移动安全测试 初识网络安全

xinxi · August 07, 2019 · Last by Benjamin replied at November 27, 2019 · 11319 hits
本帖已被设为精华帖!

前言

最近一部有关网络安全(亲爱的热爱的)的偶像剧火了,最初我刚看的时候以为就是电竞相关的偶像剧.但是看了开头发现这个剧是围绕CTF(网络安全大赛),
里边就是两个对互相用各种攻击、渗透、漏洞等方法攻击对方服务器,看到这里发现这个剧还挺有意思的.

从前面也能看出,今天的主题就是网络安全相关的介绍和科普.

我们先看两个关于网络安全的小视频.

你们现男友

最小年龄的黑客

网络安全基础

名词解释

漏洞

黑帽子

比如黑客,利用其他人的网络系统漏洞做非法的活动.

白帽子

可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞.

挖矿

非法利用其他的电脑进行构建区块,间接为其生产虚拟货币.

攻击

渗透

模拟黑客攻击,寻漏洞修补加固安全系统.

安全加固

漏洞挖掘

日志分析

逆向

根据已有的东西和结果,通过分析来推导出具体的实现方法.

APT

高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式.

dos攻击

其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击.

网络蠕虫

网络蠕虫是一种可以通过网络(永久连接网络或拨号网络)进行自身复制的病毒程序.

中间人攻击

中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,
这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间.

常见攻击工具

Nmap

Nmap是被专业人员广泛使用的一款功能全面的端口扫描工具.
https://nmap.org.

安装

yum install nmap

扫描对外开放的服务

nmap -sT -A localhost

判断ip是否开放指定端口

nmap -p 8010 127.0.0.1

识别目标主机的操作系统

nmap -O localhost

nmap -sT -A 39.104.122.xx

OWASP

攻击代理工具之一.

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

安装命令

brew cask install owasp-zap

攻击网站

扫描漏洞

Burp Suite

https://portswigger.net/burp

破解对象:http://114.67.xx.xxx:3000

手段:对网站登录做破解

抓包

准备攻击

分析登录

准备破解数据

进行攻击

drozer

Drozer是一个常用的安全测试框架,它可以分为2个部分,一个是console-它运行在本地的计算机上,一个是server-它运行在android设备上。当你使用console与android设备交互时,基本上就是java代码输入到运行在实际设备上的drozer代理(agent)中.

drozer的apk

drozer的服务

Xposed

Xposed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作.

Xposed是动态破解的代表.

修改系统导航栏

hook方法

安全分析

app端

静态

启动前修改包内容,篡改应用api

动态

运行时篡改应用api

web端

DVWA

介绍

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用.旨在为安全专业人员测试自己的专业技能和工具提供合法的环境.

模块

提供了10个模块:

1.Brute Force--暴力破解

2.Command Injection--命令行注入

3.CSRF--跨站请求伪造

4.File Inclusion--文件包含

5.File Upload--文件上传

6.Insecure CAPTCHA--不安全的验证码

7.SQL Injection--SQL注入

8.SQL Injection(Blind)--SQL盲注

9.XSS(Reflected)--(反射型跨站脚本)

10.XSS(Stored)(存储型跨站脚本

搭建

docker run -d -p 8888:80 infoslack/dvwa

账号、密码: admin、password

设置安全级别

命令行攻击

利用代码漏洞,侵入服务器.

命令

127.0.0.1 && ls

分析

查看源码中,能看到对输入参数没有做校验.

CSRF

CSRF(跨站请求伪造),翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等).

攻击语句

诱导用户点击URL就能修改密码,比如在点击图片中携带这个“URL”

http://0.0.0.0:8888/vulnerabilities/csrf/?password_new=111111&password_conf=111111&Change=Change#

在低级的代码中,没有验证码“cookie”和“session”.

SQL注入

就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.

攻击语句

?id=a' UNION SELECT first_name,password from users;-- -'

在源码中,直接用sql语句拼接.

XSS攻击

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.

攻击语句

<script>alert('hellogaga!');</script>#

<script>alert("XSS");</script>.

需要使用FireFox浏览器打开.

在低级的代码中,没有验证码“cookie”和“session”.

建立安全审查checklist

建立chekclist,定期去巡查客户端或web端,防范于未然.

包内容审查

逻辑审查

白盒代码扫描

传输加密

接口

sql

结语

现在一些用户体积上规模的公司都会对产品定期做安全测试,当然大公司是有专门的安全部门做安全测试,所以我们作为测试人员应或多或少应该了解一些基础知识,以便不时之需.
随着移动端兴起,网络安全不仅仅是传统的pc,现在已经蔓延到了移动平台.我们平常用的商品支付、邮件钓鱼、盗号等等,在我们身边无处不在,我们也需要具备这种安全意识.

番外篇: 这个剧其实还挺好看的,大家平时工作累了可以看看放松放松,最后祝大家"七夕快乐,代码没bug".

参考

nmap超详细使用指南
https://crayon-xin.github.io/2018/08/12/nmap/超详细使用指南

最好用的17个渗透测试工具
https://www.aqniu.com/hack-geek/28188.html

Android app 安全测试调研及执行
https://testerhome.com/topics/2209

【热点】安全群炸了!!!《亲爱的,热爱的》竟用三行代码搞定服务器攻击
https://www.chainnews.com/articles/197174245607.htm

共收到 23 条回复 时间 点赞

图片看不了

能不能更新下图片

楼主更新下图片吧,都看不了

xinxi #4 · August 08, 2019 作者
fighters 回复

图片已经更新

xinxi #5 · August 08, 2019 作者
stevenxu 回复

图片已经更新 多谢反馈

xinxi #6 · August 08, 2019 作者

图片已经更新.

👍有意思,过来学习哈

写的很细,学习一下,感谢楼主

膜拜

赞一下,最近也在学习这方面的知识。

陈恒捷 将本帖设为了精华贴 13 Aug 23:58

写得挺全面的,加个精便于更多人看到。

虽然我看不懂 但是感觉很牛逼

写的真不错,已经收藏。向楼主学习。

很不错,感谢分享这么多,不用去其他地方找了

总结的好全面,学习了

不错不错,学习了


可以试试这个

谢谢楼主分享

不错的安全测试分享,很赞

哈哈哈哈 这个剧一集不落看完了的,甜甜的,虽然还看不懂这方面的知识

安全知识技能很全,要好好实践下,感谢分享。

😅 怎么说看了文章能获得想要的东西,说了大方向普及小白能快速入门了解,不过呢部分专业的知识还是需要深入的了解才能晓得。

前段时间接触的一个安全软件的项目,关于wifi安全的。ssl攻击、arp攻击、ssl strip攻击、DNS安全检查。被测软件的部分功能设计到一些专业词汇

需要 Sign In 后方可回复, 如果你还没有账号请点击这里 Sign Up