PS:本项目仅用于测试、学习使用,不得用于其他非法目的。 本项目是一款基于 Flask 应用框架的在线漏洞扫描系统,同时集成了渗透测试常用的端口扫描、子域名爆破等功能,后端漏洞扫描采用的是知道创宇安全团队的开源漏洞测试框架 Pocsuite。 项目地址:https://github.com/jeffzh3ng/InsectsAwake 主要功能 漏洞扫描 漏洞扫描通过调用创宇的 Pocsuite 进行扫描,扫描插件通过 Seebug 可以获取,或者自己编写。 扫描目标只能是单个 IP 或者 URL,不支持网段扫描(公司是中小型公司,就忘写这块需求了),默认有80余个插件,大多是 Seebug 的免费PoC 任务周期可以选择临时、每日、每周或每月 资产管理 添加各系统或部门网络资产 可以通过各资产库创建漏洞扫描任务,同样资产库只能是单个 IP ...

GPDR正式实施期限是2018年5月25日,任何一个未能满足新法规的组织将面临高达前一年全球收入4%的罚款,或者是2000万欧元。无论实施了哪种罚款,任何进一步的数据处理活动都将遭受潜在的叫停风险。因此无论是否加入了欧盟,只要你正在以任何方式处理欧盟公民的数据,就必须服从GDPR的条约。 随后,特别是在金融服务机构的行为可能会使客户身份被盗用的情况下,监管机构越来越关注金融服务机构持有和管理数据的方式。但是根据Veritas Technologies的一项新的研究报告,今天只有2%的组织兼容GDPR。 我们知道,新的数据保护制度将给处理数据的公司带来相当大的责任和制裁,而金融服务业比大多数企业面临更多的风险。 GDPR的总体目标是成为隐私权的法律。随着新政权加大对违规行为的惩罚力度,加强执法力度,可处罚公司每年全球营业额的最高可达4%。此外,它还引入了与美国大多数州类似的强制性的数据泄露报告要求,但要求在72小时内报告泄露情况。 将新规则描述为当前数据保护机制的更新或改进是不准确的。这不是对法律的微调; 是一个正在发生更根本的变化。新的规则更加详细、高要求和负有法律责任的。GDPR是一个政治上的推动的新的更严格的法律。欧洲的许多人更关心的是数据,尤其是数据泄露这个问题,而不是20年前的数据。 一、实现72小时内报告窗口 为了实现在72小时内(在新规则下)报告违约的情况,安全厂商必须在24小时内通知违约行为。安全问题的主要责任在数据控制上,但我们看到的大部分违规行为都是供应商的责任。公司将需要合同义务,以确保供应商及时告知他们,以便他们能够处理他们的报告义务。即使你知道有漏洞,需要用正确的安全漏洞格式来做报告。 作为一个易受攻击的行业,金融服务机构必须特别注意,制定适当的政策、程序和培训,以确保在72小时内报告违规行为。同时要记住,除了向数据保护监管机构报告违约,他们还可能需要告诉金融服务监管机构、其他金融服务公司(例如合同要求的)以及受影响的个人。下图是对72小时内可进行上报调研。 图1 在72小时内识别和报告数据泄露的困难 ...

远程桌面协议(RDP)被广泛应用于管理员的内部网络。该协议允许系统所有者以及管理员远程管理其Windows环境。然而,RDP在为我们带来方便的同时,也为虎视眈眈的攻击者打开了一扇窗,攻击者常会利用该协议肆意的在内部网络中漫游。以下攻击,可让攻击者获取凭据劫持其他用户的RDP会话,并向那些使用RDP作为验证机制的受感染工作站远程系统执行任意代码。 RDP中间人攻击 中间人攻击是攻击者用于获取凭据常用的手段和方式。对RDP会话执行此攻击,攻击者将能轻松地获取到可用于内网渗透的域帐户的明文密码。Seth是一种可以帮助你自动执行RDP中间人攻击的工具,无论目标是否启用了网络级身份验证(NLA),它都将为你完美的执行。我们只需提供四个必要参数即可: 以太网接口 攻击者的IP 受害者工作站的IP(客户端) 目标RDP主机(服务器)的IP ./seth.sh eth0 10.0.0.2 10.0.0.3 10.0.0.1 成功执行后,该工具将在后台执行一系列的步骤,以确保攻击的成功实施。以下是执行的相关流程: 欺骗ARP回复 启用IPv4流量转发,将流量从受害主机重定向到攻击者机器,然后再转发到目标RDP服务器。 配置一个iptable规则拒绝SYN数据包,以防止直接的RDP认证。 捕获目标主机的SYN数据包。 克隆SSL证书。 重新配置iptables规则,以将流量从受害工作站路由到目标RDP主机。 阻止到端口88的流量,以将Kerberos身份验证降级到NTLM。 步骤1-3将在受害者身份验证之前执行。尝试通过RDP向目标服务器进行身份验证的用户将会收到以下消息: ...

笔者有幸参加了RSA2018年大会,大会最重要的就是各种厂商的展销会。鉴于之前大家介绍太多的创新沙盒,基于这几天参会的体验针对性的跟大家介绍一下参展厂商。旧金山莫斯康会议中心分为南区和北区,南区创新类公司较多,北区大厂较多。笔者三天时间都在南北区穿行浏览、学习询问。 文长6200字,阅读时间约15~20分钟 大体上参展厂商分为三类:第一大类网络安全类,即Network Security,包括Palt Alto、Checkpoint、Juniper、Fortinet等;第二大类终端安全类,Endpoint Security,这个后面细说可以再继续分为三小类;第三大类可以说其它,比较分散了,比如有IAM领域的Okta、Duo等,还有CASB领域的Skyhigh以及DLP类。 ...

Check Point安全研究员Assaf Baharav透露,PDF文件可以被恶意行为者武装化,以窃取Windows凭证(NTLM hashes)而无需任何用户交互,只需打开一个文件即可。 本周,Baharav发表了一项研究报告,展示了恶意行为者如何利用PDF标准中原生存在的功能来窃取NTLM Hashes,这是Windows存储用户凭证的格式。 “PDF规范允许为GoToE&GoToR加载远程内容”,Baharav告诉媒体称。 通过PDF和SMB窃取Windows凭据 对于他的研究,Baharav 创建了一个PDF文档,可以利用这两个PDF功能。当有人打开此文件时,PDF文档会自动向远程恶意SMB服务器发出请求。 按照设计,所有SMB请求还包含用于身份验证目的的NTLM hashes。这个NTLM hashes将被记录在远程SMB服务器的日志中。可用的工具能够破解这个散列并恢复原始密码。 这种类型的攻击根本不算新鲜,而且过去是通过从Office文档,Outlook,浏览器,Windows快捷方式文件,共享文件夹和其他Windows操作系统内部函数启动SMB请求来执行的。 所有的PDF阅读器都可能存在漏洞 现在,Baharav 已经表明PDF文件同样危险。Check Point研究人员告诉媒体,他只对Adobe Acrobat和FoxIT Reader的攻击进行了实地测试。 ...