在安全领域,发现问题和搜集重要信息至关重要。审计和探测技术种类丰富,每种都有其独特之处,功能也各有差异。接下来,我会逐一为大家详细讲解。
审计测试方式
漏洞检测主要分为三类:白盒检测、黑盒检测以及灰盒检测。白盒检测,即通过审查源代码来发现应用中的缺陷,例如Seay开发的工具常被用于此类检测,它能够识别存在风险的函数和参数,进而发现漏洞。黑盒检测则通常不涉及源代码的查看,模糊测试技术是其常用手段。至于灰盒检测,则是将白盒和黑盒的检测方法融合在一起运用。
应用输入位置
在使用输入数据时,不论是以参数形式输入,还是通过GET或POST方式,无论是文件上传、网络连接还是数据库操作,用户都可能会直接或间接地对其产生影响。这些环节往往存在安全隐患,因此在进行审计时,必须给予特别注意。
漏洞触发点
存在风险的区域,也就是我们所说的漏洞,亦称作Sink Call。这类漏洞包括文件操作、命令执行、数据库管理等涉及的相关函数。一般情况下,漏洞的触发是输入数据经过筛选,最终导致危险函数的执行。审计工作就是要追踪并揭示这一整个过程。
白盒审计特点
对程序进行风险函数和参数的搜索以发现问题的白盒审查方法,其错误警报率较高。这主要是由于对程序运行细节缺乏深入分析,且通常仅单独研究单个文件,忽视了文件间复杂的相互调用关系。尽管如此,在特定情况下,只要审查人员有耐心,仍能发现大部分漏洞。然而,在高度结构化的代码中,可发现的漏洞数量则相对较少。
不同分析方法
在检测载荷的攻击性时,部分开发者倾向于使用既定的正则表达式规则。然而,语法分析在效率和准确性方面更胜一筹。它能将载荷分解为符号序列,识别出潜在的风险词汇。此外,通过声誉分析,可以排除掉诸如常见虚拟专用网络、匿名代理、Tor节点以及僵尸网络节点的IP地址等可疑来源。在稳定的网络应用中,选用白名单式的Web应用防火墙是个不错的选择,它非常适合处理常见的安全问题;相比之下,黑名单式的WAF更适合应对已知的安全威胁。
信息查询方法
查询域名详情,Whois服务能显示域名是否已被他人注册,并提供域名持有者、注册机构、联系邮箱等详细信息。网络上有不少第三方工具,能帮助我们查找子域名。此外,8.1工具列表中收录了更多实用工具。网站的个人信息、安全防护和设置等,都可能导致数据泄露。若多个域名共用同一张SSL/TLS证书,我们便可通过该证书查阅相关域名资料。若域名传输设置有误,所有用户都可能接触到DNS服务器的域名数据。借助Passive DNS数据库,测试变得可能。此外,通过在不同地方进行ping操作,我们可判断目标是否已部署CDN。而查询域名解析记录,则有助于找到真实IP地址。
你认为这几种审计与信息检测手段中,哪一种在实际运用中效果更突出?欢迎在评论区分享你的观点。同时,别忘了点赞并转发这篇文章。
关于作者