前段时间edu上出现了两个网安总队收取安全情报,不收漏洞,下面简单分析一下如何挖掘安全情报。
在发现在edu中新增了两个网安总队收安全情报等漏洞,那威胁情报又会包含哪些内容呢?以前或许会看到各种ss网站、bc网站、yx网站满天飞,那么他们又是如何发生的呢?
在收集过程中,发现很多都是证书过期、DNS解析存在问题,基本上一个主域名下的子域名都会被跳转到不同的恶意网站中。
那我们基本了解一下证书过期、DNS解析会产生的原因吧,如果一个网站使用的SSL/TLS 证书存在问题,比如过期、自签名或者与域名不匹配,就会导致用户对网站的信任度降低,这样一来就会增加了被劫持的风险;DNS解析是域名在解析为IP地址的服务过程中,如果DNS服务器存在漏洞会被攻击,就可能导致域名解析结果被篡改,使得访问者被重定向到恶意网站中。
下面就以不同的安全情报来进行讲解:
第一种:整个IP都被恶意网站劫持,这种网站也是最容易找寻的,基本上对着bc、ss、yx这些关键词去查找就可以收集的到。
第二种:域名被劫持,虽然会解析到不同的IP上,但显示的内容却是一致的。
就比如下面这个很难看出来它是被劫持的,因为太正常了,没有传说中的ss这些,但一想这是事业单位,怎么可能还给你算命和十二星座呢,如果你仔细看,这些IP大都都显示是境外、香港的,不属于国内。
上面刚讲到算命,然后我反手看了一下算命的安全威胁情报,打脸来的竟然如此之快
那么如何证明该域名有效呢,很大程度上需要到工信部备案平台上进行查询,但现在工信部平台改成了文字点击验证,加大了验证难度。
下面就可以在hunter中点击域名详情,查看域名是否在备案中,如果不在备案中,域名过期了被劫持了那就没法收的,一会下面再演示一种域名过期的。
像这种的域名被劫持了,又是备案过期了,就不能再归属到该单位了,尤其不能用站长之家或者其他这种备案网站,因为这里面存在域名未及时更新的情况,虽然还会归属到该单位,但工信部备案就不存在了。
第三种:我藏得很深,你看不见我
相对于整个页面都被劫持掉的网站,这种一般都藏匿的比较深,而且你不轻易看基本上都找不到。
下面举一个例子:
这么显眼的政府网站,一般人不会想到这里面还藏着暗链的,基本上都会被这标语和主页面显示的内容给迷惑,而仔细看前端,就会发现被嵌入了非法网站的文字。
再来看一种,也是藏得比较深的,也许不仔细看都不会发现的。
这个网站里面空无一文,前端js也没有漏出半个马脚,但主页上就是不法网站,查看前端js,发现是一张图片,通过图片嵌入使得网站加载恶意链接。
此时可以根据这张图片查找相同的被黑网站。
第四种:真的是意外发现
刚发现的时候我以为是哪个网站未授权呢,泄露了这么多url,结果等加载完,好家伙,你是个大毒瘤!!!
以上就是关于安全威胁情报的一些漏洞挖掘技巧,随着当前网站数量越来越多,很多网站如果运营不到位,有的是域名一过期就被劫持了,有的则是没过期就被嵌入了恶意链接,使得企业形象大大降低,因此我们在网站运营过程中需要不停发检查对外部资源链接的调用,防止因外链被污染加载恶意网站。