theme: channing-cyan
今天我们将专注于网络安全基础知识的练习,包括信息收集和弱口令密码破解。在信息收集方面,我们将重点介绍目录信息的收集方法。例如,我们会讨论如何解析类似于"https://域名/path"这样的路径信息,特别是当这些路径信息是我们之前未曾了解的情况下。而在密码破解方面,我们将主要探讨通过简单的弱口令破解方法来实现。最后,我也会在讲解的过程中顺带介绍一些如何有效防范这种渗透的方法。
在进行攻防演示时,我遇到了各种挑战,EdgeOne也不例外,但幸运的是,腾讯云客服给予了我极大的支持和帮助,他们耐心解决了我的问题。正因如此,我在上一篇文章中主要测试了利用无域名方式的 IP 的边缘函数的缓存功能。由于各种问题导致我还没有涉及域名对接并展示 web 防护功能,但这篇文章对于那些刚开始接触边缘函数的人来说也是一个很好的参考资料:
实践指南:EdgeOne与HAI的梦幻联动 - 掘金 (juejin.cn)
攻防测试
今天我要谈论的主题主要涉及两种常见的方案。首先是信息收集,也就是使用扫描器收集我域名下的目录。在这个阶段,你必须先了解你要攻击的目标,因为没有目标,你又怎么可能进行暴力破解呢?其次,我们会探讨使用Burp Suite进行密码暴力破解的方法。Burp Suite作为一款常见的破解工具,使用广泛。通过这两种方式,我将向你展示如何设置基本的防护功能,并解释EdgeOne是如何进行拦截的。
信息打点
首先,我们必须明确一点,我们不能使用他人的域名进行攻击,这是违法行为。因此,我们只能攻击我们自己的网站。在准备好服务器之后,我在网站上安装了一个名为“海洋网站”的CMS,主要用于浏览视频。你可以在下图中看到网站的外观。
首先,我得明白海洋这类网站通常都会有一个管理后台。不过,这个管理后台通常由一串包含六位随机字符的类似于宝塔的URL组成。因此,我需要使用一个工具来对这些URL进行搜索。这时候,我会选择使用DirBuster。如果你对此感兴趣,可以自行搜索并下载这个工具。下载完成后,我需要进行一系列的配置,确保工具能够正常运行。
当我配置了10个线程时,这里的设置是针对特定的需求。然而,你也可以选择增加更多线程。由于我的域名已经配置了Edgeone,因此在启用之前,我们需要先将Edgeone的防御规则转换为全局观察状态。否则,我们将无法充分了解其安全防护效果。
让我们首先对防护策略进行调整。如果您没有设置按钮,可能会进入的不是全局策略。在这种情况下,您需要点击一下,具体操作如下图所示:
当我们进入这个阶段时,我们可以开始设置规则了。我们将托管机制转变为全局观察,暂时不进行拦截。
在启用此选项后,我们将执行一系列暴力搜索算法。
由于我们采用扫描器进行扫描,已确认EdgeOne已探测到该问题。为此,我们将进一步关闭全局观察模式,使EdgeOne能够启用主动拦截和防护功能。这一举措将有助于加强系统的安全性,提高对潜在威胁的应对能力。
很容易就能够拦截下来这一问题。若我的网站未经EdgeOne防护,恐怕用户很容易便能够突破安全措施,进而篡改管理后台界面,从而对网站进行不当操作。这种情况下,网站的安全性将受到严重威胁,用户的敏感信息可能遭受泄露,甚至引发严重的后果。
除了收集目录外,用户还可能收集各种页面,如JSP等。因此,我实施了速率限制措施以防止这种情况发生。必须要进行适当的增加,否则我们的网站安全将受到严重威胁,可能导致严重的数据泄露或系统遭受攻击,影响业务稳定性和用户信任度。
在这里,我想顺便介绍另一个简单但有效的工具——御剑。如果你不对其进行限制,即使是最简单的御剑工具也能够轻易搜索到大量页面。因此,我们有必要简单配置一下速率问题,以防止遭受暴力收集行为的影响。
在Web防护页签中,您可以找到速率限制选项进行相应设置。
接下来,我们需要对后缀进行匹配,并进行相应设置,以实施访问频率限制。最终,在选择策略时,应根据个人需求考虑是否采取拦截措施。
在评估防护效果时,可以明显看到其表现相当出色。
如果网站当前没有配置EdgeOne的安全防护,那么借助暴力搜索的方法,我几乎可以肯定地说我将能够成功获取到管理后台的入口界面。
在这个阶段,情况已经相当危险了。尽管目录已经被转换成了六位随机值,类似于宝塔面板的方式,但如果系统没有配备有效的安全防护措施,那么现在几乎就差用户的账号密码被暴露了。
暴力破解密码
在这种情况下,我们正处于一种极端状态,即暴力破解用户名和密码的阶段。在这种情况下,验证码的实施实际上已经不再是主要问题,因为可以通过安装一个适用于burp_suite的插件来应对。然而,这并非我们此时的重点。我们要做的是启动burp_suite,然后仔细观察EdgeOne的防护功能。首先,由于我并不知道正确的用户名和密码,所以我需要使用burp_suite来捕获数据包,并尝试通过暴力破解来获取凭证。让我们来详细了解一下:
首先,我们先简单地填入一个数值,然后通过详细的解释,逐步展示如何进行密码的暴力破解攻击。在此过程中,我们将重点关注 EdgeOne 的防护机制,并深入探讨其功能及其有效性。
在一切准备就绪之后,展开对网站的攻击。
在成功突破之后,我们面临了一种相当危险的情况,因此我们需要仔细审查问题区域,并采取措施来解决其中的问题。
EdgeOne流量分析
这种情况不太可能被系统的托管机制所捕捉到,因此我们需要自己来解决。首先,我们需要查看当前排名前5或前10的流量情况,以便追踪任何可疑的活动线索。毕竟,暴力破解需要耗费相当的时间,如果仅使用单线程进行攻击,速度会非常缓慢,因此攻击者通常会选择高并发区进行攻击。这时候,分析流量就显得至关重要了。以下是我对当前流量情况的分析。
在观察中发现,后台登录地址的访问频率远远超过了首页的访问量。考虑到这是一个视频网站,除了管理员之外,一般用户不会频繁访问后台登录页面。因此,有必要限制后台登录页面的访问速度,以确保系统安全性。
后台登录速率限制
接下来,我们需要针对后台登录进行单独配置,以加强防护,避免遭受暴力破解攻击。在此过程中需要特别留意请求方式,因为之前的做法是直接封禁了整个登录页面,这可能会影响到正常用户的访问。我们实际上只需要针对登录按钮进行封禁,而不是整个页面。这样可以确保我们防护措施的精确性,避免不必要的影响。
再来看一下我们所做的调整对安全防护效果的影响:
国外地区全封禁
我通常会采取一种更加严谨的安全策略,因为对于自己的服务器总是遭受外国攻击这种情况,我总是显得有些战战兢兢。我的常规做法是直接将国外的访问全面封禁,只允许国内的访问。举例来说,像宝塔面板提供了这样的功能,但需要逐个国家进行单独的配置,而 EdgeOne 则提供了一种更为便捷的方法,可以直接选中除了中国大陆以外的所有IP地址。在进行完IP地址的切换后,访问一次,以确保安全防护效果得到了有效的实施。
我注意到,我已经发送了一次请求,但是有大量来自国外地址的访问。国外真可怕~
常见问题处理
当我遭遇到各种问题时,我不仅将其详细列举出来,而且积极与客服进行沟通,以便解决。我希望这些经验可以为其他人提供帮助和指导。
域名无法添加
在进行这一步之前,将我的域名解析切换到了EdgeOne,但是仍然面临无法添加域名的问题,具体情况如下所示:
解决这个问题的方法是需要与客服进行沟通,最好是在非节假日的时间进行,因为在清明节期间并未得到处理。尽管如此,我并不急于解决这个问题,因此也没有太在意。主要的原因是存在一些脏数据需要清理,待后台人员完成处理后,即可正常添加。
安全防护全是观察
我已经亲自攻击了我的网站,并且也被系统检测到了,但仍未受到任何拦截。一直在观察。
在解决这个问题时,我首先与客服进行了沟通。在交流后,我发现自己之前并没有关闭全局观察功能。我已经忘记了是否是我自己打开了这个功能。客服告诉我默认情况下是关闭的,好吧。
以策略ID为主
当我们遇到问题时,通常会更倾向于使用文字而不是ID进行查找,因为文字更容易记忆。然而,存在一种情况,即某些策略可能具有相同的文字描述,但其对应的ID却不同。
解决方法:我们建议以ID为主来进行处理,确保不会误拦截请求。以下是官方提供的解释:
- 对于ID 4401214204:我们进行检测以防OpenVAS、WhatWeb、阿里云、天融信等扫描器的存在。
- 对于ID 4345943414:我们进行检测以防sqlmap、nessus、arachni、sql power injector、AWVS、appscan等扫描器的存在。
- 对于ID 4401215204:我们进行检测以防nmap、wikto、gobuster、network-services-auditor等扫描器的存在。
频率拦截不住
在这一步,请务必注意,在完成配置后,耐心等待大约5分钟以便进行配置的刷新。在调整速率设置时,建议将拦截时间延长,最好设置得更长一些,这样可以获得更好的效果。
总结
今天的学习重点是网络安全基础知识,包括信息收集和弱口令密码破解。在信息收集方面,我们学习了目录信息的收集方法,特别是如何解析路径信息。在密码破解方面,我们讨论了使用简单的弱口令破解方法。同时,我也介绍了一些有效的防范渗透的方法。
攻击方面,我们讨论了信息收集和密码破解的常见方案,并使用DirBuster和Burp Suite等工具进行实践。我们还介绍了EdgeOne的防护功能,包括目录收集的防护和密码暴力破解的防护。
总的来说,今天的学习让我对网络安全基础知识有了更深入的了解,并学到了一些实践经验和问题处理技巧。我相信这些知识和经验对于提高网络安全意识和应对潜在威胁非常有帮助。