移动安全攻防和渗透测试哪个好?(企业如何实现网络安全价值?)
移动安全攻防和渗透测试哪个好?
移动渗透测试好
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。
企业如何实现网络安全价值?
重磅消息! 据悉,公安部于5月13日发布网络安全等级保护技术2.0版本,正式宣告等保进入2.0时代。业界期待的等保2.0即将落地,将为网络安全市场带来巨大发展空间。
01
等保是什么
网络安全等级保护2.0标准,即《信息安全技术网络安全等级保护基本要求》。等级保护步入了一个新的阶段,是对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高,安全保护能力就越强。等保筑起了我国网络和信息安全的重要防线。
一方面通过开展等保工作,发现相关机构、单位和企业网络和信息系统与标准之间存在的差距,找到目前系统存在的安全隐患和不足。
另一方面,通过安全整改,提高网络安全防护能力,降低系统被各种攻击的风险。
02
等保1.0和2.0区别是什么
等保1.0只针对网络和信息系统,等保2.0则把云计算、大数据、物联网等新业态也纳入了监管,并纳入了《网络安全法》规定的重要事项。等保2.0把监管对象从体制内拓展到了全社会。等级保护2.0的深层次推进,将极大促进国家网络安全保障水平的提高、产业的进步。等保2.0的发布和使用已经非常急迫,它是根据已经实施的《网络安全法》及当前网络安全的形势变化、任务要求和新技术的发展,重新审视等级保护制度。
03
互联网企业在等保2.0时代如何做到尽快合规?
公安部信息安全等级保护评估中心测试部副主任张振峰建议:“在建设整改时,第一需要关注身份认证、用户授权、访问控制、安全审计,满足了该4项,一大半的合规要求都满足了,这是基础;还要侧重动态监测预警和快速响应能力的建设,充分发挥自身优势;在新技术背景下,还应该关注云安全产品合规的问题,重点聚焦保障业务数据安全和用户数据隐私保护。”等保2.0适用的范围更广,对网络安全行业整体的稳步发展有积极的意义,从而促进公司主营业务的拓展。
04
世平信息产品与服务关键信息基础设施风险评估
国务院2019年立法工作计划拟制定法规第23条:关键信息基础设施安全保护条例(网信办、工业和信息化部、公安部起草)关键信息基础设施风险评估 SIMP-RVA。依据《网络安全法》、《关键信息基础设施安全检查评估指南》等相关法规标准,实现针对网络系统资产、网络威胁、系统脆弱性、安全措施等风险要素的智能化合规检查与风险评估,为国家和行业监管机构及CII运营单位提供自动风险画像工具,并提供适应大数据场景的动态风险评估平台,实时规避风险。
RVA产品功能:
• 一站式向导
• 专业合规性检查
• 资产发现和归集
• 全面技术检查
• 风险分析评估
• 可视化报表
RVA产品价值:
敏感信息安全检查系统
敏感信息监测系统 SIMP-SRD。依据《网络安全法》、《网络安全等级保护条例》、《个人信息安全规范》等相关法规,实现数据资产识别发现、敏感信息分布扫描和网络监测,并结合业务流程进行数据流转异常监控,实现统一、可视化数据态势感知,为监管机构和、企业、网络运营者检测、监控重要数据和个人信息泄露风险提供有效技术手段和工具支撑。
数据泄漏防护系统
数据泄露防护系统 SIMP-DLP。实现用户信息系统中的数据资产及敏感信息的自动识别,及其在生产(采集)、存储、使用、共享、传输、销毁等生命周期各环节的发现、定位、监控、阻断、溯源、审计等数据泄露风险管控,针对各行业用户的具体业务场景及防护需求提供切实有效的基于数据内容识别的防护措施,提高用户单位的数据安全管控水平。
数据脱敏系统
数据脱敏系统 SIMP-SDM。对跨部门、跨系统数据共享,开发、测试、运维、分析、培训调用数据及数据外放外发等各类场景中涉及的敏感数据,实现智能发现、自动分类、自动脱敏,并以静态脱敏库或即时逐条返回的形式自动装载还原,消除被共享、调用数据的敏感性,有效降低敏感数据泄露风险。
数据库保密检查工具
世平数据库保密检查工具(简称为SIMP-DBS)依据《保守国家秘密法》,对非涉密网服务器与数据库区域、云环境及大数据平台上的存储数据进行快速、精准的保密检查,及时发现违规存储涉密信息,为各级保密行政管理部门、党政机关、各企事业单位的安全保密检查与自查提供有力的技术手段和工具支撑。
信息详询:400 100 6790
杭州世平信息科技有限公司(简称“世平信息”),致力于智能化数据管理与应用的深入开拓和持续创新,为用户提供数据安全、数据治理、数据共享和数据利用解决方案,帮助用户切实把握大数据价值与信息安全。
fuzz测试原理?
在我之前的理解中,Fuzz测试就是通过构造不规则的输入,从而触发程序的某种bug;虽然也知道几款工具,但是只是停留在了解阶段。传统的漏洞挖掘包括三种方法:白盒代码审计,灰盒逆向工程,黑盒测试,Fuzz测试属于其中的黑盒测试。现在有了人工智能及深度学习的帮助,能够借助更多的方法来进行分析...
隐藏17年的Office远程代码执行漏洞?
感谢你的邀请
我的回答如下,希望采纳
2017年11月14日,微软发布了11月份的安全补丁更新。金山毒霸安全实验室专家,发现其中一个修复是潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。黑客可借助该漏洞,以当前登录的用户的身份执行任意命令。
漏洞影响版本:
Office 365
Microsoft Office 2000
Microsoft Office 2003
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2
Microsoft Office 2013 Service Pack 1
Microsoft Office 2016
漏洞事件分析:
漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装。该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。
图 1 – Microsoft 公式编辑器
当插入和编辑数学公式时,EQNEDT32.EXE并不会被作为Office进程(如Word等)的子进程创建,而是以单独的进程形式存在。这就意味着对于WINWORD.EXE, EXCEL.EXE等Office进程的保护机制,无法阻止EQNEDT32.EXE这个进程被利用。
由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。
图 2 – CVE-2017-11882 POC中所执行的命令
国外安全厂商0patch对修补前后的相应补丁进行了对比,发现更新补丁后的程序版本是使用汇编,并据此推测由于年代久远,微软或已丢失相关程序的源代码。再者,当时(2000年)的编译器所编译的程序并不包含ASLR等漏洞缓解措施,因此该模块必将吸引更多黑客对其进行漏洞挖掘。为安全起见,强烈建议用户取消对该模块的注册,解决方案请参考文章结尾部分。
图 3 公式编辑器使用较低版本编译器编写(VisualC++ 3~4版)
图 4 – EQNEDT32.exe未见任何漏洞环节措施
漏洞分析: (1)基本信息
截止分析报告撰写时,只发现了RTF类型的CVE-2017-11882漏洞利用文档。触发漏洞的OLE对象加载-2017-0199漏洞类似,使用了\objupdate控制字来保证OLE对象的自动更新和加载。
图 5 – RTF标准文档中对\objupdate控制字的说明
该OLE对象的类型为“Equation.3”,即公式编辑器3.0类型对象,该公式对象使用了CFB格式进行存储。
图 6 – 漏洞文档中的OLE数据头
对该OLE对象进行提取和分析,可以发现公式的相关内容存放在\x01CompObj流之后。
图 7 – 公式对象
(2)详细分析
公式的内容使用了一种名为MTEF v.3的二进制格式进行存储。该格式的头部为28(0x1C)个字节,定义如下:
在漏洞利用文档中,该结构如下所示。
图 8 – 公式头结构
对上图的解析如下表所示。
偏移量变量名说明值0-1cbHdr公式头大小0x001C2-5version版本号0×000200006-7cf剪贴板格式0xC3BE8-11cbObjectMTEF数据长度0×45,即69字节12-15reserved1未公开0×0000000016-19reserved2未公开0×0068242820-23reserved3未公开0x0069A87C24-27reserved4未公开0×00000000
紧随该公式头结构的数据为公式数据。公式数据使用字节流进行存储。
图 9 – 公式数据
MTEF v.3公式数据中,前5个字节为数据头,解析如下表所示。
偏移量说明值0MTEF版本号0×031该数据的生成平台0×00表示在Macintosh平台生成,0×01表示在Windows平台生成。此处为0×01。2该数据的生成产品0×00表示由MathType生成,0×01表示由公式编辑器生成。此处为0×01。3产品主版本号0×034产品副版本号0x0A
在数据头之后的字节流即为公式数据。
数据0x0A所对应的数据类型为SIZE,只占用一个字节。
数据0×08所对应的数据类型为FONT,文档中数据的解析如下表所示。
数值解释0×08FONT记录标志0×02typeface类型0×81字体风格0x636D642E……字体名(以空字符结尾),即图9中的cmd.exe…字符串
图 10 – 漏洞代码
通过对下面的两张图进行对比,可以明白栈溢出的触发过程。
图 11 – 被覆盖前的栈数据
图 12 – 被覆盖后的栈数据
被修改后的函数调用如下图所示,在前文中已经提到,该公式编辑器并没有开启ASLR。这个硬编码的地址0x00430C12对应于对函数WinExec的调用。因而该字体名对应的命令得以执行。
解决方案:
1.老铁,建议大家尽快使用金山毒霸等,目前金山毒霸也支持查杀。
2、由于该公式编辑器已经17年未做更新,可能存在大量安全漏洞,建议在注册表中取消该模块的注册。
l 按下Win+R组合键,打开cmd.exe
l 输入以下两条命令:
对此,你有什么想法?欢迎大家关注、转发、点赞、评论、收藏等。
