入侵感知系列之管理后台发现思路

管理后台发现

 

背景：

在B/S架构的系统达到一定量的时候管理后台的管理就成了一个问题，由于种种原因可能系统管理员都不能完全梳理清楚现网所有系统的管理后台，这就可能导致个别漏网之鱼（管理后台）对公网开放了管理员都没发现，从而对企业信息安全造成隐患。

 

目的：

通过多种维度组成多种方案来帮助管理员尽可能多的发现网内管理后台

 

注意：

多种方案可叠加使用，方案与方案之间无互斥关系，多种方案混合使用可提高检测率。如是多种方案叠加使用的话需对结果进行去重处理。

 

思路1（暴力检测）：

这是最传统的一种发现方式，其准确率也最高，但可能对系统性能造成一定影响

1、罗列开放web服务的资产

2、准备后台文件字典

3、将所有开放web服务的资产都用字典扫描一遍

 

 

 

 

 

思路2（提取回包关键字）：

这种方式适合发掘首页即为管理后台的资产（比如网络设备、耗材设备等），对系统性能无影响

1、罗列所有资产

2、向所有资产发送http请求报文，将回包内容中的所有字符串与以下逻辑做匹配来判断是否为管理后台

 

 

 

思路3（嗅探URL关键字）：

在网络入口处、集中管理平台以及SSLvpn的出口处镜像流量，抓取其中http流量中的URL，将URL与字典做匹配。这种发现方式对系统无影响，但需要部署相应网络环境

1、部署镜像流量网路环境

2、提取流量中http数据的URL

3、罗列常见管理后台名称形成字典

4、拿URL去匹配字典