记一次NPS攻击分析

这些年,接触了也少了安全工程师, 渗透工程师,在互联网企业中,Web安全相关的业务比较多其他还有App移动安全领域,Web用的几乎是都多,因为企业主要的业务应用场景在Web服务上,所以安全工程师,对Web相关的技术、工具、测试实践应用的都很好,无论漏洞复现, 还是POC等。

Web安全领域,在安全工程师没有进入真的企业生产环境中进行作业的时候,很多Web测试渗透的技巧是单体黑盒的,以前的相关教育的书也是针对漏洞本身开展讲的比较多,并没从企业内的网络层次结构以上,突出Web个体在网络结构中位置, 没有对Web服务结构更底层的介绍, 这样的结果造成, 工程师对Web漏洞本身很熟悉,但涉及到Web体系结构的内容知识了解不多, 就会对漏洞整体判断, 特别是一个些关键性攻击溯源造成干扰,最典型的就是LVS负载均衡结构,7层网关反向代理机制知识的掌握,这些偏运维、开发的相关知识欠缺, 对漏洞攻击的溯源、正确的判断形成扰乱,最后影响工程师,做出正确的研判, 得出正确的结论,定们真正的资产信息。

对于威胁溯源来说,LVS负载均衡之上部署的Web服务,有TOA和没有用TOA,最后直接会影响XFF数据的产生,但是LVS是工作机制,很多刚毕业渗透工程师,初入生产环境是不熟悉的, 还有很多类似的场景,比如,7层网关如何在Request请求字段中嵌入新的内容, 用反向代理方式完成相判断、拦截、认证等关工作。如何在访问阶段判断阻断攻击请求, 这些内容虽然不是漏洞, 却是生产环境经常接触到的, 应该更新到安全工程师的知识库里,成为帮助工程师研判威胁依据。

安全工程师建立Web网络架构的认知,会对各种威胁告警研判有帮助,比如,基于IDS的告警,报出一个服务有NPS攻击,但你发现这服务是在LVS结构的Web服务,基本就开了443端口服务,其他外网扫的的描, 主机扫描探测,基本不会对这个服务有影响,可以很快定位攻击行为,很可能是基于对Web服务的一种带NPS载荷的扫描攻击探测,命中IDS的规则,所以产生了这种告警,很快的定位问题、受影像的资产、快速的对告警进行正确的研判。

类似还有当前比较流行的Web零信任理念,如何要在Web网关层实现落地,基于反向代理模式,嵌入请求数据,做相关的认证、判断 、拦截,这些内容不直接与Web漏洞相关,但直接会影响你在生产中的研判,判断攻击面,受害面,可以清晰分辨,那种告警只是一种威胁事件观点,那些告警研判后不成为误报,是真的攻击,甚至攻击成功。

少年,看你很有天赋, 介绍一本书给你《墨守之道-Web服务安全架构与实践》, 从这本书中,可以了解到上面所谈的相关技术内容,并且有其他的相关章节的附加内容,比如,通过语义分析进行Web安全防护的原理等。

这本书是李华峰老师和我一起完成的,李老师有些丰富的安全领域的教学经验,是多本畅销安全图书的作者,写作风格,细致入微,春风化雨,让读者可以把技术看的很开心, 李老师和我,从产学结合的角度去讲Web服务架构及外延知识,以学生最容易理解的方式去讲, 用生产实践中最常见的案例入手, 让安全工程师在对Web漏洞知识特别熟悉的情况下,在知识结构中融入Web安防体系中的相关底层逻辑知识, 为进入生产业务前预热,对于熟悉相关知识的朋友,也可以参考这本书,再集中的进行一次相关内容的梳理,希望这本书对大家学习工作有所帮助!

讨论与留言