记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Webshell安全检测篇(2)-深入用户的内心

2015-11-09 12:30

前篇:http://www.sec-un.org/webshell-security-testing-1-based-traffic-detection.html

一、WEBSHELL是什么?意味着什么?

  不同人的视角里,Webshell是什么?

  • 程序员:一个可以执行的web脚本文件。意味着:就是个脚本。
  • 黑客:一个可以拿来控制网站的东西。意味:网站已经搞定,尽量隐藏自己的身份别被发现,同时可以进行后续的破坏行为。
  • 用户(站长): 发现了Webshell,麻烦来了,认真的管理员都会想到很多很多的问题。网站有漏洞,已经被别人攻击了。我该怎么办?

二、Webshell检测工具和产品(系统)的区别在哪?

  网上有各种各样的开源和免费工具,暂且不说他们的识别率。这些东西为什么仅仅是一个工具?

Webshell安全检测篇(2)-深入用户的内心 - 第1张  | Sec-UN 安全圈


  笔者认为,工具为什么叫工具,主要以下特点:

  • 只能解决非常有针对性的问题;
  • 使用工具需要预备很多的技术积累和安全知识;(非专业人士用不起来)
  • 只会呈现专业结果,解决问题依然需要很多的能力和知识积累。(非专业人士用不起来)
  • 工具没有充分考虑用户的需求场景和用户体验。

三、用户的真正需求是什么?

  理解用户需求确实很深入的一门艺术,用户需求分析其实非常体现一个产品经理或决策人的视野和能力。这个需求是刚需?还是非刚需?是显性需求还是隐性需求?是用户的需求还是用户的需求?需求的紧迫度如何?需求频度呢?(现在都讲用户粘性,低频度的需求很难热卖)是点上的需求还是面上的需求?解决的是用户的痛点和痒点?不要把痛点和痒点混为一谈,痛点是雪中送炭,痒点是锦上添花。(有点跑题,掰扯多了,充分了解需求,从人性角度出发的产品才能更为市场接受)。

就Webshell而言,用户说要检测Webshell,为什么要检测Webshell?用户说要分析日志,为什么要分析日志?目标群体是站长(管理员)的话,他们关心什么。他们心里其实是一连串的问号。

  •  我们的网站是不是被人搞了?
  •  这个黑客是哪里来的?怎么入侵进来的?为什么要攻击我?进来都干了什么?(黑客是谁?从那里来?想干什么?)
  •  网站到底有什么漏洞?如何修复漏洞,不让黑客进来?
  •  黑客进来了,可能干了很多坏事,偷走了数据,可能监听窃听了内网很多敏感信息。
  •  还有没有其他漏洞存在,别被黑客再攻击进来?
  • 有没有其他同区域的系统遭受攻击
  • 为避免后遗症,是否需要修改系统口令,设置权限等相关的安全提升措施。
  •  ……

  简单说我受破坏的程度,如何避免不再出现类似情况,同时关心黑客的来源身份手段等信息(黑客画像)

所以Webshell检测系统我们要做的到底是什么?是覆盖WEB类安全事件事后处置的一个平台(或服务)。
主要的功能:

  • 监测网站是不是被人入侵了。
  • 根据流量找出攻击者的IP地址。
  • 结合外部威胁情报对攻击者进行画像,给用户全面的信息。
  • 基于流量可以还原攻击场景。
  • 根据攻击场景分析网站存在什么漏洞。
  • 根据漏洞给用户提供修补加固方案。

四、用户想要的是什么效果?

  • 告警准确(该报的报 不该报的不报)。
  • 告警直观、形象。(可视化好)
  • 部署成本小:最好0成本部署,或者便利的接入
  • 告警获取方便(比如微信、短信通知)。(用户才没时间天天去看产品的界面,以后监控类的产品告警信息是不是几乎都不要界面了,或者扔几个牛逼的可视化图让领导看,当然统计类的报表还是需要的)
  • 告警处理方便:一键式的处理导向,看到告警,我按照自动化的一键式场景,可以方便的自动或人工去处理webshell事件。(傻瓜化处理)

  再往俗的说五点:管用、好看、省事、便利、好使。 

Webshell安全检测篇(2)-深入用户的内心 - 第2张  | Sec-UN 安全圈

  下片导言:

  当下的安全攻防一个特点就是,未知攻击会越来越多,你所面临的攻击工具可能是从来没有使用过(或者身边的监控视野范围没有看到过),你手上的webshell样本再多,攻击者总是能制作出新的更轻量级功能更全的webshell,如何发现未知的webshell?如何做到天网恢恢疏而不漏?

请见后续《Webshell安全检测篇(3)-基于行为分析来发现“未知的Webshell”》。

知识来源: www.sec-un.org/webshell-security-testing-2-go-deep-inside-the-user.html

阅读:102846 | 评论:0 | 标签:安全威胁情报 安全技术 安全方案

想收藏或者和大家分享这篇好文章→复制链接地址

“Webshell安全检测篇(2)-深入用户的内心”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词