告警流量特征分析(护网蓝初面试干货)

这篇具有很好参考价值的文章主要介绍了告警流量特征分析(护网蓝初面试干货)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、流量特征

1、SQL注入

2、XSS

3、挖矿行为

二、webshell流量特征

1、中国菜刀

2、蚁剑

3、冰蝎

三、对告警流量分析

1、信息泄露

2、SQL注入

3、文件上传

4、XSS

5、代码执行


一、流量特征

1、SQL注入

(1)对sqlmap的判断:若攻击者使用sqlmap且未加 --random-agent参数,则可以通过捕获请求包的user-agent字段来判断攻击者是否在使用sqlmap进行攻击;sqlmap在进行初识监测时会进行一些预检测,第一条语句是对数据库类型和XSS漏洞进行监测,且这句话几乎每次注入都不变,即我们可以通过XSS测试语句判断。

(2)出现一些特殊字符:比如单引号括号'(

(3)出现SQL命令或语句:增加、删除、修改、查询

(4)出现注释符号:比如连续两个减号--

(5)url上出现万能密码字段:'or'1'='1

2、XSS

payload包含<script></script>标签;

标签的一些事件:比如onclick、ondbclick、onload;

标签的超链接属性:比如href、src。

3、挖矿行为

若存在连续几个数据包中都符合stratum协议的json载荷特征,那么主机存在挖矿,stratum协议是目前主流的矿机和矿池间的TCP通讯协议,也可通过CPU使用率来判断,找到CPU占用高的进程获取PID信息。

二、webshell流量特征

1、中国菜刀

请求体中存在eval、base64等特征字符;

连接过程中使用base64编码对发送的指令进行加密;

还有一段以QG开头,7J结尾的固定代码。

2、蚁剑

默认的user-agent请求头是antsword XXX(不过可以修改)

一般将payload进行分段,分别进行base64编码;

一般具有像eval这样的关键字和@ini_set("display","0");这段代码。

3、冰蝎

PHP代码中可能存在eval、assert等关键词;

jsp代码中可能会有get class(),get class loader()等字符特征。

三、对告警流量分析

1、信息泄露

看访问路径中是否存在特殊文件或路径

2、SQL注入

看请求参数、请求头、请求体中是否包含SQL语句或关键字(比如union select)

3、文件上传

看请求体中是否包含代码内容(如果响应体中有success等上传成功的字样,或者有该文件的访问记录,则说明webshell上传成功)

4、XSS

看请求参数或请求体中是否包含JavaScript代码,将响应体的数据复制到文件中执行,如果弹窗,说明攻击成功。

5、代码执行

看请求参数、请求头、请求体中是否包含恶意代码(比如请求体中包含PHP代码,fastjson反序列化攻击,thinkph5远程代码执行)文章来源地址https://www.toymoban.com/news/detail-477367.html

到了这里,关于告警流量特征分析(护网蓝初面试干货)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 文件操作安全之-目录穿越流量告警运营分析篇

    本文从目录穿越的定义,目录穿越的多种编码流量数据包示例,目录穿越的suricata规则,目录穿越的告警分析研判,目录穿越的处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的目录穿越类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。

    2024年02月03日
    浏览(32)
  • [玄机]流量特征分析-蚁剑流量分析

    流量特征分析-蚁剑流量分析        题目做法及思路解析(个人分享) AntSword(蚁剑)是一款开源的网络安全工具,常用于网络渗透测试和攻击。它可以远程连接并控制被攻击计算机,执行命令、上传下载文件等操作。 蚁剑与网站进行数据交互的过程中,发送的数据是经

    2024年01月25日
    浏览(47)
  • 冰蝎4.0特征分析及流量检测思路

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带

    2024年02月06日
    浏览(43)
  • Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

    使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 payload特征: PHP: ?php @eval($_POST[\\\'caidao\\\']);? ASP: %eval request(“caidao”)% ASP.NET: %@ Page Language=“Jscript”%%eval(Request.Item[“

    2023年04月24日
    浏览(42)
  • webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)

    目录 写在前面 菜刀 蚁剑  冰蝎  冰蝎2.0 冰蝎3.0  冰蝎4.0  哥斯拉  菜刀、蚁剑、冰蝎、哥斯拉是常见的webshell管理工具。在攻防演练中,了解其常见webshell管理工具的流量特征对防守方来说十分重要。常见的webshell也在不断发展以绕过安全设备waf的检测,其流量特征也在不断

    2024年02月13日
    浏览(38)
  • hvv蓝初面试常见漏洞问题(上)

    可控变量 变量会带入数据库查询 变量不存在过滤或者变量过滤不严格 判断是否有注入点 order by 判断字段数量 union select 报错查看注入点 使用函数查看数据库相关信息 注入类型:报错、联合、盲注(布尔,时间)、堆叠 注入提交方式:get,post,cookie,文件头 \\\"id=1\\\"正常 试试

    2024年02月06日
    浏览(40)
  • hvv蓝初面试常见漏洞问题(下)

    hvv蓝初面试常见漏洞问题(上) 服务端伪造请求 服务端提供了向其他服务器应用获取数据的功能,而没有对目标地址做任何过滤和限制。攻击者进而利用其对内部资源进行攻击。(通俗来说:就是攻击者可以伪造服务端发起请求,从而获取客户端所不能获取的数据) http:超

    2024年02月06日
    浏览(71)
  • 护网面试题4.0

    目录 1.设备误报如何处理? 2.如何区分扫描流量和手工流量? 3.网站被上传webshell如何处理? 4.给你一个比较大的日志,应该如何分析? 5.了解安全设备嘛? 6.了解过系统加固吗? 7.CS是什么东西,知道怎么使用吗? 8.WAF方面有没有了解过,清楚WAF的分类和原理吗? 9.Powershe

    2024年02月05日
    浏览(34)
  • 护网面试题2.0

    通俗点讲的话: XSS通过构造恶意语句获取对方cookie , CSRF通过构造恶意链接利用对方cookie,但看不到cookie XSS比CSRF更加容易发生,但CSRF比XSS攻击危害更大 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web安全漏洞,攻击者可以通过注入恶意脚本,获取用户的敏感信息或者

    2024年02月13日
    浏览(29)
  • 护网面试题

    **1.Metasploit(MSF)**是一款开源的渗透攻击工具,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。 它本身附带数百个已知软件漏洞,是一款专业级漏洞攻击工具 MSF所用功能主要可分为这几个模块: 1、Auxiliary(辅助模块) 为渗透测试信息搜集提供了大量的辅助模块支

    2024年02月06日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包