当前位置：首页 > news >正文

基于spring生态的基础后端开发及渗透测试流程（二）

news 2025/10/24 16:41:36

基于spring生态的基础后端开发及渗透测试流程（二）

安全设备
- IDS
- 蜜罐
安全加固
渗透测试
- 信息收集
- - 子域名
  - 域名注册信息
  - 企业信息
  - 端口扫描
  - 源码泄露
  - 路径扫描
  - 真实ip探测
  - js扫描
- 设备检测
- - 蜜罐识别
  - waf识别
- 社工
- 爆破
- 漏洞扫描
- - 系统扫描
  - web扫描
应急响应

继上次写了一份基于spring生态的基础后端开发流程后，这次来完成系统的安全防护以及后期渗透测试流程。

本人还没有真正接触过安全运维方面的操作，只能凭借平时的经验对系统进行防护。设置Snort入侵检测系统和HFish蜜罐。并对系统进行安全加固。

之后通过一系列渗透测试步骤对上次搭建的系统进行安全检测。

最后假设系统被入侵，并对系统进行相应应急响应措施。

原文链接：https://www.blog.23day.site/articles/83

安全设备

IDS

IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求就是IDS应当挂接在所有所关注流量都必须流经的链路上

本篇使用开源的snort，snort属于IPS，串联接入网络，也就是在网络流经的地方插一刀。

snort的安装可以源码安装或者apt一把梭，下载完成后从官网下载规则，在snort.conf中include该文件位置即可

自定义规则可以另写文件，按照官网规则自行编写https://docs.snort.org/rules/

另外snort的log可以使用wireshark查看

蜜罐

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

本篇使用开源蜜罐HFish，在官网有部署和使用方法，这里使用docker部署，采用的网络模式是host模式，即将docker容器直接架设在主机网络中，与主机共享网络

hfish中默认提供了API查询攻击信息，还提供了情报和通知配置，后期将整合至博客系统server模块中进行实时监控

hfish官网提供了实时更新的功能

安全加固

本篇使用阿里云ecs，系统为ubuntu20.04，进行相关安全加固

主要分为五个模块：

账号管理
1. uid为0的用户
2. 空密码账号
3. 用户口令强度
4. 用户口令设置
5. 用户登录次数
6. 密码重复使用次数限制
服务管理
1. root用户远程登录
2. ssh空密码登录
3. ssh多次失败锁定账户
4. 账户超时时间
5. ssh端口
权限管理
1. 默认umask
2. 指定用户或组才可使用su命令
3. 检查重要目录和文件权限
日志管理
1. 检查日志服务启用
2. 检查定时任务日志
3. 查看ssh的loglevel=info
4. /var/log/messages为只可追加
其他管理
1. 检查账号相关性
2. 停用无关服务
3. 重要文件锁定

渗透测试

信息收集

子域名

单用OneForAll可以，或者subfinder+ksubdomain组合一下也可以，本篇采用subfinder的被动扫描后还用ksubdomain的验证功能收集存活子域名

域名注册信息

阿里云域名信息查询+站长工具

企业信息

如果是对企业进行信息收集的话，可以用天眼查和ICP域名备案查询，集合工具：ENScan_GO

端口扫描

用的是masscan和nmap一起扫的，把结果结合了一下，naabu实在是不知道是怎么回事，扫出来的结果乱七八糟的

源码泄露

生成一个github的api_token，使用gitdorker搜集信息，确实搜出来很多信息

路径扫描

dirsearch加上强力一点的字典足够扫描了，本篇没有使用爬虫进行路径探测

真实ip探测

先利用多地ping和ip反查判断目标网站是否使用cdn加速，如果使用过cdn加速则可以使用ip历史记录解析、历史dns平台、ssl证书搜索查找真实ip

js扫描

利用升级版urlfinder或者jsfinder查找js文件，再搜索password、key等关键词

设备检测

蜜罐识别

github上能找到的比较好的蜜罐检测工具Honeypot Hunter和anti-honeypot

waf识别

kali自带的wafwoof我觉得有点丑陋，可以用whatwaf

社工

之前跟前辈学的，一般企业资产都在内网，如果扫不出来，就需要用社工去进入内网去扫，可以利用OSINT开源网络情报或者开源社工工具Maigret等收集企业或个人信息，然后制作相应弱口令字典进行爆破

爆破

用Hydra/Hydra-graphical爆破工具，字典的话就是用上面获取的社工字典+常用字典联合爆破，碰到验证码等可以使用bp的验证码插件

漏洞扫描

系统扫描

nessus或者openVAS，但是openVAS的体量太大了，而且俩都属于大型扫描器

web扫描

vulmap、goby、xray、awvs。xray是长亭的误报有点多，而且之前跟某些前辈学习的时候说不习惯用漏扫，就是因为误报太多了。这里存在xray+bp或者xray+awvs的组合。本篇是用扫出来的路径去写了个脚本，用bp做的代理，bp的上游代理设置为xray，这样就可以将敏感路径全都扫一遍了

应急响应

应急响应为当发现主机遭受入侵后的一系列应对措施，主要查看一下部分，并将异常设置改正

开启启动项
环境变量
资源利用
威胁情报
账户密钥、重装覆盖
定时任务
检查rootkit
日志文件

基于spring生态的基础后端开发及渗透测试流程（二）

安全设备

IDS

蜜罐

安全加固

渗透测试

信息收集

子域名

域名注册信息

企业信息

端口扫描

源码泄露

路径扫描

真实ip探测

js扫描

设备检测

蜜罐识别

waf识别

社工

爆破

漏洞扫描

系统扫描

web扫描

应急响应

相关文章：