7月8日晚上,“理实结合——学网安,为国安”信息安全实战技术集训社会实践队报名参加一场AWD攻防赛,一次有意思的网安攻防比拼由此展开。
对于AWD攻防,大致的流程是这样的。出题方会给每一支队伍部署同样环境的主机,主机有一台或者多台,而拿到机器后每个队伍会有一定的加固时间或没有加固时间,这个视规则而定;每个服务、数据库、主机上都会可能存在 flag 字段,并且会定时刷新;通过攻击拿到 flag 后需要提交到裁判机进行得分,一般会提供指定的提交接口;下一轮刷新后,如果还存在该漏洞,可以继续利用漏洞获取 flag 进行得分。这类比赛更加贴近现实的实战,且非常考研队员们的默契配合,因此,非常值得尝试。
大致的参考步骤如下:备份网站源码和数据库,以防止自己修改网站源码或数据库后无法恢复,另外裁判一般会定时检查服务是否正常,如果不正常会进行扣分,因此备份也可以防对手入侵主机删源码后快速恢复服务;进行系统安全性检查,不该开的端口不开放,如3306有没有开启、有没有限制 SSH 登陆、SSH密码 修改、MySQL 是否为默认密码等等,这里可以用脚本检测一遍;部署 WAF,用自己提前准备好的 WAF,使用脚本进行快速部署,但是要注意验证会不会部署完后服务不可用;部署文件监控脚本,监控可读写权限的目录是否新增、删除文件并及时提醒;部署流量监控脚本或开启服务器日志记录,目的主要是为了进行流量回放,发现攻击者是如何用我们没发现的漏洞来打我们的机子,抓取到之后把看不懂的流量直接回放到别的机子去,这里还得提到,我们自己在攻击的时候,也要试着混淆一下自己的攻击流量,不能轻易被别人利用。
AWD有点像是红蓝对抗的迷你版,但都更加贴近实战。安全是一个整体,正如木桶定律,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定系统好坏的关键,红蓝对抗不同于渗透测试,红蓝对抗测试的范围很广泛,不仅需要渗透技术,还需要逆向、脚本编程、各种绕过黑魔法等。于此对比,可以看出AWD攻防和红蓝对抗倒真的挺像的,因此,在AWD中,有效快速的找到网络主机的漏洞点是刷分的关键。
http://www.dxsbao.com/shijian/357036.html 点此复制本页地址
