前言

最近一部有关网络安全 (亲爱的热爱的) 的偶像剧火了,最初我刚看的时候以为就是电竞相关的偶像剧.但是看了开头发现这个剧是围绕 CTF(网络安全大赛),
里边就是两个对互相用各种攻击、渗透、漏洞等方法攻击对方服务器,看到这里发现这个剧还挺有意思的.

从前面也能看出,今天的主题就是网络安全相关的介绍和科普.

我们先看两个关于网络安全的小视频.

你们现男友

最小年龄的黑客

网络安全基础

名词解释

漏洞

黑帽子

比如黑客,利用其他人的网络系统漏洞做非法的活动.

白帽子

可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞.

挖矿

非法利用其他的电脑进行构建区块,间接为其生产虚拟货币.

攻击

渗透

模拟黑客攻击，寻漏洞修补加固安全系统.

安全加固

漏洞挖掘

日志分析

逆向

根据已有的东西和结果，通过分析来推导出具体的实现方法.

APT

高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式.

dos 攻击

其目的是使计算机或网络无法提供正常的服务。最常见的 DoS 攻击有计算机网络带宽攻击和连通性攻击.

网络蠕虫

网络蠕虫是一种可以通过网络（永久连接网络或拨号网络）进行自身复制的病毒程序.

中间人攻击

中间人攻击（Man-in-the-MiddleAttack，简称 “MITM 攻击”）是一种 “间接” 的入侵攻击，
这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间.

常见攻击工具

Nmap

Nmap 是被专业人员广泛使用的一款功能全面的端口扫描工具.
https://nmap.org.

安装

yum install nmap

扫描对外开放的服务

nmap -sT -A localhost

判断 ip 是否开放指定端口

nmap -p 8010 127.0.0.1

识别目标主机的操作系统

nmap -O localhost

nmap -sT -A 39.104.122.xx

OWASP

攻击代理工具之一.

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

安装命令

brew cask install owasp-zap

攻击网站

扫描漏洞

Burp Suite

https://portswigger.net/burp

破解对象:http://114.67.xx.xxx:3000

手段:对网站登录做破解

抓包

准备攻击

分析登录

准备破解数据

进行攻击

drozer

Drozer 是一个常用的安全测试框架，它可以分为 2 个部分，一个是 console-它运行在本地的计算机上，一个是 server-它运行在 android 设备上。当你使用 console 与 android 设备交互时，基本上就是 java 代码输入到运行在实际设备上的 drozer 代理（agent）中.

drozer 的 apk

drozer 的服务

Xposed

Xposed 框架 (Xposed Framework) 是一套开源的、在 Android 高权限模式下运行的框架服务，可以在不修改 APK 文件的情况下影响程序运行 (修改系统) 的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作.

Xposed 是动态破解的代表.

修改系统导航栏

hook 方法

安全分析

app 端

静态

启动前修改包内容,篡改应用 api

动态

运行时篡改应用 api

web 端

DVWA

介绍

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用.旨在为安全专业人员测试自己的专业技能和工具提供合法的环境.

模块

提供了 10 个模块:

1.Brute Force--暴力破解

2.Command Injection--命令行注入

3.CSRF--跨站请求伪造

4.File Inclusion--文件包含

5.File Upload--文件上传

6.Insecure CAPTCHA--不安全的验证码

7.SQL Injection--SQL 注入

8.SQL Injection（Blind)--SQL 盲注

9.XSS（Reflected）--（反射型跨站脚本）

10.XSS（Stored）（存储型跨站脚本

搭建

docker run -d -p 8888:80 infoslack/dvwa

账号、密码: admin、password

设置安全级别

命令行攻击

利用代码漏洞,侵入服务器.

命令

127.0.0.1 && ls

分析

查看源码中,能看到对输入参数没有做校验.

CSRF

CSRF（跨站请求伪造),翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息（cookie、会话等）,诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求,从而完成非法操作（如转账、改密等).

攻击语句

诱导用户点击 URL 就能修改密码,比如在点击图片中携带这个 “URL”

http://0.0.0.0:8888/vulnerabilities/csrf/?password_new=111111&password_conf=111111&Change=Change#

在低级的代码中,没有验证码 “cookie” 和 “session”.

SQL 注入

就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令.

攻击语句

?id=a' UNION SELECT first_name,password from users;-- -'

在源码中,直接用 sql 语句拼接.

XSS 攻击

XSS 攻击全称跨站脚本攻击，是为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆，故将跨站脚本攻击缩写为 XSS，XSS 是一种在 web 应用中的计算机安全漏洞，它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中.

攻击语句

<script>alert('hello，gaga!');</script>#

<script>alert("XSS");</script>.

需要使用 FireFox 浏览器打开.

在低级的代码中,没有验证码 “cookie” 和 “session”.

建立安全审查 checklist

建立 chekclist,定期去巡查客户端或 web 端,防范于未然.

包内容审查

逻辑审查

白盒代码扫描

传输加密

接口

sql

结语

现在一些用户体积上规模的公司都会对产品定期做安全测试,当然大公司是有专门的安全部门做安全测试,所以我们作为测试人员应或多或少应该了解一些基础知识,以便不时之需.
随着移动端兴起,网络安全不仅仅是传统的 pc,现在已经蔓延到了移动平台.我们平常用的商品支付、邮件钓鱼、盗号等等,在我们身边无处不在,我们也需要具备这种安全意识.

番外篇: 这个剧其实还挺好看的,大家平时工作累了可以看看放松放松,最后祝大家"七夕快乐,代码没 bug".

参考

nmap 超详细使用指南
https://crayon-xin.github.io/2018/08/12/nmap/超详细使用指南

最好用的 17 个渗透测试工具
https://www.aqniu.com/hack-geek/28188.html

Android app 安全测试调研及执行
https://testerhome.com/topics/2209

【热点】安全群炸了！！！《亲爱的，热爱的》竟用三行代码搞定服务器攻击
https://www.chainnews.com/articles/197174245607.htm