本文我得先从我最近参加的一个安全检测项目开端谈起,本次的客户是一家企业,不得不说,本次咱们的客户的安全防护做得非常好。他们的安全运营中心(SOC)装备了许多先进的内部反常检测东西以及坚强的作业呼应团队。这儿我要说一句,他们是Google的客户,并运用G Suite来处理他们根据云的事务应用程序。
2019年4月,Google为 G Suite带来了一系列更新,本轮更新要点增强了公司数据的维护,既包含操控用户的拜访权限,还可以经过供给新的东西来避免 *** 垂钓和歹意软件进犯。本次Google还发布了高档 *** 垂钓和歹意软件维护Beta版别,旨在协助办理员维护用户免受歹意附件和电子邮件诈骗等要素的影响。
所以,我花了适当长的时刻研讨和学习怎么破解G Suite并将它们兵器化,以下我会具体介绍我运用过的许多不同进犯办法。
对G Suite进行浸透测验时,被Google反制裁。在我和我的团队运用CredSniper(一个运用Python微结构Flask和Jinja2模板编写的 *** 垂钓结构)成功地损坏了凭据并绕过了双要素验证之后,咱们当即开端横向地在Google应用程序中寻觅典型的公司数据。不过,咱们碰到了G Suite的反常检测体系,由于它们运用Google Groups向技能团队发送电子邮件,其中就包含风趣的安全警报和crontab命令行日志。不久之后,客户在Google的协助下发现咱们的身份验证活动是可疑的,并触发了一系列内部安全流程。经过努力,咱们终究侵入了其他一些账户,此刻即便企业有强壮的作业呼应团队,他们也无法进入咱们的OODA循环。后来咱们发现,Google的办理API实际上并不是实时的,并且日志延迟了15分钟,这让咱们有了满足的进犯决心。为了验证G Suite的强壮防御才能,他们联系了Google的SOC寻求协助。
果然在24小时内,就有安全研讨人员一直在盯梢、记载和损坏咱们的进犯进程。
在此,我想说的是,客户和Google之间的及时交流非常重要。可是,有时作业或许会适得其反,这点我会在下面讲到。
企业和Google之间的联合防备战略的完成
在这24小时内,GoogleSOC可以盯梢和相关我的一切有关此次浸透测验的帐户、 *** 和API令牌,然后暂停一切帐户。更糟的是,他们还将进犯的目标与我的一切相关账户进行了相关匹配,暂停了我的作业账户。尽管咱们的体系办理员第二天从头启用了它,但又被暂停了,一起还暂停了体系办理员从头启用它的权限。由此可见,Google盯梢和相关账户的才能非常非常好。在接下来的几天里,我乃至无法收到Google现已康复的客户的邮件,且无法拜访任何与Google身份验证帐户相关的资源。除此之外,我的作业日程也无法拜访。
假如抵触发生在企业账户等级,那么这意味着企业的整个事务或许会戛可是止。在接下来的几周里,我和妻子不断遇到身份验证问题,一切设备(笔记本电脑、电视、恒温器、平板电脑等等)上的Google帐户会话都会随机要求从头身份验证。至此我非常置疑,咱们的家庭IP地址是否在Google体系中被符号为歹意?
假如我的置疑事实,则意味着一家科技巨子可以操纵我作业和日子的方方面面,想想都可怕,这现已逾越了安 *** 业的范畴。后来,我的客户告诉我,GoogleSOC给他们供给了初始拜访向量的链接。
别的,Google是否有关于我的一切相关账户的信息呢? 尽管我的这次浸透测验是违背了Google对浸透测验的要求的规则,但却不违背其云服务条款。明显,每个测验人员在浸透测验时,都需求留意的相关的规则,这是一切测验人员在测验任何根据云的服务时都需求留意的问题。在云服务浸透测验方面,咱们还处于空白范畴。所以,许多供给商都误以为,即咱们永久不会测验他们的中心服务。
免除Google对浸透测验人员的追寻
需求阐明的是,我所具有的每一部智能手机都运转Android体系,我家里简直一切的智能设备或许都运转Android体系,或许归Google所具有的,而我自身也是一个G Suite用户。由于我一切的文件都备份到Google云端硬盘,我的Google帐户是我的上网首要帐户,我的一切TOTP 2FA都依靠Google身份验证器,我的 *** 号码乃至是谷歌语音。毋庸置疑,免除Google对我的追寻是多么火急。
替换Google移动操作体系
为此我考虑了以下的体系:
1.FireOS(好像现已停用了);
2.PureOS( ,一款全新的免费Linux发行版);
3.Firefox OS(现已停用了);
4.KaiOS(一个根据Linux的移动操作体系);
5.Ubuntu Touch(不错的挑选);
6.LightPhone 2(还没有发布);
7.Windows 10手机版(今年年底发布)
8.Blackberry/SilentPhone/Cryptophone(现在都运转Android)
9.iOS;
在对一切可用的挑选都测验之后,我终究买了一部iPhone,它与Macbook Pro笔记本电脑结合在一起,彻底改变了我的整个 *** 日子。
替换2FA验证计划
尽管挑选一个TOTP 2FA解决计划适当简略,可是我想再深化一些,并为根据 *** S的2FA创立一个彻底独立的验证计划。尽管有些人或许以为它与prepper-level status归于同一类别,但它确实为进犯者在进犯备份 *** S 2FA完成时创立了额定的维护过程。有许多TOTP选项,以及运用应用程序集成其他 *** 号码的VOIP供给商。我没有看到大多数选项之间的太大差异,以下是一些我考虑过的选用TOTP多因子身份验证的应用程序:
Authy ;Authy是一款跨渠道的、支撑多个设备一起运用的两步验证办理东西,是“Google 身份验证器”的有力替代者。Authy 的长处在于,它可以一起办理多个渠道的两步验证,一起支撑多设备一起运用,也可以快速在设备之间搬迁、抹除,还支撑 Touch ID 验证。Authy 可以办理一切运用“Google 身份验证器”的账号体系,包含 Gmail、Evernote、Facebook、Dropbox、LastPass等。Authy 改进了 Google Authenticator 的功用:
Duo Mobile :Duo Mobile 是一款手机体系软件,下载并安装了这款软件后,可以得到Duo *** 安全的双要素认证服务,使登录愈加安全。
[1] [2] 黑客接单网
咱们看到许多针对电子邮件、银行、PayPal、信用卡以及其他财政凭证的网上欺诈活动。本事例与其他许多事例略有不同,愈加杂乱,旨在加大反网络垂钓东西进行剖析和阻挠的难度。它伪装成美国运通发送给客户有关帐...
帝国cms服务器网站目录安全设置经历内容仅供参考,假如您在修正具体问题时有疑问主张能够在文章下面具体咨询,体系114网将极力供给协助。一起假如你有好的经历,欢迎投稿共享给广阔网友。 1、目录权限...
本文叙述作者在参与HackerOne的H1-4420竞赛中,针对厂商Uber的某WordPress博客网站为方针,发现其内置问卷调查插件SlickQuiz最新版存在存储型XSS(CVE-2019-12...
网络抓取结构中运用最多的莫过所以scrapy,但是咱们是否考虑过这个结构是否存在缝隙妮?5年前曾经在scrapy中爆出过XXE缝隙,但是这次咱们发现的缝隙是一个LPE。 经过该缝隙能够获得shell,...
Anomali要挟研讨小组最近发现了一个网络垂钓网站假充中华人民共和国外交部电子邮件服务的登录页面。假如访问者测验登录这个垂钓页面,网站就会向他们弹出一条验证音讯,要求用户封闭窗口并持续阅读。研讨人员...
这是一款仍在活跃研制中的软件,假如你想要现在测验它现有缝隙,需求确保自己添加了Express结构。 DVNA简介 首要,期望咱们多多支撑UX/UI,协助咱们修正bug和优化文档。 DVNA(Damn...