我们已经准备好了,你呢?

2024我们与您携手共赢,为您的企业形象保驾护航!

今天我们重点练习网络安全基础知识,包括信息收集和弱密码破解。信息收集方面,我们将重点讲解如何收集目录信息。例如,我们将讨论如何解析“域名/路径”等路径信息,尤其是当这些路径信息是我们之前不知道的时候。密码破解方面,我们主要探讨如何通过简单的弱密码破解方法来实现。最后,我还会在讲解过程中介绍一些如何有效防止此类渗透的方法。

我在进行攻防演示时遇到了各种挑战,这次也不例外,但幸运的是,腾讯云客服给了我很大的支持和帮助,耐心地解决了我的问题。正因如此,在上一篇文章中,我主要使用没有域名的IP来测试边缘函数的缓存功能。由于各种问题,我还没有涉及到域名对接和演示Web防护功能,但这篇文章对于刚开始接触边缘函数的人来说也是一个很好的参考:

实用指南:与 HAI 的梦想联系

攻防测试

今天要讲的话题主要涉及到两种常见的场景,第一种是信息收集,也就是用扫描器收集我域名下的目录。在这个阶段,你首先要明白自己要攻击的目标,因为没有目标,怎么进行暴力破解呢?其次,我们来探究一下使用Burp Suite进行密码暴力破解的方法。Burp Suite是常见的破解工具,应用十分广泛。通过这两种方法,我会向大家展示如何设置基本的防护功能,并讲解如何进行拦截。

信息管理

首先要明确一点,不能用别人的域名去攻击,这是违法的。所以只能攻击自己的网站。准备好服务器后,我在网站上安装了一个名为“海洋网站”的CMS,主要用于浏览视频。大家可以在下图中看到网站是什么样子的。

图片

图像

首先我要明白,像Ocean这样的网站,通常都会有一个admin后台,但是这个admin后台通常都是由一串类似宝塔的包含六个随机字符的URL组成,因此我需要使用一个工具来搜索这些URL,这时候我会选择使用,如果大家对此感兴趣的话,可以自行搜索下载这个工具,下载完成后我需要进行一系列的配置,确保工具能够正常运行。

图像

当我配置了10个线程时,这里的设置是针对特定需求的。不过你也可以选择添加更多线程。由于我的域已经配置好了,我们需要将防御规则转换为全局观察状态后再启用,否则我们将无法充分了解其安全防护效果。

我们先来调整一下防护策略,如果没有设置按钮,可能是不在全局策略中,这种情况下需要点击,具体操作如下图所示:

图片

图像

到了这个阶段,我们就可以开始制定规则了,把托管机制变成全局观察,暂时不阻塞。

图片

图像

图片

图像

当启用此选项时,我们将执行一系列强力搜索算法。

图片

图像

由于我们已经使用扫描器进行扫描,确认该问题已被发现。为此,我们将进一步关闭全局观察模式,启用主动拦截和防护功能。此举将有助于加强系统的安全性,提高应对潜在威胁的能力。

图像

这个问题很容易被拦截,如果我的网站没有做好防护,恐怕用户很容易突破安全措施,篡改管理后台接口,从而对网站进行不当操作,这样一来,网站的安全就会受到严重的威胁,用户的敏感信息可能被泄露,甚至造成严重的后果。

用户除了收藏目录之外,还可能收藏各种页面,比如JSP等,因此我做了限流措施,防止这种情况发生。必须适当增加,否则我们网站的安全性将受到严重威胁,可能导致严重的数据泄露或系统被攻击,影响业务稳定性和用户信任度。

图像

这里给大家介绍另外一款简单但有效的工具——御剑,如果不做限制的话,即使是最简单的御剑工具,也很容易搜索到大量的页面,所以需要简单配置一下速率问题,防止受到暴力采集的影响。

在“Web 保护”选项卡中,您可以找到速率限制选项并进行相应的设置。

图片

图像

接下来我们需要匹配后缀并进行相应的设置,以实现访问频率限制。最终在选择策略时,还是要根据个人需求考虑是否采取封禁措施。

图片

图像

当评估保护效果时,很明显它的表现相当出色。

图片

图像

如果该网站目前没有配置安全的话,那么借助暴力搜索,我几乎可以说能够成功获取到admin后台的入口界面。

图片

图像

到了这个阶段,情况已经相当危险了,虽然目录已经转化成了六位随机值,类似宝塔面板的使用方式,但如果系统没有配备有效的安全防护措施,那么现在用户的账号和密码几乎已经暴露了。

暴力破解密码

在这种情况下,我们处于一个极端点,即暴力破解用户名和密码。在这种情况下, 的实现实际上不再是一个主要问题,因为这可以通过安装合适的插件来处理。但是,这不是我们目前的重点。我们要做的是启用,然后仔细查看的保护功能。首先,由于我不知道正确的用户名和密码,我需要使用来捕获数据包并尝试通过暴力破解获取凭据。让我们仔细看看:

图片

图像

我们将从简单地填写一个值开始,然后详细解释如何对密码进行暴力攻击。在此过程中,我们将重点介绍保护机制并深入探索其功能和有效性。

图像

一切准备就绪后,对网站发起攻击。

图像

成功突围后,我们面临的形势相当危险,需要仔细审视问题区域,并采取措施解决其中的问题。

流量分析

这种情况不太可能被系统的托管机制捕获,所以需要我们自己解决。首先我们需要查看当前的 top 5 或者 top 10 流量,来追踪任何可疑的活动线索。毕竟暴力破解需要相当长的时间,如果只使用单个线程进行攻击,速度会非常慢,所以攻击者通常会选择高并发区域进行攻击。这时候分析流量就至关重要了。下面是我对当前流量情况的分析。

图片

图像

观察中发现,后台登录地址的访问频率远超首页,考虑到这是一个视频网站,除了管理员,一般用户不会频繁访问后台登录页面,因此需要限制后台登录页面的访问速度,以保证系统安全。

后台登录速率限制

接下来我们需要对后端登录进行单独配置,加强防护,避免暴力破解。在这个过程中,我们需要特别注意请求方式,因为之前的做法是直接屏蔽整个登录页面,这样可能会影响正常用户的访问。我们其实只需要屏蔽登录按钮,而不是整个页面。这样既保证了我们防护措施的精准性,又避免了不必要的影响。

图片

图像

我们来看看我们所做的调整对安全防护的影响:

图片

图像

所有国外地区均被禁止

我一般会采用比较严谨的安全策略,因为总有点提心吊胆的担心自己的服务器老是被国外攻击的情况。我通常的做法是直接屏蔽所有国外的访问,只允许国内的访问。比如宝塔面板就提供了这样的功能,但是需要针对每个国家单独配置,而它提供了更方便的方法,直接选择除中国大陆以外的所有 IP 地址。切换 IP 地址后,访问一次,确保安全防护效果已经有效落实。

图像

图片

图像

我发现我曾经发送过请求,但是来自国外地址的访问量很大。国外真是可怕啊~

常见问题解决方案

遇到各种问题时,我不仅详细列出,还积极与客服沟通解决,希望这些经验能为大家提供帮助和指导。

无法添加域名

在采取这一步之前,我已经将我的域名解析切换为 ,但仍然面临无法添加域名的问题,如下所示:

图片

图像

这个问题的解决方法是跟客服沟通,最好是非节假日的时候,因为清明期间没有处理。不过我也不着急解决这个问题,所以也没太在意,主要是有些脏数据需要清理一下,等后台人员处理完就可以正常添加了。

安全防护在于观察

我亲自攻击过我的网站,系统检测到了,但仍然没有封锁。请继续关注。

图像

在解决这个问题的时候,我先和客服沟通了一下,沟通之后发现我之前没有关闭全局观察功能,忘记是不是自己打开了,客服告诉我默认关闭了,好的。

图片

图像

根据策略ID

当我们遇到问题时,我们通常倾向于使用文本而不是ID来查找,因为文本更容易记住。但是,存在一些情况,某些策略可能具有相同的文本描述,但对应的ID不同。

图片

图像

解决办法:建议根据ID进行处理,保证请求不被误拦截,以下是官方的解释:

频率无法被阻断

此步骤配置完成后请务必等待5分钟左右配置刷新,在调整速率设置的时候建议延长拦截时间,最好是更长一些,这样才能达到更好的效果。

图像

总结

今天的学习主要集中在网络安全基础知识上,包括信息收集和弱密码破解。在信息收集方面,我们学习了如何收集目录信息,特别是如何解析路径信息。在密码破解方面,我们讨论了使用简单的弱密码破解方法。同时,我也介绍了一些有效的防止渗透的方法。

攻击方面,我们讨论了常见的信息收集、密码破解场景,并使用 Burp Suite 等工具进行了演练,并介绍了 的防护功能,包括目录收集防护、密码暴力破解防护等。

总的来说,今天的学习让我对网络安全基础知识有了更深入的了解,也学到了一些实践经验和解决问题的技巧,相信这些知识和经验对于提高网络安全意识、应对潜在威胁会有很大帮助。

二维码
扫一扫在手机端查看

本文链接:https://by928.com/6034.html     转载请注明出处和本文链接!请遵守 《网站协议》
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。

项目经理在线

我们已经准备好了,你呢?

2020我们与您携手共赢,为您的企业形象保驾护航!

在线客服
联系方式

热线电话

13761152229

上班时间

周一到周五

公司电话

二维码
微信
线