您的位置:首页 > 文旅 > 旅游 > 页面设计美工_ur电商seo平台价值_如何在其他平台做推广_合肥网站建设程序

页面设计美工_ur电商seo平台价值_如何在其他平台做推广_合肥网站建设程序

2024/12/26 14:06:46 来源:https://blog.csdn.net/wangyuxiang946/article/details/144392969  浏览:    关键词:页面设计美工_ur电商seo平台价值_如何在其他平台做推广_合肥网站建设程序
页面设计美工_ur电商seo平台价值_如何在其他平台做推广_合肥网站建设程序
《网络安全自学教程》

在这里插入图片描述

这篇文章,写给每一个「护网黑奴」,为初次护网的小伙伴普及一下护网工作内容,提供一些简单的分析思路。

护网分析研判思路

  • 1、护网组织架构和责任划分
    • 1.1、安全监控
    • 1.2、分析研判
    • 1.3、应急处置
  • 2、分析研判
    • 2.1、判断告警真实性
    • 2.2、判断影响范围
    • 2.3、判断是否与HW相关
  • 3、告警流量分析
    • 3.1、信息泄露
    • 3.2、SQL注入
    • 3.3、文件上传
    • 3.4、XSS(跨站脚本)
    • 3.5、代码执行

1、护网组织架构和责任划分

护网防守队伍整体会分为「监控」「研判」「处置」三个部分,不同客户的叫法可能不一样,但职责是相同的。

分组灵活性非常高,有些单位买的人少,不分组,一专多能,就是啥都干;有些单位买的人多,分成十几个组,什么指挥部、后勤部、机动组、应急组、加固组等等,本质上都是监控研判处置这三类细分出来的。

面试护网的时候,会按照初中高级分类,这个不能全信。面试初级,干高级的活,很常见,不要怕干不了,反正出事了挨骂的是项目经理。

1.1、安全监控

第一次护网基本都是做安全监控,通常叫「监控组」,去到以后给你几个流量监测设备的登录账号,就坐着看设备上有没有告警。

  • 有告警了就简单分析下是不是「误报」,不是误报就把ip报给处置组「封禁」
  • 拿不准的就给研判组「分析」。不分析直接让封IP也行,毕竟有没有分析过,只有你自己知道。
  • 监控的原则是 “宁可错杀一千,也不放过一个” 。封错了大不了用户反馈业务被拦了,处置组给解封就行;但如果打进来了,平台有告警但你没上报,那就是你的问题了。

往年成绩好的单位给护网的优先级通常比较高,比如我在某银行的一次护网,要求零失分,但给我们每个人停掉任何系统一小时的权限;但有的单位就比较重视业务,核心业务被打了也不会轻易下线。

1.2、分析研判

通常叫「分析组」或者「研判组」,判断告警是不是「误报」、是不是「攻击队」打的。

具体操作方式我会在下面的分析研判部分详细讲解。

1.3、应急处置

通常会分成「应急组」「处置组」

处置组就是「封IP的」,去到以后给你个防火墙的登录账号,里面有提前建好的HW封IP的策略,有人让你封IP了,就往策略组里加IP。客户通常会提前准备一个白名单,封之前搜一下白名单,别封错了。

应急组就要有一点点技术了,一般会要求有几次护网经验。被打的时候上机排查,没事的时候就坐着。应急处置参考:

  • 护网告警处置SOP
  • Windows应急响应排查思路
  • Linux应急响应排查思路

2、分析研判

正常情况下,这是HW中级工程师的活,初级只做监控,但很多时候监控组也是要研判的。

为什么这么说?因为我就是那个负责分析研判的监控组!

在这里插入图片描述

当然,我也不是最惨的,听说今年有个客户,防守队就买了一个人,被人家拿了好几个服务器在内网疯狂扫。客户生气把项目经理喊过去,经理过去人傻了,单听过一专多能,也没见过千手观音啊。

2.1、判断告警真实性

HW发现攻击,主要依赖安全设备的告警,监控组会初步筛掉误报,只有真实攻击才需要处置或应急。但我们前面也说了,监控组为了客(gui)户(bi)安(ze)全(ren),会尽可能的将所有告警都上报,所以判断告警真实性的任务就落到了研判组这里。

(有些客户只分监控、处置、应急,没有单独的研判组,这种情况就得监控组来研判了)

根据「请求」「返回」的内容来判断,分析请求体里面有没有对应payload,返回的状态码是200还是404,响应的内容跟攻击的内容是否有关联性。

  • 比如一个status2漏洞,请求里有payload,说明是真实攻击;但响应状态码404,说明攻击失败了,封IP就行。
  • 比如一个SQL注入,请求里有完整的SQL语句,说明是真实攻击;响应状态码200、响应SQL语句对应的执行结果,说明攻击成功了,要走应急处置了。

只要确定是「真实」的攻击,就直接「封禁IP」

为什么?因为他都打你了。直接在源头解决问题,万一他下次就攻击成功了呢。

2.2、判断影响范围

影响评估可以粗暴的分为两种:直接「获取权限」的漏洞和其他漏洞。

护网淘汰的依据不是你挨了多少打,而是你的最高权限有没有被拿到,当服务器权限被三个攻击队拿到时,参与单位会被直接「淘汰」,这也是用户最关注的地方。

webshell、RCE、SQL注入这种能直接获取权限的,肯定严肃处理,重点关注受害地址为攻击源IP的流量告警,判断有没有反连的情况,被拿了权限以后及时发现的话,会加分。

XSS、文件读取这种不能直接获取权限的,关注度就没这么高了,该封的就封,主打一个快速处置。

2.3、判断是否与HW相关

「攻击队」的IP会在墙上单独开一条策略组,临时封,HW结束后统一解封。

但非攻击队要放到平时的策略组里,永久封。所以我们必须区分攻击是不是「攻击队」的。

下面简单介绍几个判断攻击队的方法:

1)国外IP

攻击队为了隐匿自己的攻击痕迹,往往会使用国外的IP,防止被溯源。

2)新IP

攻击队只有在活动期间,拿到授权以后才能渗透。

因此,活动期间才出现的新IP,大概率是攻击队。

3)恶意攻击类型

勒索、挖矿、蠕虫、僵尸网络等破坏性的攻击行为,是活动期间明令禁止的,这类攻击可以排除攻击队的嫌疑。

相反,CS远控、异常域名请求、框架和组件漏洞利用的这种获取权限攻击行为,则要重点关注。

4)攻击时间

晚上的防守力量远低于白天,攻击队通常会在后半夜重点攻击。

5)地址段

同一地址段,短期内对单位中多个资源发起攻击,基本可以确定是红队。

6)第三方情报

厂商每天都会根据威胁情报提供疑似的攻击队IP,比如奇谋信的白泽,HW期间可以跟厂商要来IP表,在墙上统一封禁;有天眼的话可以把IP导入攻击源,分析攻击路径,检查哪些主机被打了,要不要处置。

3、告警流量分析

监控、研判组可以根据以下思路分析告警流量,确认是不是误报。

3.1、信息泄露

访问路径中有特殊文件或路径,并且不是业务触发的,可以判定为真实攻击。比如:

  • 访问备份文件.zip

在这里插入图片描述

  • 访问默认文件

在这里插入图片描述

  • 访问特殊类型的文件

在这里插入图片描述

(客户授权后)访问该路径,如果返回结果包含对应的敏感信息,就判定为攻击成功。

3.2、SQL注入

请求参数、请求头或请求体里有完整SQL的,可以判定是真实攻击(前端拼接SQL再传到后端执行等类似业务除外)。

多次请求,SQL不完整只有关键字的,可能是测试攻击。

  • GET请求中包含SQL语句(联合查询注入)

在这里插入图片描述

  • 请求头中包含SQL语句:

在这里插入图片描述

  • POST请求体中包含SQL语句:
    在这里插入图片描述

有时会改变SQL关键字的大小写或编码,用来绕过,可以用流量监测工具自带的工具解码。

  • 大小写绕过:

在这里插入图片描述

  • 编码绕过:

在这里插入图片描述

(客户授权后)可以复现payload,如果响应了SQL执行结果,就判定为攻击成功。

3.3、文件上传

请求体包含代码内容,可以判定为攻击成功。比如:

在这里插入图片描述

响应体有 success 等上传成功的字样,或者有该文件的访问记录,就判定为webshell上传成功。

3.4、XSS(跨站脚本)

请求参数或请求体包含完整的JavaScript代码,可以判定为真实攻击。比如:

在这里插入图片描述

将响应体的数据复制到本地文件中执行,如果弹窗,就判定攻击成功。

多次请求,不包含完整JavaScript代码,但携带不同关键字的,可能是测试攻击。 Ctrl+F 搜常见标签:

在这里插入图片描述

3.5、代码执行

请求参数、请求头、请求体中包含完整代码,可以判定为真实攻击。比如:

  • 请求体中包含PHP代码

在这里插入图片描述

  • Dedecms V5.7后台任意代码执行

在这里插入图片描述

  • Fastjson反序列化漏洞攻击

在这里插入图片描述

  • ThinkPHP 5.0.x—5.1 远程代码执行

在这里插入图片描述

如果响应中包含代码的执行结果,就判定为攻击成功。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com