安全事件/日志分析之敏感关键字

2022年7月1日10:43:40评论130 views字数 1490阅读4分58秒阅读模式

笔者根据不靠谱的安全实践，总结一些安全事件中碰到的安全相关的关键字。希望通过整理这些关键字帮助大家在产品开发中规避一些错误；在安全监测和分析中快速发现一些安全隐患；在应急响应中快速查找到一些漏洞特征和根本原因。希望大家共同发掘关键字在企业安全工作实践中的场景和更大效用。

安全敏感关键字列表：

关键字类型	关键字内容（不区分大小写）
敏感词类	password、passwd、pwd、pass、userid、username、account、用户名、密码、口令、账号、license、sharekey、encrypt、crypt、密钥、私钥、publickey、privatekey、salt、0.0.0.0、777、666、555、setuid
命令注入类	JAVA：org.mvel、antlr.build、zookeeper.shell、processbuilder、defaultexecutor、commandline、runtime C/C++:exec、execv、execl、execlp、execvp、_wsystem、shellexecute、system、popen PHP：passthru、shell_exec、eval Python：execfile、input、subprocess、commands
SQL注入类	Select、insert、update、delete、union、where、from、order、join、create、drop、group
XSS注入类	document.location、document.URL、document.URLUnencoded、document.referrer、document.write、document.writeln、document.boby.innerHtml、document.open、window.location、window.execscript、window.setinterval、window.settimeout、window.location.href、window.navigate、window.print、location.pathname
反序列化类	JAVA:XMLDecoder、xstream、readObject()、readResolve()、readExternal()、readObjectNoData()、InvocationHandle Python:pickle、cpicle、yaml、jsonpickle PHP:unserialize()、session.auto_start、session.serialize_handler
XXE注入类	JAVA:documentbuilder、xmlinputFactory、saxreader、saxparser、saxbuilder、jaxbcontext、transformer、documenthelper、xmlreader、xmlstreamreader

使用场景：

1、软件开发调试中输出的日志，检查安全敏感关键字，或许可以避免一些安全隐患。

2、在安全大数据监测和分析中，对各种日志（流量、文件、告警等日志）实时检查安全敏感关键字，或许可以发现正在入侵的行为或痕迹。

3、应急响应中，通过对日志检测安全敏感关键字，快速定位日志中的可疑痕迹或漏洞利用痕迹，快速找到安全事件可能的原因。

坚信少却更好，坚定元认知传播，坚持安全美学，拿个主题，讲300秒就够了。

原文始发于微信公众号（表图）：安全事件/日志分析之敏感关键字

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

啊？谁把我黑了？？（一）