- 博客(27)
- 收藏
- 关注
RSS订阅原创 初识ATT&CK
初识ATT&CK框架前言:ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上,接下来的三期内容,美创安全实验室将为大家带来ATT&CK模型的独家解读,好了,废话不多说Let‘s go!但是要是想完全弄懂ATT&CK模型到底是什么,那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。
2020-05-12 15:50:47
2937
2
原创 零信任技术进阶篇(关键技术及挑战)
零信任技术进阶篇(关键技术及挑战)前言:在上一篇文章中我们已经详细介绍过“零信任架构”的发展过程和逻辑组成。“零信任网络”模型自2010年被John Kindervag创建后,发展至今已有10年时间,随着零信任的支撑技术逐渐成为主流,随着防护企业系统及数据安全的压力越来越大,随着网络攻击演变得更加复杂高端,零信任模型也在CIO和CISO中间愈加流行了。那么有关“零信任网络”中的技术您是否有所了解呢?美创安全实验室将在本篇文章带大家了解一下“零信任网络”中的关键技术和技术难点。零信任理论所需技术在各种
2020-05-12 15:41:24
1071
原创 初识“零信任安全网络架构”
初识“零信任安全网络架构”一、前言:“零信任网络”(亦称零信任架构)自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起,便一直处于安全圈的“风口浪尖”处,成为众人不断争议与讨论的对象,有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地,但无论“零信任”如何饱受争议,不可否认的是随着“零信任”的支撑技术逐渐发展,这个从前只存在于理论上的“安...
2020-04-24 15:41:36
4137
原创 勒索软件Snatch攻击原理分析
勒索软件Snatch攻击原理分析0x00 前言近日有国外安全研究人员发现了一款名为“Snatch”的勒索软件,该勒索软件利用Windows的功能来绕过安装在PC上的安全软件,同时将本身的恶意程序作为服务自启项,从而对PC进行全盘加密,最后向受害者勒索比特币。截止到10月中旬,Sophos安全公司已经收到了12例关于该勒索软件的反馈报告,要求比特币赎金在2900美元至51000美元之间。在安全...
2020-04-24 15:16:23
1067
原创 Android勒索软件分析
Android勒索软件分析0x00 前言在2019年7月31日,安全厂商ESET的研究人员Lukas Stefanko探测到了一款针对Android用户的新型勒索软件Filecoder.C,此病毒第一次出现在Reddit和Android开发者论坛XDA Developer上,再透过受害者手机大量散布。截止至目前为止,大约有230万人次已被确认“中招”,而有趣的是即使受害者乖乖交了几百美金的“赎...
2020-04-24 15:11:07
862
3
原创 安卓Activity劫持与反劫持
安卓Activity劫持与反劫持0x00前言近日,挪威一家APP安全公司Promon发现并报道了一个特性漏洞已经被多个恶意应用利用的分析报告,他们通过监测发现该漏洞使恶意软件可以伪装成任何合法的应用程序,从而使黑客可以访问私人短信和照片,窃取受害者的登录凭据,跟踪位置或记录电话对话,甚至可以通过手机摄像头和麦克风进行监视。研究人员将该漏洞命名为StrandHogg,这是北欧人的一种北欧海盗...
2020-04-24 15:02:12
789
原创 基于STRIDE威胁建模的安全通信问题
基于STRIDE威胁建模的安全通信问题本文是以美创安全实验室在深度了解STRIDE威胁建模的基础上,结合当今普遍关注的安全通信的痛点,对HTTPS这一安全通信的解决方案进行深度剖析集成而来。0x00 前言STRIDE是微软开发的用于威胁建模的工具,在介绍威胁建模之前,我们需要先行了解两个重要的概念:安全属性与安全设计原则。充分理解后我们将结合安全通信的具体解决方案HTTPS协议,从威胁建模的...
2020-04-13 09:58:30
1174
原创 Java反射机制与安全问题
Java反射机制与安全问题0x00前言近日,笔者在总结Java反序列化漏洞的过程中发现一个怎么也绕不开的词“Java反射机制“,以前笔者只知道这是一个实现Java”准动态“语言,方便开发人员调试程序的机制而已,没想到“反射”竟成了反序列化漏洞攻击的手段之一,所以在这篇文章中好好的总结一下,反射机制的原理以及存在还哪些安全问题。反射机制思维导图:0x01 Java反射机制定义Java反射...
2020-04-13 09:47:08
4378
原创 Kerberos KDC域权限提升漏洞总结
Kerberos KDC域权限提升漏洞总结0x00 漏洞起源Windows Kerberos对kerberos tickets中的PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过Kerberos KDC(Key Distribution Center)的验证,攻击成功使得攻击者可以提...
2020-04-13 09:29:20
954
1
原创 XPath注入攻击原理及防御
XPath注入攻击原理及防御0x01 什么是XPathXPath 即为 XML 路径语言,是 W3C XSLT 标准的主要元素,它是一种用来确定 XML(标准通用标记语言的子集)文档中某部分位置的语言。XPath 基于 XML 的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的能力,可用来在 XML 文档中对元素和属性进行遍历。0x02 XPath...
2020-04-13 09:09:53
1465
原创 XXE漏洞攻防原理
XXE漏洞攻防原理方便永远是安全的敌人你的知识面,决定你的攻击面0x01 简述XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。而...
2019-11-05 16:29:49
854
原创 PHP远程代码执行漏洞分析(CVE2019-11043)
PHP远程代码执行漏洞分析(CVE2019-11043)近日,美创安全实验室监测到PHP官方披露了Nginx + php-fpm部分配置下存在的远程代码执行高危漏洞(CVE2019-11043),攻击者可利用该漏洞对目标网站进行远程代码执行攻击。虽然此漏洞的影响面有限,但由于配置文件的开放性,还请使用niginx + php-fpm的运维人员及时做好自检自查工作。0x00漏洞时间线9月1...
2019-10-28 16:44:17
1883
2
原创 SQL注入之宽字节注入
SQL注入之宽字节注入0x01简介SQL注入近几年来连续被OWASP当作十大漏洞中最最危险的漏洞而存在。无论是从数据库中获得敏感信息还是执行一系列的恶意操作甚至是直接获取整个数据库权限,都可能发生在一次小小的提交参数的过程中。为此大多数网站开始对于SQL注入做了一定的防御方法,最早有人提出,将用户提交的所有敏感字符进行过滤和转义,要么将提交参数中的敏感字符过滤掉后再提交给数据库,要么对那些敏...
2019-10-24 13:40:43
741
原创 CORS漏洞原理分析
CORS跨域漏洞原理分析CORS全称为Cross-Origin Resource Sharing即跨域资源共享,用于绕过SOP(同源策略)来实现跨域资源访问的一种技术。而CORS漏洞则是利用CORS技术窃取用户敏感数据。以往与CORS漏洞类似的JSONP劫持虽然已经出现了很多年,但由于部分厂商对此不够重视导致其仍在不断发展和扩散。美创安全实验室近期监控到全国各地类似于JSONP劫持或CO...
2019-10-24 13:33:19
5744
1
原创 WEB页面解析流程全分析
1. 理解域名解析的整个过程解析过程:(1)向ISPDNS或本地电脑网络设置的DNS服务器发起查询www.baidu.com域名请求(2)ISPDNS接收到请求后,检查自己的缓存中是否有该域名对应的地址记录。若存在 记录直接返回ip地址,但此记录会被标记为非权威服务器的应答。(3)若DNS服务器没有此域名的记录,ISPDNS会从配置文件中读取13个根域名服务器的地址(【A-...
2019-09-27 15:41:20
1069
原创 APT34-Glimpse与DNS隧道问题
APT34-Glimpse与DNS隧道问题背景:2019年4月18日,某黑客组织使用Lab Dookhtegan假名,在Telegram频道上出售APT34团队的黑客工具,成员信息,相关基础设施,攻击成果等信息,引发业界威胁情报及Red Team领域的安全人员强烈关注。其中APT34也被称为OilRig (Crambus,“人面马”组织,Cobalt Gypsy),是一个来自于伊朗的APT...
2019-09-27 15:30:49
394
原创 DLL远程线程劫持注入技术解析
十大进程注入(一)DLL远程线程劫持注入技术解析进程注入是一种广泛应用于恶意软件或无文件攻击中的躲避检测的技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性、同时一些技术也实现了持久化。而所谓的DLL注入是诸多进程注入方法中最常用的技术。恶意软件将恶意的动态链接库的路径写入另一个进程的虚拟地址空间内,通过在目标进程中创建远程线程来确保远程进程加载它。而因为DLL本身是由...
2019-09-23 10:53:53
1135
原创 基于辅助功能的镜像劫持攻击原理
基于辅助功能的镜像劫持攻击原理在杀毒软件日益完备的互联网中,那些大部分以加载系统启动项为主要攻击手段的的普通病毒和木马越来越难以攻破用户的防御屏障,但与此同时,有一些病毒却“剑走偏锋“,不仅绕过了杀毒软件的检测,还在隐藏自己的同时攻破了系统。这些病毒是如何抓住用户心理,一步步突破了用户系统。接下来,通过本篇文章,美创第59号安全实验室将为大家剖析基于辅助功能的镜像劫持攻击原理,向大家展现还原这...
2019-09-23 10:49:32
447
原创 java反序列漏洞原理分析及防御修复方法
Java反序列化漏洞原理谈起java反序列化漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的反序列化漏洞。具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
2019-09-06 16:13:25
12541
原创 文件上传漏洞攻击与防范方法
文件上传漏洞攻击与防范方法文件上传漏洞简介:文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。文件上传漏洞危害:上传漏洞与SQL注入或 XSS相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者上传...
2019-08-30 17:04:20
46060
4
原创 报错注入的原理分析
报错注入的原理分析SQL报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。这种手段在联合查询受限且能返回错误信息的情况下比较好用。使用报错注入的前提:页面上没有显示位但是有sql语句执行错误信息输出位。使用mysql_error()函数,可以返回上一个Mysql操作产生的文本错误信息。MYSQL报错注入的分类:BIGINT等数据类型溢出xpat...
2019-08-30 16:45:57
5298
1
原创 基于时间的盲注原理简介
基于时间的盲注盲注简介盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。盲注原理盲注的本质就是猜解,在没有回显数据的情况下,我们只能靠‘感觉’来体会每次查询时一点点细微的差异,而这差异包括运行时间的差异和页面返回结果的差异。对于基于布尔的盲注来说,我们可以构造一条注入语句来测试我们输入的布尔表...
2019-08-30 16:11:33
6484
1
原创 nmap攻击技术原理简述
Nmap扫描原理简介Nmap(NetWork Mapper)最初是由Fyodor在1997年创建的一款开源免费的网络发现和安全审计工具。随后在开源社区众多的志愿者参与下,该工具逐渐完善并成为了最为流行的安全必备工具。Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它已成为网络管理员用以评估网络系统安全的必备工具之一。Nmap的四大基本...
2019-08-16 16:21:50
8496
原创 触屏劫持技术原理简述
触屏劫持发展过程:移动智能终端设备由于体积限制,一般都没有鼠标、键盘这些输入设备,用户更多的操作是依靠手指在触屏上的点击或滑动等动作完成。在移动设备上,类似点击劫持的攻击模式,实现了对用户触摸屏操作的劫持攻击,即界面操作劫持攻击的又一种形式——触屏劫持。2010年斯坦福公布触屏劫持攻击。通过将一个不可见的iframe覆盖到当前网页上就可以劫持用户的触屏操作。由于手机屏幕范围有限,手机浏览器为了...
2019-08-15 11:27:48
494
原创 拖放劫持技术原理简述
拖放劫持发展历程:在2010的Black Hat Europe大会上,Paul Stone提出了点击劫持的技术演进版本:拖放劫持。由于用户需要用鼠标拖放完成的操作越来越多(如复制粘贴、小游戏等等),拖放劫持大大提高了点击劫持的攻击范围,将劫持模式从单纯的鼠标点击拓展到了鼠标拖放行为。最主要的是,由于拖放操作不受浏览器“同源策略“影响,用户可以把一个域的内容拖放到另一个不同的域,由此攻击者可能通...
2019-08-15 11:17:12
733
原创 点击劫持技术原理简述
界面劫持概念简述:界面操作劫持攻击实际上是一种基于视觉欺骗的web会话劫持攻击,核心在于使用了标签中的透明属性,他通过在网页的可见输入控件上覆盖一个不可见的框,使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,达到窃取信息,控制会话,植入木马等目的。界面劫持发展过程:(点击劫持)点击劫持又称UI-覆盖攻击,是2008年由互联网安全专家罗伯特·...
2019-08-15 11:06:50
3087
原创 Centos7+oracle11g配置,外加sql学习
Centos7+oracle11g配置,外加sql学习(一) oracle+centos7环境配置:创建用户组oinstall创建用户组dba创建oracle用户,并加入到oinstall和dba用户组设置用户oracle的登陆密码,不设置密码,在CentOS的图形登陆界面没法登陆,并查看新建的oracle用户5. 创建oracle数据库安装目录6. 设置目录所有者为oi...
2019-08-08 11:41:38
773
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人