※ 引述《bojack (Bojack)》之铭言:
: 各位前辈好,
: 想请教一个问题,目前我有一台服务器提供 Web AP 服务
: 使用者来自Internet(非固定来源),登入须经过 OTP 验证,但不幸还是有漏洞发现被利用
: 也发现问题是来自于某位使用者电脑被先骇入,然后才再攻击 Web AP
: Web AP端已经修补完毕了,但使用者端似乎还没有一个好的解法
^^^^^^^^^^^^^^^^^^^^^^^^^^
你确定?
这东西分两个面向来看
WebAP有没有人可进行维护(修改程式这样)
如果有
白箱检测工具(HP Fortify , CheckMarx)扫一遍 把问题都先修掉后在说
如果没有人可以做维护
那扫也不用扫了~扫出来看到一堆问题也无解
白箱扫完一轮后换黑箱黑箱+系统去扫
例如HP Webinspect (扫AP)Nessus(扫系统)
扫完没问题没洞~才可以说"大概没问题"
如果扫出来有问题~那就请程式开发人员修正
如果没有人员可进行修正 就从黑箱工具把扫描结果汇出
塞进去给WAF(Web Application Firewall)做联防 至少扫到已知的洞可以挡掉
至于WAF的采购跟预算...自己想办法吧XD
WAF当然也会有内建的防御规则 但未必都适用
各家基本上都是开学习模式开个一阵子才敢挡~
到此~WebAP的部份才"比较安全"
: 我已经提出部分要求,例如:
: 1. Windows 禁用已 EOS 版本,Windows Update 得定时更新
: 2. 防毒要安装及更新
: 3. 第三方程式得更新 (ex: Flash Player,Java ...)
: 只是要求归要求,还是想做到可以主动检测确认,若没问题才可以连上 Web AP
: 想请问各位前辈是否有类似的经验,先谢谢了
: 补充一下,想侦测的是“外面使用者电脑状态”,就是来自 Internet 的使用者
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
三个字~办不到(结案)...
这概念就像 你连到Google / Yahoo
但是业者怕你中毒攻击他们网站 所以要求你安装XXXX程式,检测后才可以执行
请问你会不会装
如果都是公发设备,基本上那算是内部使用者,而非外部使用者
做法就不一样
内部使用者~微软AD+GPO下去套+Endpoint 防毒 + APT防御
(Email / URL / Gateway端都得花钱)
这样至少可过滤多数脏东西(但是使用者习惯不良一样有可能中XD)
如果该设备无权限控管(无法加入AD,无法植入Agent)...
那基本上就是无解~
观念宣导讲再多要求再多使用者很可能听完就算了
不如早点洗洗睡比较实际...zzzzZZZZZZ
: 并非要去防护 Server 端的 AP or DB