在防御演练中,常见的办法是钓鱼(懂就懂)

在防御演练中，常见的办法是钓鱼(懂就懂)。伴随着大中型防御演练的规范性，对于我们来说演练 安全技能培训紧密结合是最理想的。 以下属于钓鱼演练中遇到的困难与思考，融合高手们开源项目，整理了用开源项目开展招标方钓鱼演练。演练的根本目的为培养公司或者运维安全的安全防范意识，便捷钓鱼演练后连贯性学习培训，加深记忆。 注：文中仅作学习培训参照科学研究，不必运用所学的知识做违法违纪事情，不然后果很严重！ 挑选钓鱼的形式 1.凭据钓鱼方法挑选的初心 · 根据钓鱼获得帐户凭据。大家都需要什么登录权限，账户密码外网地址是否可用？假如克隆页面无法访问外界进攻情景，则非常容易被业务流程考验。保证获得内部结构登陆页面数据的合理性，证实根据钓鱼所获得的账户密码能够进一步借助，证实伤害。 招标方的优势在于掌握财产里的比较敏感关键系统及信息内容，及其帐户有没有被二次认证，导致不能应用。这儿也有一些推动有关帐户服务平台提升多种因素检验的益处。 · 招标方的优势在于了解产品的好习惯与使用关键点，体现在企业所使用的邮件系统、公司职员个人的电脑主机配置等电脑操作系统中mac，其他业务线是windows，落实到系统软件版、杀毒软件等优点。 · 检测业务流程朋友是不是有意识的根据恰当的途径向安全部意见反馈钓鱼电子邮件事情。 2.木马病毒钓鱼和凭据钓鱼的差别 · 木马病毒钓鱼的初心是获得本人计算机软件，并制定横向扩展的聚集点。这时，演练的初心是和办公网络的电脑杀毒软件、总流量财务审计和防御力方发觉和处理水平抗争。在一般情况下，不使用这种形式进行演练。 · 木马病毒钓鱼更贴近红蓝对抗情景，对消费者侵入性大，不适宜规模性演练。假如掌握不好，非常容易务抵触。 · 此次演练挑选获得账户凭据，批量发邮件钓鱼。 信息安全技术学习文件私聊回复信息 销售话术与台本 1. 严禁危害我国个人得失的第一原则，具体内容不可与政冶、新冠疫情、社会舆论、桃色新闻相关。 2. 角色扮演者 ，角色有一定的合理性。举例说明HR、行政部门、公司IT，几乎所有的职工都是有工作中联系。 3. 事件合理性，进行这封邮件之间的互动务必遵照看起来有效和下意识。合理性就是我想点一下这一连接参与活动，由于我看见了电子邮件。这里需要灵活运用甲方的优点开展信息搜集和变换。比较常见的企业通知是什么？与外界进攻对比，我们要更加重视电子邮件泄漏或邮件发送观查电子邮件的好习惯。 4. 推动受害人的个人行为，诱惑或逼迫她们实行你喜欢的事情，例如点一下一个页面，跳转登陆页面，键入账号登陆密码。 挑选钓鱼页面原则 1. 钓什么账号最有意义？我们要在意的是我们可以做点什么来获取这一帐户？登录邮箱？合同书等系统，这一步能够表明伤害点也真实防御过程的进攻链接。 最合适的选择也是有外界sso 内部结构erp这类混和登陆页面是钓鱼克隆页面的最佳选择。 2. 在确认克隆页面后，应注意该页面在钓鱼等方面的合理性。 假如是钓鱼电子邮件帐户，那样台本便是点一下修改邮箱帐号密码，因此克隆页面该是修改邮箱登录密码页面。 假如调用erp账户密码，然后再去台本erp登陆页面登录页面。 因而，在挑选和登陆页面时，大家需要考虑的合理性。 克隆钓鱼页制做进行 1. 克隆页面是内部网服务项目，假如是内部网页面，选择用。SiteCopy返回你海外布署页面克隆VPS在这儿，大家来聊聊为什么使用海外VPS ，这儿还涉及到办理备案难题，由于牵涉到搞混网站域名。解决方法 ： 外网地址VPS 外网地址网站域名。内网系统的登陆页面会有一些考验，就是容易被问到内网的登陆是怎样泄漏的，这一点一定要考虑到进攻场景下的无偏性和合理性。 2. 克隆页面是外网地址服务项目，能够直接用 "Pricking" , 但是有些状况也许不会取得成功，因为有的繁杂的登陆页面依然不兼容。Pricking"那样。因此能用因此能用SiteCopy” 大家在本地布署一个VPS上，在“Pricking” hook登陆账号。#### 页面布署 3. 克隆的的fake必须布署页面VPS在这儿，大家只是从快速部署的视角来开启宝塔面板的挑选。若是有安全隐患，我们自身修建Nginx。 4. 应用宝塔面板签https更方便，能解决电脑浏览器里的感叹号提醒难题。 5. 域名解析绑定域名文件目录十分方便，有时候是一个vps必须多种多样服务时十分方便。文件上传的web管理页面非常方便。 6. 对于克隆页面服务项目(宝塔面板安全性)管理权限最小标准，服务项目最少原则就是不必要，0day不顾及哪些。 使用中开启服务项目，不能使用时关掉。 自动跳转的trick 1. 有效提示 自动跳转，Pricking是nginx代理商基本原理，因此它会纪录大家具体总流量里的请求数据。为了能仿冒闭环控制，客户点一下递交后，即POST 或是 GET数据信息后 ，大家的fake静态数据页面不兼容后端服务，所以必须在数据请求之后进行error模块，在这儿设定一个alert弹窗提醒"xxx活动" 跳转企业社区论坛或wiki（并不是Pricking不兼容哦)这儿应用不一样的画面。 人们只是用Pricking的hook用户名密码作用。 人们只是用Pricking的hook用户名密码作用。 2. 前端js提醒弹窗改动alert的编码 随意自动跳转前端js提前准备编码网站域名 1. 海外域名解析国外域名的主要原因vps迅速剖析，并没有网站域名备案的烦恼。假如实战演练情景必须防止迅速追朔，能选开启网站域名个人隐私保护。 2. 抵抗电脑浏览器，chrome最新版本浏览器会出现钓鱼页面的风险防范。猜想是依据主域名的相似度来判定的，因此我们通过搞混二级域名来绕开它。自然，文件夹名称可以更加真实。chrome浏览器鉴别钓鱼页面，如下图 login.0day.com/redict.html 被鉴别的几率更高一些 login.oday.com.sso1.xyz/redict.html 准确率低 223.21.233.22 ip电脑浏览器目前没有评估风险难题chrome 新版本防钓作用详细 chrome M92 互联网钓鱼检验迅速、更有效 因而，在发送邮件以前，检测网站域名会不会被鉴别为钓鱼页面。在钓鱼页面获得账号登陆密码 1. 钓鱼演练最好是确定客户的登陆密码正确，本质上应当调用sso插口查验账号登陆密码正确与否，使登录名导出，密码是精确的业务方不容易考验数据准确性。 不保留登陆密码，只纪录账户和正确与否登陆密码。 2. 要是没有sso记录，就在fake页面中password获得input在哪儿应用表单数据md5加密码，以保证很多消费者不容易见到弱密码。为了能避免一些负面影响，新项目也向一些业务方带来了编码review保证客户账密在所有演练环节中不会有。 邮箱发送提前准备 1. outlook最先，废弃物过虑制度的授权管理会更好一些。如果你申请注册，大家可以应用10分钟电子邮件注册，并用编码接受服务平台验证电子邮箱，outlook更改昵称以搞混电子邮箱地址。 2. henggeFish大量163电子邮箱，去一些行情软件关键词搜索，163电子邮箱在配备SMTP必须手机验证，现阶段1个手机号码验证15个电子邮箱。脚本制作是一个邮箱发送10个详细地址。也可以根据演练总数测算需要使用是多少邮箱帐号。 SMTP电子邮箱打开会有一个临时性登陆密码，用以邮件发送脚本制作。 3. 密送方法推送，用邮箱发送电子邮件的时候选择密送方法推送，让收货人看不见电子邮件与此同时发给谁。可是要谨慎，由于数据量大。ban。记牢千万不要找电子邮件组发送邮件，造成超过演练区域范围人接到电子邮件。 4. 备好各种工作后，全过程要被检测。