【防守方基础】危险报文识别

  • A+
所属分类:安全文章


答应我,别光收藏转发过后就不看了,好不好



上次发的我删了,重发一遍,这次加了几种报文类型,还是比较简单基础的。过几天我再写篇详细具体的,包括怎么看安全防护设备、不常见的报文怎样辨别、什么程度应该封禁IP、遇到红队IP怎么处置、从发现风险到封禁上报怎样快速简便的解决以简化流程等等。HW嘛,当无数攻击来袭时,你不可能全都手工完成,这样你根本封不过来,也无法好好分析,除非你人多,所以此刻就体现出工具的重要性了。这些后面都会出系列教程,保证小白看完直接能上岗作业,好了,先来康康最基础的吧

【防守方基础】危险报文识别



1
【防守方基础】危险报文识别
信息泄露类


这种情况是最常见的,也是最难以捕获的,因为它也许不用攻击数据就能轻易获取,尤其是报错探针页面,配置不当可能泄露很多东西【防守方基础】危险报文识别

别看它危害小,但往往某个不起眼的信息就可以成为突破点
【防守方基础】危险报文识别

2
【防守方基础】危险报文识别
命令执行类


此类攻击多以echocurlwgetcdpingcatls等命令出现,还是很好辨认的


在GET参数中执行命令

【防守方基础】危险报文识别

在POST参数中执行命令
【防守方基础】危险报文识别
在请求头中执行命令

【防守方基础】危险报文识别
除了普通的系统命令,还有特殊构造的命令执行语句,比如这种利用thinkphp漏洞进行命令执行

【防守方基础】危险报文识别

3
【防守方基础】危险报文识别
代码执行类


URL中有编码后的数据

【防守方基础】危险报文识别

码之后是这样的
【防守方基础】危险报文识别
百度可知这是漏洞cve-2012-1823的攻击代码,网上有exp
【防守方基础】危险报文识别

4
【防守方基础】危险报文识别
文件上传类


伪装成压缩文件的测试木马
【防守方基础】危险报文识别
伪装成图片的一句话木马
【防守方基础】危险报文识别

5
【防守方基础】危险报文识别
SQL注入类


在GET参数中注入sql语句

【防守方基础】危险报文识别

在请求头中注入sql语句


【防守方基础】危险报文识别

6
【防守方基础】危险报文识别
文件读取类


在GET参数中读取文件
【防守方基础】危险报文识别

7
【防守方基础】危险报文识别
SSRF


@绕过域名或ip白名单检测

【防守方基础】危险报文识别

利用gopher协议进行SSRF攻击,原理可参考:https://zhuanlan.zhihu.com/p/112055947


【防守方基础】危险报文识别


8
【防守方基础】危险报文识别
XML实体注入类


在POST请求中出现攻击命令,xxe漏洞也可读取任意文件【防守方基础】危险报文识别

8
【防守方基础】危险报文识别
XML实体注入类
9
【防守方基础】危险报文识别
XSS跨站脚本类


这类攻击最明显的标志是<script>alert(/xxx/)</script>


【防守方基础】危险报文识别


但这种一眼就能看出来的肯定会被拦,所以通常会伪装一下,虽然安全设备检测到了,但是没有标红具体的攻击报文,如果不是量太大,粗心的小伙伴可能就会放过他了


【防守方基础】危险报文识别


解码之后...这只是最简单的Unicode编码


【防守方基础】危险报文识别


xss还有变种,需要你不断的去积累,这是网站https://aem1k.com/aurebesh.js/#


【防守方基础】危险报文识别


10
【防守方基础】危险报文识别
敏感文件探测类


这类攻击主要探测一些敏感文件,如:网站备份文件、配置文件、源码泄露文件等等


【防守方基础】危险报文识别


危害比较小,自查做到位了是不用怕它的


【防守方基础】危险报文识别


11
【防守方基础】危险报文识别
其他特殊攻击载荷


【防守方基础】危险报文识别


这是struts2 S02-45的攻击载荷


【防守方基础】危险报文识别


【防守方基础】危险报文识别


这是挖矿病毒的匹配规则


【防守方基础】危险报文识别


还有很多很多就不一一例举了,总之没见过的就去百度,频率高量大的格外注意,遇到编码就去解别嫌麻烦,当然很多设备会有误报的情况,有些匹配规则会将正常业务数据拦截,如果规则没配置好是很烦人的,以后再讲这种情况应该怎么办,今天就到这吧,再见


欢迎关注公众号,原创不易,转载请注明来源【爱国小白帽】😘

【防守方基础】危险报文识别


【防守方基础】危险报文识别

点个赞,证明你还爱我



本文始发于微信公众号(爱国小白帽):【防守方基础】危险报文识别

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: