※ 引述《bojack (Bojack)》之銘言:
: 各位前輩好,
: 想請教一個問題,目前我有一台伺服器提供 Web AP 服務
: 使用者來自Internet(非固定來源),登入須經過 OTP 驗證,但不幸還是有漏洞發現被利用
: 也發現問題是來自於某位使用者電腦被先駭入,然後才再攻擊 Web AP
: Web AP端已經修補完畢了,但使用者端似乎還沒有一個好的解法
^^^^^^^^^^^^^^^^^^^^^^^^^^
你確定?
這東西分兩個面向來看
WebAP有沒有人可進行維護(修改程式這樣)
如果有
白箱檢測工具(HP Fortify , CheckMarx)掃一遍 把問題都先修掉後在說
如果沒有人可以做維護
那掃也不用掃了~掃出來看到一堆問題也無解
白箱掃完一輪後換黑箱黑箱+系統去掃
例如HP Webinspect (掃AP)Nessus(掃系統)
掃完沒問題沒洞~才可以說"大概沒問題"
如果掃出來有問題~那就請程式開發人員修正
如果沒有人員可進行修正 就從黑箱工具把掃描結果匯出
塞進去給WAF(Web Application Firewall)做聯防 至少掃到已知的洞可以擋掉
至於WAF的採購跟預算...自己想辦法吧XD
WAF當然也會有內建的防禦規則 但未必都適用
各家基本上都是開學習模式開個一陣子才敢擋~
到此~WebAP的部份才"比較安全"
: 我已經提出部分要求,例如:
: 1. Windows 禁用已 EOS 版本,Windows Update 得定時更新
: 2. 防毒要安裝及更新
: 3. 第三方程式得更新 (ex: Flash Player,Java ...)
: 只是要求歸要求,還是想做到可以主動檢測確認,若沒問題才可以連上 Web AP
: 想請問各位前輩是否有類似的經驗,先謝謝了
: 補充一下,想偵測的是「外面使用者電腦狀態」,就是來自 Internet 的使用者
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
三個字~辦不到(結案)...
這概念就像 你連到Google / Yahoo
但是業者怕你中毒攻擊他們網站 所以要求你安裝XXXX程式,檢測後才可以執行
請問你會不會裝
如果都是公發設備,基本上那算是內部使用者,而非外部使用者
做法就不一樣
內部使用者~微軟AD+GPO下去套+Endpoint 防毒 + APT防禦
(Email / URL / Gateway端都得花錢)
這樣至少可過濾多數髒東西(但是使用者習慣不良一樣有可能中XD)
如果該設備無權限控管(無法加入AD,無法植入Agent)...
那基本上就是無解~
觀念宣導講再多要求再多使用者很可能聽完就算了
不如早點洗洗睡比較實際...zzzzZZZZZZ
: 並非要去防護 Server 端的 AP or DB