为不同的安全段,将网络边界分割到尽可能的小,然后为每个独立的安全段定义访问控制策略。

零信任架构的核心技术:
1、终端环境感知:对终端身份进行可信标识,赋予每个终端唯一的数字身份,并能够维护终端身份属性,对终端环境进行实时感知和度量,支撑零信任安全解决方案实现持续风险评估。
2、身份鉴别:身份引擎将出差人员、内部员工、合作伙伴、供应商等不同人员纳入统一认证平台,打通终端 PC、网络设备、应用系统、公司网络等各种业务系统之间的身份数据屏障。所有身份数据集中管理和共享,避免身份孤岛带来的身份数据不一致或重复、身份数据质量不可控等制约业务发展的问题,降低信息化成本。采用MFA(多因子认证)方式对同一用户进行身份鉴别,从而加强身份验证的安全性。
3、分级管控:身份引擎统一维护所有授权客体(包括应用资源、API 资源、服务资源)的安全等级。每次范围资源必须进行认证,当授权主体的安全等级大于授权客体的安全等级时,授权主体才能访问授权客体,反之则不能访问。
4、动态授权:基于对网络环境、终端环境、用户行为的持续风险评估实现授权动态判定,并且能够将访问目标的权限控制细化到应用级、API等级和服务等级,只对访问主体开放最小授权,极大地收缩了潜在攻击面,解决了传统静态授权带来的越权风险高、授权粒度粗等问题。
5、持续验证:案对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。以访问主体的身份、网络环境、终端环境和用户行为等作为
认证的考量要素,并针对网络环境、终端环境、用户行为等进行持续风险评估,实现对接入用户和终端的持续验证,解决了由于安全边界逐渐模糊带来的一系列问题。
6、风险审计:根据认证日志、鉴权日志等输入,对用户安全等级的进行评价,重点对登录模式异常、访问时间异常、操作行为异常、访问习惯异常、访问关系异常等进行风险审计。
7、安全接入代理:统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。可分为安全接入网关、API 网关、SDP网关三种类型。其中,安全接入网关、API 网关用于敏感应用场景,SDP 网关用于非敏感应用场景。

零信任架构的三层架构:
1、安全管理中心,部署安全态势感知引擎
安全态势感知引擎:对环境感知代理发送的终端风险评分、身份引擎发送的认证日志和鉴权日志、关键节点镜像的网络流量进行智能分析,实现对用户、终端、网络的安全评估。

2、策略控制中心,包括身份引擎、控制引擎
身份引擎:负责对接入用户以及终端设备进行统一认证和鉴权。当用户安全等级变更时,及时更新用户拥有的访问权限,并向安全接入代理网关下发权限变更指令。
控制引擎:通过与安全态势感知引擎联动,实现威胁事件的检测智能、处置智能、全局防御,显著提升威胁的闭环效率。

3、策略执行器,部署环境感知代理、安全接入代理网关(包括安全接入网关、SDP网关、API网关三种类型)。
环境感知代理:负责统一管理和执行终端管控策略,能够实时感知终端环境状态,并向安全态势感知引擎上报终端风险评分。
安全接入代理网:关作为终端用户访问企业内网的控制设备,能够统筹管理所有访问连接,为认证成功且具有权限的访问主体建立安全访问通道,帮助企业构建虚拟网络边界。根据用户访问场景选择安全接入代理网关的类型。

参考:
华为IP网络系列丛书:《零信任》

常见网络攻击方式02

1、DNS欺骗
攻击者把自己伪装为DNS服务器,在用户解析IP的时候,解析到恶意网站,或者钓鱼网站
其实,现实中不少用户都受到过此类攻击

2、DNS缓存污染
攻击本地DNS缓存,达到访问伪装网站的目的

3、最终极的,还有DNS根服务器攻击:
由于DNS的根服务器都在国外(美国、英国、瑞典、日本),所以其实各国都有一些应对方案

4、ARP欺骗
在局域网下,还有可能遇IP地址欺骗,就是伪装为可信IP,麻痹被攻击者

5、MAC泛洪攻击
在局域网下,伪造大量的MAC地址数据帧,把交换机的MAC地址标撑爆,导致交换机无法正确按端口进行数据转发,必须进行数据广播
攻击者通过网络嗅探等方式,获取敏感信息

6、VLAN跳跃攻击
利用VLAN的配置漏洞,精心构造网络包,达到穿透VLAN通讯,获取其他VLAN信息的效果

7、SSL劫持
利用中间人攻击方式,分别与上下游通讯节点建立加密连接,进行数据转发的同时,获取明文通讯信息

8、流量劫持(网络端)
域名劫持:篡改DNS解析记录,比如上面的DNS缓存污染
BGP劫持:攻击者通过操纵边界网关协议(BGP)来劫持网络流量,引导流量通过恶意路径

9、证书欺骗
攻击者把自己伪装为CA厂商,把自己伪装为加密网站,欺骗性很强
这种攻击前几年还真出现过,危害不小

10、拒绝服务攻击DoS
精心构造网络包,把服务器拖垮,服务器没有额外资源处理正常请求,对外表现为拒绝服务

SYN洪水攻击:利用TCP握手机制,构造大量SYN包,耗尽服务器TCP连接资源,达到拒绝服务的攻击目的
ICMP洪水攻击:伪造大量ICMP包,比如ping包,耗尽服务器资源,达到拒绝服务的攻击目的
UDP洪水攻击:伪造大量UDP包,带有不同的IP地址,耗尽服务器资源,达到拒绝服务的攻击目的

11、分布式拒绝服务攻击DDoS
利用上面说的肉鸡或僵尸网络,架设攻击软件,对一些网站拼命发起请求,让网站访问量剧增,资源耗尽,最后导致系统崩溃,无法继续提供服务
在云厂商推广期间,更有甚者批量注册大量云服务器,发起DDoS攻击,你能信
现在,由于IoT设备的剧增,但安全防护短期内又跟不上,有些攻击者就利用这些IoT设备,构建了僵尸网络,专门进行DDoS攻击

12、低速率拒绝服务攻击(LDoS)
现在各大云厂商都有自己的DDoS防火墙,让DDoS攻击效果大打折扣
通过周期性地发送大量数据包,利用网络协议的漏洞来降低被攻击端的服务性能

13、嗅探攻击
潜伏在网络中,做一个安静的嗅探器
抓取网络中全部数据,有针对的获取有价值数据
随着加密通信的加强,越来越难了
但就算是网络流量的大小,有时候也是机密

14、重放攻击
作为A和B的中间人,收到A的消息后,篡改,然后给到B
随着加密通信的加强,越来越难了

安全开发是如何执行的

谈到安全开发,咱们就要先明确一个问题,安全开发的目的是什么呢?

所有做过开发的小伙伴,一定会有一个概念,一个程序的逻辑Bug,一定越早发现,损失越小。
如果能在需求阶段,发现并解决这个Bug,损失可以是最小的。

安全开发也是这样,希望达到的目的就是:
安全风险左移,早发现,早管理,持续改进

在安全开发上面,其实有一些现成的框架可以遵循,比如SSDLC(适合迭代式开发)、DevSecOps(适合DevOps式开发)等。

本文就说一下,我们的SSDLC是如何执行的。

当前,在能执行之前,需要进行相关的建设,包括:
明确安全风险,明确安全基线,指定安全策略,进行安全教育,部署安全工具,进行相关培训等等。
这个每个公司差异比较大,选择的组件和厂商也大不相同,就不详细描述了。
我们重点说一下,一个安全相关的需求,是如何落地的。

1、安全需求
1.1安全需求识别
组织应该达成一个共识,哪些需求比如过安全评审,比如:
a、任何账号、密码相关的
注册、登录、密码验证、验证码、密码修改、账号注销等等
b、任何用户可以发布信息的
留言、灌水、内容发布、即时通讯、提交信息并展示
c、任何上传和下载的
d、任何交易相关的
大促、活动、秒杀、刷单、刷票、业务风险响应
e、任何钱相关的
积分、交易、资金往来、营销、相关接口
f、涉及SQL编写的
g、任何敏感信息存储或展示的
购买、支付、个人信息查询、添加删除信息、充值密码
移动端图片保存、人脸识别、手势密码
h、任何证书相关的
i、任何访问控制相关的
前后端访问控制、系统对接、日志、短信、邮件
j、任何批量操作相关的
查询、导入、导出
k、合规安全相关
隐私政策、个人信息采集、敏感信息传输、生物特征识别、账号注销
等等。
1.2安全需求强制纳入安全评审,安全管理人员可以指定其他需求进入安全评审、
1.3安全小组对需求进行评审,判定是否可以继续推进

2、安全设计
2.1设计人员给出方案
2.2安全小组评审设计方案,判定是否可以继续推进
2.3测试同学,同步书安全测试用例
2.4安全小组评审设测试用例,判定是否可以继续推进

3、安全开发
3.1、开发同学IDE安装好安全组件,组件可规范编码,并进行静态扫描,及时发现代码问题
3.2、开发同学自测后,提交代码库
3.3、开发同学在测试环境,运行流水线
3.4、流水线自动混淆、编译、加固、打包、部署,同步进行各类扫描,包括:黑盒、白盒、组件、镜像、隐私检测等
3.5、流水线给出相关漏洞
3.6、开发同学修复漏洞

4、安全测试
4.1、测试同学进行功能验证
4.2、测试同学进行安全验证:渗透、越权等
4.3、测试同学进行性能验证
4.4、验证通过后,提交相关报告

5、安全验证
5.1、此时可以进行UAT验证
5.2、在版本库相同的情况下,开发同学将代码发布到UAT环境
5.3、流水线门禁根据规则判定,是否可以发布
5.4、测试同学初步验证
5.5、用户验证

6、安全部署
6.1、此时可以把代码部署到生产环境

当然,上面的开发流程,只是整个安全开发体系中的一环。
实施安全开发流程,需要庞大的前期资源投入,以及渡过一个较长的不断改进的过程。

AI编程的现状

1,当前AI可大幅提升代码片段效率
当前的AI辅助工具,在通用代码片段上的效率,已经高过大多数程序员了。
比如让AI去写一个通用算法片段,其速度甚至质量可以吊打多数的程序员。
虽然很多通用代码片段都有现成的库可以参考,甚至可以直接调用,但自动输出一个良好的demo也能节约大量的搜索排错的时间,大幅提升开发效率。

2,当前AI可大幅提升学习速度
在进入一个新的技术领域时,AI可大幅降低程序员的学习成本。
一个AI生成的demo,稍微调整一下就能运行了。
所以有种可能,就是程序员会更加的全栈化。

3,当前AI有待进步
但如果是一个复杂的需求,尤其是需求需要建立在对一个项目前期需求理解之上时,现在的AI还是不够强大。
也就是有些人说的,AI很傻。

而且当前的软件项目结构,更适合人,而不是AI。
更小的代码片段,更小的项目拆分,对当前水平的AI会更友好。但对人来说并不一定。

4,近期AI会让编程技能更加工具化
比如一个做统计分析的人,用R或Python做统计,学习成本会下降一个数量级。
熟练的用函数,很难成为核心优势。

5,AI的进一步发展,会促使开发人员分级
善用工具的,会越来越强大
反之,会被迫与“被AI武装的外行人”竞争的囧境

6,AI的进一步发展,会让懂业务的人更强大
开发人员必须向上游靠拢,更深入的理解业务,才能有更好的发展。
纯拼技能熟练的时代,可能要结束了。

什么是SSDLC

SSDLC(Secure Software Development Life Cycle,安全软件开发生命周期)是一个软件开发框架,它将安全考虑和实践集成到传统的软件开发生命周期(SDLC)的每个阶段。SSDLC的目标是减少软件中的安全漏洞,提高软件产品的安全性,确保从设计到部署的每个步骤都考虑到安全因素。

SSDLC 的主要阶段通常包括:
1、 初始化:确定安全策略和目标,定义项目范围和安全要求。
2、 架构设计:设计软件的安全性,包括威胁建模和风险评估。
3、 详细设计:开发软件的详细设计,包括安全控制和机制。
4、 实现/编码:编写安全的代码,并遵循安全编码标准和最佳实践。
5、 测试:进行安全测试,包括静态代码分析、动态代码分析和渗透测试。
6、 部署:安全地部署软件到生产环境,并确保部署过程本身的安全性。
7、 维护:在软件的整个生命周期内进行持续的安全监控、漏洞管理和补丁应用。

如何实施 SSDLC:

1、 建立安全策略:
定义组织的安全政策和程序,确保它们与SSDLC流程一致。

2、 安全培训:
对开发团队进行安全意识和安全技能的培训。

3、 威胁建模:
在设计阶段使用威胁建模来识别潜在的安全威胁和漏洞。

4、 安全需求分析:
确定软件的安全需求,并将其纳入项目的需求规格中。

5、 安全架构和设计:
设计软件架构以包含安全控制,如身份验证、授权、数据加密等。

6、 安全编码:
遵循安全编码标准和最佳实践,减少安全漏洞。

7、 代码审查和静态分析:
通过代码审查和自动化工具检测代码中的安全问题。

8、 动态分析和测试:
进行动态安全测试,如渗透测试,以发现运行时的安全问题。

9、 安全部署:
确保部署过程安全,包括使用安全的配置和补丁管理。

10、 监控和响应:
实施监控机制来检测和响应安全事件。

11、 持续改进:
根据反馈和安全测试结果,不断改进SSDLC流程。

12、 合规性检查:
确保软件的开发和部署符合相关的法律法规和行业标准。

13、 文档和审计:
记录安全活动和决策,以便于审计和未来的回顾。

实施SSDLC需要组织层面的承诺和支持,以及跨部门的协作。通过在软件开发的每个阶段都集成安全措施,可以有效地减少软件中的安全漏洞,提高整体的安全性。

常见社会工程学攻击方式

1、钓鱼攻击
攻击者通过伪造看似来自受信任来源的电子邮件、短信或电话,诱骗用户点击恶意链接、下载恶意软件或泄露个人信息。例如,假冒银行或电商网站发送验证信息的邮件,要求用户点击链接进行账户验证

网站钓鱼:攻击者创建与真实网站相似的假冒网站,以诱导用户泄露信息
短信钓鱼:攻击者构造中奖、促销等短信,以诱导用户泄露信息
邮件钓鱼:攻击者伪造内外部邮件,以诱导用户泄露信息
扫码钓鱼:攻击者通过提供小礼品、红包等方式,以诱导用户扫码,达到攻击目的
U盘钓鱼:通过散布带有恶意软件的U盘,以诱导用户泄露信息
语音钓鱼:攻击者通过伪装熟人或各类工作人员,以诱导用户泄露信息
视频钓鱼:攻击者通过伪装为熟人或某类较为暴漏的工作人员,以诱导用户泄露信息
鱼叉式攻击:攻击者针对特定目标进行定制化的钓鱼攻击
捕鲸攻击:针对高级管理人员的钓鱼攻击,目的是获取更高级别的访问权限
水坑攻击:研究攻击对象,找到最常访问的网站,攻陷该网站,从而达到攻击受害者的目的

2、伪装身份
攻击者通过伪造身份,冒充公司高管、技术支持人员或朋友,获取用户的信任并诱骗其泄露敏感信息。这种攻击方式在社交网络和即时通讯工具中尤为常见

身份假冒:在社交软件上,假冒高管,达到攻击目的
尾随攻击:攻击者通过在社交媒体上建立信任关系,然后利用这种关系进行攻击
三角诈骗:攻击者通过操纵多个受害者来达到最终的攻击目标
浪漫诈骗:攻击者通过建立虚假的浪漫关系来诱导受害者提供财务信息或其他敏感数据
深度伪造(Deepfake):利用人工智能生成的伪造视频或音频,用于误导或欺诈

3、紧急感诱导
利用用户的紧急心理,如账户被盗、密码泄露等紧急情况,诱骗用户迅速采取行动,如重置密码、转账等。攻击者常常通过制造紧迫的氛围来增加攻击的成功率

技术支持诈骗:攻击者冒充技术支持人员来诱导用户提供访问权限
疫苗接种攻击:攻击者通过提供虚假的安全建议或解决方案来诱导用户执行恶意操作
预载攻击:攻击者通过提供恶意软件的预加载版本来诱导用户下载

4、物理接触
除了线上攻击外,社会工程学还涉及物理接触。攻击者可能通过面对面的方式,如假冒维修人员、快递员等,接近目标并获取敏感信息或执行恶意操作

电视盒子:攻击者通过售卖甚至上门安装有恶意软件的电视盒子(或类似设备),达到攻击目的
面试攻击:通过高薪岗位,让竞对参加面试,获取相关信息
生物识别数据攻击:针对生物识别数据(如指纹、面部识别、虹膜扫描)的攻击

5、尾随攻击
攻击者跟随一个授权用户,在其刷卡或授权进入一个受限制的物理区域时尾随进入。由于人们通常不愿意在门口停留避免妨碍他人,攻击者可趁机一起进入受限区域

逻辑尾随:攻击者尝试通过建立信任关系或模仿其他用户的行为,来获得对系统或数据的访问权限

6、虚假新闻传播
灌水攻击:通过水军,伪造和散布虚假信息,引发客户群体兴奋或群体恐慌,达到攻击的目的

7、身份盗取
攻破受害方的社交账号,冒充受害方在社交媒体上进行活动,达到攻击的目的
比如:发送钓鱼信息,发送恶意言论等

8、云账号劫持
攻击者获取受害方的云账号访问权限,达到攻击的目的

常见硬件攻击方式

1、设备欺骗
WiFi欺骗,攻击者通过设置假冒的WiFi热点,诱使用户连接,从而截获数据
基站欺骗,和上面方式比较一致,只不过是冒充手机的基站
蓝牙攻击,利用蓝牙设备的漏洞,攻击者可以截获通信、传播恶意软件或接管设备

2、信号干扰
通过信号干扰, 进行攻击,比如:
无线电频率(RF)攻击,可以截断基站、wifi、蓝牙、RFID等
电力线通信(PLC)攻击,可截断通过电线进行数据传输的系统,比如电力猫等
卫星通信攻击,针对卫星通信系统的攻击,可能干扰或截获卫星传输的数据
声波攻击,利用声音信号干扰或窃取数据,例如通过扬声器或麦克风进行的攻击
光注入攻击,通过向设备的光学传感器(如摄像头)注入光信号,可能干扰设备操作或进行数据窃取。

3、设备攻击
固件攻击,攻击者通过篡改设备的固件来控制设备或窃取数据
芯片攻击:据传某CPU厂商和某网络厂商,其实都有后门的,所以一直在推广国有化制造
设备加装,通过加装设备,达到数据窃取或数据欺骗的目的
物联网(IoT)攻击,物联网设备通常安全性较差,易于被攻击者利用
车联网(V2X)攻击:针对车联网技术的攻击,可能危及车辆控制或乘客安全

4、移动设备攻击
随着智能手机和平板电脑的普及,针对移动操作系统的攻击也越来越常见
比如:
在移动商店,上架有恶意代码的APP,达到窃取用户信息的目的
引导被攻击者安装,未上架的,有恶意代码的APP
利用越狱或ROOT后的系统漏洞,对受害者进行攻击
利用设备后门进行攻击,一些专用设备可以快速复制指定iPhone中的数据

5、网络设备攻击
把网络设备(无论是路由器、交换机还是基站)拿下,攻击者的收益是很显著的

6、默认设置攻击
不少硬件设备,有一些默认设置,很容易被攻击者使用
比如一些较老的家用路由器,默认用户名密码,很多家庭从来不改,一分钟被攻破

7、侧信道攻击
通过一些非常规数据传输手段,来获取敏感信息
比如:喇叭声音、指示灯、磁盘声音等
有时候,系统功耗、处理时间也有很高的价值

8、真物理攻击
通过物理方式进行破坏
这种攻击方式,比实际大家听到的多得多,不只是挖断光缆这么简单
所以就有专门的硬件加固来进行应对

9、冷启动攻击
比如:关机,拿走硬盘,复制信息

10、硬件木马
在硬件制造过程中植入的恶意组件,用于长期潜伏和数据窃取
比如海湾战争中,伊拉克采购了法国的打印机,在运输途径约旦的时候,被美国情报人员替换了带有病毒的芯片
在战争前期,美军激活了打印机芯片中的病毒,让伊拉克防空部队直接瘫痪,直接丧失了制空权,导致了战争出现了一边倒的情况

11、移动硬件木马炸弹
2024年9月17日~2024年9月18日,以色列对黎巴嫩境内植入爆炸物的寻呼机、对讲机设备进行了引爆,造成了大面积人员伤亡。
据报道,这些设备由匈牙利的套壳公司BAC生产(贴牌台湾金阿波罗公司),增加了塑性炸药和远程引爆装置。而且这批设备至少在五个多月前已经投入了使用。
这是一次典型的社会工程学+硬件供应链+硬件木马炸弹的攻击

小插曲:
早在1996年,以色列特工就通过遥控引爆移动电话炸弹的的方式,暗杀炸死了哈马斯的炸弹工程师叶海亚·阿亚什。
近年来,随着各国情报能力增强,屡次发生通过手机GPS泄露关键目标位置的情况。
为了避免被手机GPS定位,一些黎巴嫩的武装分子弃用了手机,转而用寻呼机、对讲机进行联络,此次攻击十分有针对性。

常见软件攻击方式

1、漏洞攻击
无论是操作系统、中间件还是应用软件,一定都存在漏洞
如果防守方没有及时升级打补丁,就容易被攻击
在爆出漏洞到漏洞补丁推出,到漏洞被修复,这之间有个时间差
在这个时间差之内,利用该类漏洞进行攻击,被大家成为0day攻击

比如:
2022年向日葵远控软件爆出远程代码执行漏洞(Windows平台),攻击者可利用该漏洞获取服务器控制权

2、逆向工程攻击
攻击者通过分析软件的内部结构,寻找漏洞或破解软件的保护机制
比如:虚拟脱壳、动态调试等
当然,业界也有成俗对抗手段,加壳、混淆、反调试、加密狗等

3、缓冲区溢出攻击
通过向程序的缓冲区写入超出其长度的内容,破坏程序的堆栈,使程序转而执行攻击者预设的指令
内核和一些应用软件都曾出现类似漏洞

4、反序列化漏洞攻击
利用现代编程序列化、反序列化的能力,精心构造序列化对象,发送到服务端
服务端反序列化后,执行反序列化后代码,触发恶意代码

5、文件包含漏洞攻击
一些脚本化的编程语言,比如PHP,如果没有做好正确的设置
攻击者就可以通过语言中的,文件包含函数(比如include),读取到服务器上受限制的文件信息,达到攻击目的

6、组件攻击
通过软件引用的各类组件漏洞,进行攻击

比如:2021年爆出的Log4j2漏洞,由于Log4j2提供了“{payload}”解析功能,攻击者可以构造payload,调用JNDI服务,JNDI则会从攻击代码指向的远程服务加载提前部署好的class,并且执行。这样攻击者就可以远程执行任意指令了。

还有:swag-ui如果不做好权限管控,攻击者可以轻易看到代码文档,根据文档构造针对性很强的攻击

7、开源攻击
在开源库中,注入恶意代码
比较出名的包括明尼苏达大学学生向Linux内核源码提交恶意代码,东窗事发后,整个学校被禁止提交Linux源码

8、逻辑炸弹
即使是闭源软件,也有被嵌入恶意代码的情况,当满足特定条件时会自动执行恶意操作
比如,某银行程序员,设置当自己的账号被禁用三个月后,会诱发恶意代码,批量删除数据

9、供应链攻击
软件开发到上线,是一个长长的供应链,包括开源组件引入,外部组件采购,镜像构建,软件本地化,软件编译,软件集成,软件部署等等很多环节
攻击者只需要攻破整个供应链中的某个环节,就可以将恶意软件或漏洞被包含在最终软件中
供应链攻击,再次印证了一个安全守则:安全木桶理论,最短的板,代表了整体安全水平

比如:
2012年,中文版PuTTY被曝出存在后门,该后门会自动窃取管理员输入的SSH用户名和密码,并将其发送至指定服务器。攻击者所作的就是,获取英文版源码,汉化,植入后门,打包发布,甚至做了推广。(利用了国内用户更倾向于使用英文的心理)

2015年爆发的XcodeGhost事件,攻击者利用当时开发者难以通过官方渠道下载Xcode的疏漏,发布了带有病毒的Xcode,导致2500多款通过该Xcode开发的iOS App被植入恶意代码,影响到的iOS用户数达1.28亿。(利用了XCode的下载缓慢,国内用户倾向于寻找替代源的心理)

2024年的“微软蓝屏”事件,就是微软安全供应商CrowdStrike更新了错误的软件配置,导致850万设备蓝屏,全球多地航班停飞、医疗设备瘫痪、金融系统中断。

供应链的下游,还有一类是桌面(电脑维修人员),也必须做好管控,否则风险同样巨大。

10、插件攻击
其实插件攻击,比较像供应链下游的攻击
就是通过利用软件、网站的插件漏洞,达到攻击的目的
更有甚者,可以自己发布一个带隐秘漏洞的插件,从而达到攻击的目的

比如:
2017年,Chrome浏览器内的知名插件User-Agent Switcher被发现内藏恶意代码,会上传用户打开的每一个标签页链接,并会在用户访问部分网站时插入推广代码

11、组件替换及恶意投毒
根据软件的加载规律,替换指定位置的可执行文件、dll、jar包等
让攻击组件优先于默认组件先行加载,达到攻击的目的
最直接的,莫过于直接替换可执行文件了
当然,一些premain的方法,也可以被攻击者利用

这其中,有一类情况叫做“恶意投毒”,攻击者借助Python、Node.js等技术栈的依赖包在安装期间即可执行代码的功能,通过注册相似包名、抢注企业内部包名等方式进行投毒,将病毒木马、挖矿、窃取敏感信息等恶意代码插入安装期间的hook函数或三方组件入口函数内,若企业员工在研发过程中疏忽大意导致拼写错误或是未指定内部软件仓库,就有可能被攻击成功,让攻击者进入办公网络甚至是生产网络。
比如:2022年,攻击者定向收集Ably公司发布的各类产品、代码名称,发布了几十个恶意Node.js依赖包进行投毒​。

同理,直接使用三方源,也很容易遭受投毒攻击,只要同步链路上游被攻破,下游全部会被污染。

12、应用软件攻击
此类攻击,主要针对常用应用软件,在其中注入恶意代码,通过软件厂商的官方渠道分发,达到攻击目的。

比如:
2020年,SolarWinds遭遇攻击,攻击者攻陷了企业内的CI/CD平台,污染了关键产品SolarWinds Origin,进而影响了美国政府等大量下游客户。

13、软件授权攻击
包括:破解补丁、密钥生成器、激活工具等

14、后门攻击
一些软件,为了维护方便,其实留有一些后门,这些后门中,很多并不是因为恶意产生的

我发现过一个后门,是一个资深开发,为了避免数据修改时需要走繁琐的数据修改流程,做了一个接口,通过复杂参数设置,可以推送执行任意SQL
类似后门,被攻击者发现后,后果不堪设想

24年,一位叫Jia Tan的开发者,用了三年时间,获取XZ压缩软件开发者及社区的信任,然后开始后门植入。
他利用m4脚本、shell脚本、测试文件及复杂的混淆技术,在编译期间很隐秘的对XZ软件注入了恶意后门代码,生成liblzma.so
部分发行版中,sshd会链接到systemd,systemd会链接到liblzma,这样就通过XZ,对sshd注入了恶意后门代码
由于被注入的sshd在执行时比较慢,很快就被一些细心的人发现了,避免引发更大的危险
这个历时3年的后门植入攻击事件,才慢慢浮出水面

15、逃逸攻击
包括沙箱逃逸、容器逃逸等,虚拟机逃逸
比如:通过容器逃逸,获取宿主机的访问权限

16、大模型投毒统计
通过在训练数据中植入恶意样本、具有误导性标签或特征的数据,扭曲模型的学习过程,导致模型偏离真实数据的表征。
被攻击后,模型在预测时,会产生错误结果。
导致给出令人不悦的反馈,甚至引导给出错误决策。

17、软件配置错误
24年爆发了严重的“微软蓝屏事件”,导致850万台使用了windows系统的设备出现大规模蓝屏。
是微软的安全供应商CrowdStrike,批量推送了错误的安全规则所致。

18、权限管理问题
大家经常开玩笑说的,从删库到跑路,很多时候就是把过大的权限给到错误的人员,比如
直接给开发同学权限,后台执行批量删除语句,但他由于粗心,执行时没有带上where语句,更没有limit
直接把drop库的权限,给到了基层运维同学,但他因为一言不合,直接删了生产库
直接允许工程师通过自己写的脚本工具,对云服务器进行批量运维,某次紧急事件,紧急执行了脚本年久失修的脚本,导致整个zone崩溃

常见网络攻击方式01

1、SQL注入
对于存在漏洞的网站,精心构建网页提交参数,参数中附带恶意攻击的SQL语句
网站服务器代码,并没有主动过滤这些恶意代码,就会导致攻击者的SQL语句被执行
比如:

--原始语句拼接:
select * from tableA where uid='传入参数'
--把参数设计为:
a'; delete * from tableA; '
--直接替换后就成为:
select * from tableA where uid='a'; delete * from tableA; ''
--这张表的数据就没了

2、跨站脚本攻击XSS
攻击者在网页中注入恶意脚本,当其他用户浏览该网页时,恶意脚本就会在用户的浏览器上执行
包括:反射型XSS、存储型XSS、DOM型XSS、其他XSS
比如:反射型XSS,攻击者在网站A中,放入精心构造的网站B的URL,但这个URL中包含恶意脚本
用户点击这个URL时,恶意脚本会被一同发送到网站B,然后反射到用户浏览器,被用户浏览器执行
从而达到盗取信息、劫持等目的

3、跨站请求伪造CSRF
比如:被攻击者已经登录了网站A,并保留有登录信息
攻击者诱导被攻击者访问网站B,利用网站A的登录信息,向网站A发送精心构造的请求,比如转账请求
网站A收到请求后,判定登录信息有效,执行了转账,后果可想而知

4、XML External Entity攻击XXE
对于一些老旧的网站,上传精心构造的XML,利用XML解析器配置不当,可以执行XML的DTD中的指令
这样再访问这个被上传的XML,就能看到指令的执行结果

5、服务器端请求伪造SSRF
利用服务器端之间的信任,精心构造请求,绕过服务器限制,达到攻击目的
比如攻击者希望获取A网站的一张保密的图片,但没有权限
攻击者又发现B网站与A网站之间有更高的信任关系,而且B网站的留言功能,会主动缓存一些URL的图片资源
攻击者在B网站留言板,输入A网站的图片地址,过几分钟一刷新
B网站已将A网站的图片进行了缓存,攻击者就获取到了这张图片,绕过了A网站的限制

6、JSONP攻击
JSONP技术多用于跨域获取数据,并执行回调,如果没有做好限制,容易被攻击者利用
比如攻击者在网站A上构造一个精心的URL,这个URL指向网站B,同时带有一个回调函数
如果没有防护,网站B会按请求内容进行响应,然后返回数据,被攻击者的浏览器会自动执行回调函数
攻击者可以利用这个回调函数,达到获取信息等非法目的

7、越权攻击
攻击者通过构造访问URL,尝试获取超出账号的权限
传统Web服务,很多页面都可以被越权攻击,甚至访问到管理员页面
包括水平越权和垂直越权
比如一个账户,原本只能看到一个商品的销售信息,但在URL中,通过枚举商品ID,居然可以访问到所有商品销售信息

8、扫描攻击
利用漏洞、弱口令、端口扫描工具,对网络中主机进行批量扫描,根据扫描结果一一攻破,然后偷偷上传木马等控制软件
很多肉鸡就是这样被制造出来的

9、目录遍历
如果网站没有限制不可枚举目录,其实风险是很高的
无论是看到网站源码、配置文件、还是日志,都有可能暴露出新的被攻击点

10、漏洞攻击
利用主机、中间件、各类组件现有的漏洞,然后进行利用

11、零日漏洞攻击
任何软件,在爆出漏洞到漏洞补丁推出,到漏洞被修复,这之间有个时间差
在这个时间差之内,利用该类漏洞进行攻击,被大家成为0day攻击

比如“三角测量”攻击,利用多个零日漏洞,攻破iPhone防护,可安装恶意软件

12、命令注入
有些网站,有命令执行的功能
这样,攻击者可以通过精心构造的请求,将想要执行的脚本,嵌入到请求中
最终达到在服务端执行命令,并返回结果的目的

13、文件上传
有些网站,没有做好上传文件的限制
攻击者甚至可以上传shell脚本
结合上面的命令注入,后果可想而知

14、恶意文件
通过宏、代码嵌入等方式,达到执行恶意代码的目的
比如N年前常见的office宏攻击或VBA攻击,下载一个文件就中招了
还有精心构造的图标、后缀、压缩包,也能达到麻痹被攻击者,执行恶意代码的目的

15、蠕虫病毒攻击
通过系统或某些软件漏洞,自动攻击主机或网络设备,复制,潜伏,然后继续攻击其他电脑
这样也能抓到不少肉鸡
但蠕虫传播很快,肉鸡多了,就成了僵尸网络

16、木马攻击
通过各类攻击手段,在被攻击方的电脑上,安装一个小程序
这个小程序被成为特洛伊木马,会隐藏自己,好一些的在任务管理器都找不到,更厉害的可以获取比内核还高一些的权限
然后攻击者,通过这个木马,获取被攻击者的信息,甚至对电脑进行完全控制
比特币价格好的时候,有人还用攻击的到的电脑挖矿,你能信。。。

17、勒索软件
加密算法的发明人,应该也没想到,自己发明的算法,会被用来开发这类软件
和蠕虫拼命扩散资深、木马拼命隐藏资深,并不一样
勒索软件会在后台,拼命扫描你的各类重要文档(包括数据库文件),然后进行加密
加密之后,会告诉被攻击者:你的资料都被加密了,想要吗?那就给指定地址打几个比特币
然后就会再解密
如果不支付,也可能会被撕票。。。
由于密钥长度一般很长,所以解密几乎不可能,要么交赎金,要么抓到幕后的攻击者

18、钓鱼邮件
将攻击代码或攻击软件,伪装为压缩包等方式,通过邮件,大规模发送给被攻击客户
当客户防护意识不够强的时候,误点了这些代码
就相当于自己安装了木马,或者蠕虫
这些软件既可以从你电脑中偷取资料,严重的时候会让电脑成为肉鸡

19、钓鱼网站
通过伪造网站,让用户误以为自己在官网
填写自己的用户名、密码、严重码信息
殊不知别人在真正的官网,通过这些信息登录成功
已经盗取了你的账号、你的信息、你的金钱

20、会话劫持
被攻击者登录成功后,获取被攻击者的会话识别信息
利用会话预测或会话固定技术,模拟客户,接管会话
客户和网站可能都不知道被劫持了

凭证填充:通过获取的凭证,可以尝试该网站各服务接口,尝试获取有价值的信息

21、邮件轰炸
通过软件,对指定邮箱,发送大量垃圾邮件
随着各类垃圾邮件过滤算法的提升,越来越难了

22、暴力破解
包括密码爆破、验证码爆破、目录爆破等
通过常用弱密码字典、被脱库的第三方密码库,构造程序,不断尝试自动登录
现在这种攻击基本都会被防护,密码错几次后就24小时后才能重试
但被脱库的第三方密码库,还是危害很大的
要定期改密码
这里再补充一个“短链爆破”,由于短链位数少,很容易被遍历,而且几乎没有访问限制,经常被攻击者作为一个突破口

23、密码攻击
除了密码爆破(字典、枚举),还有一些常用的手段
彩虹表攻击:通过已知的hash值,倒退密码,如果不加盐,还是很容易被攻破的
密码喷洒:通过一个防护薄弱的网站,获取被攻击者的密码,用这个密码,尝试各大网站
撞库攻击:通过已经泄露的用户名和密码组合,尝试在其他网站上进行登录,以获取未授权的访问权限
扫号攻击:攻击者利用网站页面或应用程序的接口来检测账号是否存在,为后续攻击手段做好准备

24、流量劫持(主机端)
浏览器劫持:通过改变用户的浏览器设置,如默认搜索引擎和主页,来重定向用户到特定的网站
数据劫持:篡改HTTP页面,注入广告或非法内容,包括HTTP头注入和HTTP内容注入

25、网站劫持
网站被攻破后,上传恶意页面,从而可以
a、页面植入
一般用户是不知道,他们看到的一个页面,可能是由n个页面组成的
在一个可信网站下,嵌入一个带有攻击目的的页面
诱导客户输入敏感信息,进而达到攻击者目的
b、点击劫持
通过视觉欺骗手段隐藏恶意链接,诱使用户进行错误点击
c、网站嵌入
嵌入各类不法网站
d、HTTPS欺骗
在安全网站中,嵌入不安全内容,欺骗客户
e、恶意下载
诱导客户下载恶意程序

26、配置错误攻击
配置错误,比大家认为的多很多,比如:
报错时,debug信息直接throw到页面上
spring boot可以通过env直接把配置信息展示到页面上
swagger ui可以不授权访问
redis等中间件没有设置访问限制
容器部署的时候,没有修改默认管理页面的密码
各类密钥,直接上传到代码库
打Jar包的时候,加入了混淆防护,但Source却包一起上传了maven库
生产环境和测试环境混用,导致删了生产数据
买了防火墙,但网络流量不经过防火墙,你能信?

27、逻辑漏洞攻击
这类攻击也很多,比如:
折扣券可以多次消费
通过带一些参数,直接获得更高的折扣
通过带一些参数,可以直接获得任意用户访问的权限
通过带一些参数,直接绕过验证码的防护
只有你想不到,没有他写不出来的逻辑Bug

28、缓存攻击
针对网站缓存特性,构建大量请求,造成缓存击穿或缓存穿透,从而导致网站崩溃

29、杂烩饭式恶意软件
组合使用多种恶意软件技术,进行恶意攻击,并有效防止被查杀。
比如“熊猫烧香”

30、加密货币攻击
挖矿劫持:利用受害者计算资源,给攻击者挖矿
51%攻击:控制网络超过一半的算力,达到操纵交易的目的,越是小的交易网络,越容易被攻击
智能合约漏洞攻击:利用合约中的逻辑漏洞,达到攻击目的,已经发生过多次,每次被攻击者都损失惨重

31、社会工程学攻击
这个是最难防的
就是有目的的与相关人士沟通,获取信任,进而获取权限
手段包括金钱、心理学、信息不对称等,方法通过聊天、电话、视频、语音、邮件,五花八门

常见的终端攻击方法

1、远程桌面攻击
这种攻击在90年代和00年代是十分流行的,当年大家安全意识淡薄,3389端口毫无防护。
就算现在,远程桌面仍然是被重点照顾的对象,毕竟攻破后,太好用了。
一些第三方的远程桌面攻击,被爆出漏洞后,同样给了攻击者极大的遍历,比如某花。

2、共享文件夹攻击
在一些职场内,共享文件夹仍然可以设置为everyone可以访问,这样问题很大。
一方面,有些不应该被共享的资料,会被非法获取
另一方面,也容易被攻击者,利用共享文件夹投毒,访问的人越多,传播越快

3、移动存储攻击
通过U盘,将资料拷贝走

4、PE攻击
通过BIOS设置,通过U盘系统启动,将资料拷走

5、磁盘攻击
将磁盘挂载到其他电脑,将资料拷走

6、打印机
在打印机,读取刚打印出的机密信息,甚至将材料拿走
用网络设备,模拟打印机,进行中间人攻击,可非法获取很多资料

7、屏幕攻击
通过监视、偷拍使用者的屏幕,获取信息的攻击方式

8、文件发送
通过网站上传、邮件附件、聊天工具、文件传输工具、文件分享工具、代码管理工具等,非法获取信息