议题列表
- 打造自适应攻击验证系统 (携程 信息安全部 凌霄)
- 携程业务安全防范与防御 (携程 信息安全部 杨再三)
- 金融科技安全架构演进 (京东金融 刘明浩)
- 构建企业无线安全防御体系 (360 Pegasus Team 柴坤哲)
- OSSEC与 Webshell 监控的探索 (易果生鲜 涂宏伟)
其他
现场搭建了GSM短信嗅探
默认情况下,某些验证码发送渠道是走GSM(2G)的,容易被嗅探。
术语
BU (业务部门)
UAT环境 ???
ROI ???
打造自适应攻击验证系统
与天眼类似,进行了流量镜像,对HTTP流量进行解析,文件进沙箱检测。
(疑似攻击者)访问的URL都会被SQLmap检测,以判断是否存在注入漏洞。
另外对URL进行了去重。
比如http://example.com/a.php?id=1&aid=200与http://example.com/a.php?id=2&aid=2002会被认识为是同一种URL。
不仅考虑了URL参数,也考虑了HTTP的data域是json格式的情况。
URL去重的大致思路是
去掉参数的具体值
对参数进行重新排序
然后进行消息摘要处理(md5,sha1)
对于越权攻击
主要是替换成攻击者的cookie,看看是否存在越权情况。
另外在web服务器指纹(web application fingerprinting)方面,在SSL处,不仅考虑了SSL证书发布者,相关子域名列表,还包括SSL协商方式等。
几个不错的组件
- Nmap
- Pocsuite
- msf
- bugscan
缺点
绕过这种攻击验证系统的思路
DNS隧道
ICMP隧道
无法验证ssrf
携程业务安全防范与防御
主要讲携程的验证码系统和帐号风控系统的整合演进过程。
验证码由前端js实现,可以动态切换多类型(滑块验证码, 选字验证码, 填字验证码)
针对用户不同的风险等级使用不同的验证方式,
然后是有规则平台,随时可以根据 IP,user-agent 等快速响应添加新的风控规则。
金融科技安全架构演进
讲一个中大型企业的整体安全架构设计,涉及面比较广。
提到了 企业内部通讯/管理软件(京东小蜜) 兼具 DLP(数据放泄漏) 的作用。
如果用户将敏感数据传输到百度云或者其他方式会有日志记录。
还提到了一些具体的风控规则
比如用户大额多次购买 点卡/充值卡 等商品时,会将用户 IP定位确定的经纬度 与 手机GPS确定的经纬度 进行对比。
构建企业无线安全防御体系
主要是关于天巡系统的起源
aircrack-ng 发送的 802.11 协议头是有特征的
和真实的 802.11 数据头有区别。某些可选字段,aircrack-ng 是全部用00填充。
所以 使用 aircrack-ng 的攻击行为是有明显特征且易被发现的。
另外利用KVM以虚拟机的方式制造了高交互蜜罐
对用户各种敏感操作都进行了日志记录 (如果自己改写一个cmd.exe呢, 是否是直接捕获到相关系统调用)
Cuckoo 开源恶意软件分析沙盘
Cuckoo是一个轻量级的windows二进制文件行为自动动态分析工具。它能够给出程序运行过程中详细的关键API调用和网络活动。
攻击者画像
对攻击者的浏览器指纹探测
包括安装了哪些浏览器插件
JavaScript ajax (后台)访问一些常见社交网站
腾讯、微博,利用浏览器的自动填充功能,获取攻击者的社交网络帐号
启示
不要混用 你平时上网用的浏览器 和 渗透时使用的浏览器 。
OSSEC与 Webshell 监控的探索
主要讲了 利用 OSSEC 对大量主机特定目录的文件修改情况进行监控,并适时告警。
另一方面也说了 OSSEC 有很多坑。
