今天我們將專注于網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)的練習(xí)，包括信息收集和弱口令密碼破解。在信息收集方面，我們將重點(diǎn)介紹目錄信息的收集方法。例如，我們會(huì)討論如何解析類似于"https://域名/path"這樣的路徑信息，特別是當(dāng)這些路徑信息是我們之前未曾了解的情況下。而在密碼破解方面，我們將主要探討通過簡單的弱口令破解方法來實(shí)現(xiàn)。最后，我也會(huì)在講解的過程中順帶介紹一些如何有效防范這種滲透的方法。

在進(jìn)行攻防演示時(shí)，我遇到了各種挑戰(zhàn)，EdgeOne也不例外，但幸運(yùn)的是，騰訊云客服給予了我極大的支持和幫助，他們耐心解決了我的問題。正因如此，我在上一篇文章中主要測試了利用無域名方式的 IP 的邊緣函數(shù)的緩存功能。由于各種問題導(dǎo)致我還沒有涉及域名對接并展示 web 防護(hù)功能，但這篇文章對于那些剛開始接觸邊緣函數(shù)的人來說也是一個(gè)很好的參考資料：

實(shí)踐指南：EdgeOne與HAI的夢幻聯(lián)動(dòng)

攻防測試

今天我要談?wù)摰闹黝}主要涉及兩種常見的方案。首先是信息收集，也就是使用掃描器收集我域名下的目錄。在這個(gè)階段，你必須先了解你要攻擊的目標(biāo)，因?yàn)闆]有目標(biāo)，你又怎么可能進(jìn)行暴力破解呢？其次，我們會(huì)探討使用Burp Suite進(jìn)行密碼暴力破解的方法。Burp Suite作為一款常見的破解工具，使用廣泛。通過這兩種方式，我將向你展示如何設(shè)置基本的防護(hù)功能，并解釋EdgeOne是如何進(jìn)行攔截的。

信息打點(diǎn)

首先，我們必須明確一點(diǎn)，我們不能使用他人的域名進(jìn)行攻擊，這是違法行為。因此，我們只能攻擊我們自己的網(wǎng)站。在準(zhǔn)備好服務(wù)器之后，我在網(wǎng)站上安裝了一個(gè)名為“海洋網(wǎng)站”的CMS，主要用于瀏覽視頻。你可以在下圖中看到網(wǎng)站的外觀。

image

首先，我得明白海洋這類網(wǎng)站通常都會(huì)有一個(gè)管理后臺(tái)。不過，這個(gè)管理后臺(tái)通常由一串包含六位隨機(jī)字符的類似于寶塔的URL組成。因此，我需要使用一個(gè)工具來對這些URL進(jìn)行搜索。這時(shí)候，我會(huì)選擇使用DirBuster。如果你對此感興趣，可以自行搜索并下載這個(gè)工具。下載完成后，我需要進(jìn)行一系列的配置，確保工具能夠正常運(yùn)行。

image

當(dāng)我配置了10個(gè)線程時(shí)，這里的設(shè)置是針對特定的需求。然而，你也可以選擇增加更多線程。由于我的域名已經(jīng)配置了Edgeone，因此在啟用之前，我們需要先將Edgeone的防御規(guī)則轉(zhuǎn)換為全局觀察狀態(tài)。否則，我們將無法充分了解其安全防護(hù)效果。

讓我們首先對防護(hù)策略進(jìn)行調(diào)整。如果您沒有設(shè)置按鈕，可能會(huì)進(jìn)入的不是全局策略。在這種情況下，您需要點(diǎn)擊一下，具體操作如下圖所示：

image

當(dāng)我們進(jìn)入這個(gè)階段時(shí)，我們可以開始設(shè)置規(guī)則了。我們將托管機(jī)制轉(zhuǎn)變?yōu)槿钟^察，暫時(shí)不進(jìn)行攔截。

imageimage

在啟用此選項(xiàng)后，我們將執(zhí)行一系列暴力搜索算法。

image

由于我們采用掃描器進(jìn)行掃描，已確認(rèn)EdgeOne已探測到該問題。為此，我們將進(jìn)一步關(guān)閉全局觀察模式，使EdgeOne能夠啟用主動(dòng)攔截和防護(hù)功能。這一舉措將有助于加強(qiáng)系統(tǒng)的安全性，提高對潛在威脅的應(yīng)對能力。

image

很容易就能夠攔截下來這一問題。若我的網(wǎng)站未經(jīng)EdgeOne防護(hù)，恐怕用戶很容易便能夠突破安全措施，進(jìn)而篡改管理后臺(tái)界面，從而對網(wǎng)站進(jìn)行不當(dāng)操作。這種情況下，網(wǎng)站的安全性將受到嚴(yán)重威脅，用戶的敏感信息可能遭受泄露，甚至引發(fā)嚴(yán)重的后果。

除了收集目錄外，用戶還可能收集各種頁面，如JSP等。因此，我實(shí)施了速率限制措施以防止這種情況發(fā)生。必須要進(jìn)行適當(dāng)?shù)脑黾樱駝t我們的網(wǎng)站安全將受到嚴(yán)重威脅，可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露或系統(tǒng)遭受攻擊，影響業(yè)務(wù)穩(wěn)定性和用戶信任度。

image

在這里，我想順便介紹另一個(gè)簡單但有效的工具——御劍。如果你不對其進(jìn)行限制，即使是最簡單的御劍工具也能夠輕易搜索到大量頁面。因此，我們有必要簡單配置一下速率問題，以防止遭受暴力收集行為的影響。

在Web防護(hù)頁簽中，您可以找到速率限制選項(xiàng)進(jìn)行相應(yīng)設(shè)置。

image

接下來，我們需要對后綴進(jìn)行匹配，并進(jìn)行相應(yīng)設(shè)置，以實(shí)施訪問頻率限制。最終，在選擇策略時(shí)，應(yīng)根據(jù)個(gè)人需求考慮是否采取攔截措施。

image

在評估防護(hù)效果時(shí)，可以明顯看到其表現(xiàn)相當(dāng)出色。

image

如果網(wǎng)站當(dāng)前沒有配置EdgeOne的安全防護(hù)，那么借助暴力搜索的方法，我?guī)缀蹩梢钥隙ǖ卣f我將能夠成功獲取到管理后臺(tái)的入口界面。

image

在這個(gè)階段，情況已經(jīng)相當(dāng)危險(xiǎn)了。盡管目錄已經(jīng)被轉(zhuǎn)換成了六位隨機(jī)值，類似于寶塔面板的方式，但如果系統(tǒng)沒有配備有效的安全防護(hù)措施，那么現(xiàn)在幾乎就差用戶的賬號密碼被暴露了。

暴力破解密碼

在這種情況下，我們正處于一種極端狀態(tài)，即暴力破解用戶名和密碼的階段。在這種情況下，驗(yàn)證碼的實(shí)施實(shí)際上已經(jīng)不再是主要問題，因?yàn)榭梢酝ㄟ^安裝一個(gè)適用于burp_suite的插件來應(yīng)對。然而，這并非我們此時(shí)的重點(diǎn)。我們要做的是啟動(dòng)burp_suite，然后仔細(xì)觀察EdgeOne的防護(hù)功能。首先，由于我并不知道正確的用戶名和密碼，所以我需要使用burp_suite來捕獲數(shù)據(jù)包，并嘗試通過暴力破解來獲取憑證。讓我們來詳細(xì)了解一下：

image

首先，我們先簡單地填入一個(gè)數(shù)值，然后通過詳細(xì)的解釋，逐步展示如何進(jìn)行密碼的暴力破解攻擊。在此過程中，我們將重點(diǎn)關(guān)注 EdgeOne 的防護(hù)機(jī)制，并深入探討其功能及其有效性。

image

在一切準(zhǔn)備就緒之后，展開對網(wǎng)站的攻擊。

image

在成功突破之后，我們面臨了一種相當(dāng)危險(xiǎn)的情況，因此我們需要仔細(xì)審查問題區(qū)域，并采取措施來解決其中的問題。

EdgeOne流量分析

這種情況不太可能被系統(tǒng)的托管機(jī)制所捕捉到，因此我們需要自己來解決。首先，我們需要查看當(dāng)前排名前5或前10的流量情況，以便追蹤任何可疑的活動(dòng)線索。畢竟，暴力破解需要耗費(fèi)相當(dāng)?shù)臅r(shí)間，如果僅使用單線程進(jìn)行攻擊，速度會(huì)非常緩慢，因此攻擊者通常會(huì)選擇高并發(fā)區(qū)進(jìn)行攻擊。這時(shí)候，分析流量就顯得至關(guān)重要了。以下是我對當(dāng)前流量情況的分析。

image

在觀察中發(fā)現(xiàn)，后臺(tái)登錄地址的訪問頻率遠(yuǎn)遠(yuǎn)超過了首頁的訪問量?？紤]到這是一個(gè)視頻網(wǎng)站，除了管理員之外，一般用戶不會(huì)頻繁訪問后臺(tái)登錄頁面。因此，有必要限制后臺(tái)登錄頁面的訪問速度，以確保系統(tǒng)安全性。

后臺(tái)登錄速率限制

接下來，我們需要針對后臺(tái)登錄進(jìn)行單獨(dú)配置，以加強(qiáng)防護(hù)，避免遭受暴力破解攻擊。在此過程中需要特別留意請求方式，因?yàn)橹暗淖龇ㄊ侵苯臃饨苏麄€(gè)登錄頁面，這可能會(huì)影響到正常用戶的訪問。我們實(shí)際上只需要針對登錄按鈕進(jìn)行封禁，而不是整個(gè)頁面。這樣可以確保我們防護(hù)措施的精確性，避免不必要的影響。

image

再來看一下我們所做的調(diào)整對安全防護(hù)效果的影響：

image

國外地區(qū)全封禁

我通常會(huì)采取一種更加嚴(yán)謹(jǐn)?shù)陌踩呗?，因?yàn)閷τ谧约旱姆?wù)器總是遭受外國攻擊這種情況，我總是顯得有些戰(zhàn)戰(zhàn)兢兢。我的常規(guī)做法是直接將國外的訪問全面封禁，只允許國內(nèi)的訪問。舉例來說，像寶塔面板提供了這樣的功能，但需要逐個(gè)國家進(jìn)行單獨(dú)的配置，而 EdgeOne 則提供了一種更為便捷的方法，可以直接選中除了中國大陸以外的所有IP地址。在進(jìn)行完IP地址的切換后，訪問一次，以確保安全防護(hù)效果得到了有效的實(shí)施。

imageimage

我注意到，我已經(jīng)發(fā)送了一次請求，但是有大量來自國外地址的訪問。國外真可怕~

常見問題處理

當(dāng)我遭遇到各種問題時(shí)，我不僅將其詳細(xì)列舉出來，而且積極與客服進(jìn)行溝通，以便解決。我希望這些經(jīng)驗(yàn)可以為其他人提供幫助和指導(dǎo)。

域名無法添加

在進(jìn)行這一步之前，將我的域名解析切換到了EdgeOne，但是仍然面臨無法添加域名的問題，具體情況如下所示：

image

解決這個(gè)問題的方法是需要與客服進(jìn)行溝通，最好是在非節(jié)假日的時(shí)間進(jìn)行，因?yàn)樵谇迕鞴?jié)期間并未得到處理。盡管如此，我并不急于解決這個(gè)問題，因此也沒有太在意。主要的原因是存在一些臟數(shù)據(jù)需要清理，待后臺(tái)人員完成處理后，即可正常添加。

安全防護(hù)全是觀察

我已經(jīng)親自攻擊了我的網(wǎng)站，并且也被系統(tǒng)檢測到了，但仍未受到任何攔截。一直在觀察。

image

在解決這個(gè)問題時(shí)，我首先與客服進(jìn)行了溝通。在交流后，我發(fā)現(xiàn)自己之前并沒有關(guān)閉全局觀察功能。我已經(jīng)忘記了是否是我自己打開了這個(gè)功能?？头嬖V我默認(rèn)情況下是關(guān)閉的，好吧。

image

以策略ID為主

當(dāng)我們遇到問題時(shí)，通常會(huì)更傾向于使用文字而不是ID進(jìn)行查找，因?yàn)槲淖指菀子洃?。然而，存在一種情況，即某些策略可能具有相同的文字描述，但其對應(yīng)的ID卻不同。

image

解決方法：我們建議以ID為主來進(jìn)行處理，確保不會(huì)誤攔截請求。以下是官方提供的解釋：

• 對于ID 4401214204：我們進(jìn)行檢測以防OpenVAS、WhatWeb、阿里云、天融信等掃描器的存在。
• 對于ID 4345943414：我們進(jìn)行檢測以防sqlmap、nessus、arachni、sql power injector、AWVS、appscan等掃描器的存在。
• 對于ID 4401215204：我們進(jìn)行檢測以防nmap、wikto、gobuster、network-services-auditor等掃描器的存在。

頻率攔截不住

在這一步，請務(wù)必注意，在完成配置后，耐心等待大約5分鐘以便進(jìn)行配置的刷新。在調(diào)整速率設(shè)置時(shí)，建議將攔截時(shí)間延長，最好設(shè)置得更長一些，這樣可以獲得更好的效果。

image

總結(jié)

今天的學(xué)習(xí)重點(diǎn)是網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，包括信息收集和弱口令密碼破解。在信息收集方面，我們學(xué)習(xí)了目錄信息的收集方法，特別是如何解析路徑信息。在密碼破解方面，我們討論了使用簡單的弱口令破解方法。同時(shí)，我也介紹了一些有效的防范滲透的方法。

攻擊方面，我們討論了信息收集和密碼破解的常見方案，并使用DirBuster和Burp Suite等工具進(jìn)行實(shí)踐。我們還介紹了EdgeOne的防護(hù)功能，包括目錄收集的防護(hù)和密碼暴力破解的防護(hù)。

總的來說，今天的學(xué)習(xí)讓我對網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)有了更深入的了解，并學(xué)到了一些實(shí)踐經(jīng)驗(yàn)和問題處理技巧。我相信這些知識(shí)和經(jīng)驗(yàn)對于提高網(wǎng)絡(luò)安全意識(shí)和應(yīng)對潛在威脅非常有幫助。