核心内容摘要
Redis 6.2.7安装配置
SOC工具包v
0BugHunter的事件响应建议作者Alican Kiraz阅读时间3分钟发布日期2020年4月3日分享数271大家好我尊敬的同事们以及未来将成为我同事的伙伴们。
在本文中我将以我初入行业时获得的“Bug Hunter”头衔以及近年来塑造我职业生涯的“蓝队成员”身份来探讨我们应如何处理Web安全事件。
我建议您先查看我之前分享的关于处理Web事件的思维导图我将通过解释这个思维导图与大家分享我在Web领域的知识。
在此我要衷心感谢为完善此思维导图提供宝贵反馈的Okan Hazırcı、Emrah Savaş、Ömer Sefa Umay、Caner Ertem、Taylan Barışık、Caner Hamze Canbaz、Hilal Ateş、Halis Baş、Esra Nur Soylu、Burak Özdörtdivanlı、Semra Durna、Onur Can。
现在让我们逐步展开以下步骤
检查SIEM中的查询第一步假设SIEM中反映在列Column中或查询的注释部分出现的、您无法理解的变量需要进行解码。
该值通常可能包含主要的攻击向量。
您应解码此值并将其纳入后续调查阶段。
目标路径分析此步骤的关键在于确定所检查查询中的目标单元是一个变量参数如?alican还是一个目录如..\alican\…。
如果目标是参数这可能引导我们考虑XSS、SQL注入或基于参数的Web攻击。
对于基于路径的尝试警报要么是误报要么源于基于路径的攻击警报。
按回车键或点击查看完整图片图片来源https://portswigger.net/web
状态码检查需要检查目标请求在服务器端返回的响应并处理这些响应。
从这些响应如2xx、3xx系列可以判断攻击步骤是否仍在继续事件调查是否需要深入。
按回车键或点击查看完整图片图片来源https://www.steveschoger.com/status-code-poster/
HTTP请求类型检查在后续步骤中应对初始目标请求之后持续的HTTP请求类型进行检查并跟踪可能引发问题的请求如Post、Options、Delete等。
按回车键或点击查看完整图片图片来源https://www.computing.dcu.ie/~humphrys/Notes/Networks/tanenbaum/7-
jpg同样地即使是通过GET方法传输也应检查是否存在敏感信息或唯一哈希值的分享并将任何可能的哈希值分享通知软件开发团队。
例如…./?auth123123321…
解码后的表达式分析当您解码URL中相关的表达式时如果遇到如、、、(、)等字符以及JavaScript的基本命令表达式如script、onload或类似ononloadload这样的不完整片段那么您所面对的攻击极有可能是XSS。
此时您应特别关注存储型Stored和反射型ReflectedXSS变体。
如果目标区域是类似?search…这样的参数则很可能是反射型XSS如果结构涉及类似?form..的表达具有表单填充性质并能创建存储型攻击条件则不应忽视存储型XSS。
图片来源imperva.com如果查询中包含SELECT、UNION或各种可能表示等式的标识符如111则SQL注入的可能性会增大。
如果遇到包含复杂SQL注入、XSS或命令注入表达式的查询您可以假设这是由类似SQLMap的工具发起的复杂攻击尝试。
如果攻击向量中包含../../../之类的目录表示则可以推测存在路径遍历Path Traversal或本地文件包含LFI攻击尝试。
在这种情况下您可以基于查询和路径使用自己的Web浏览器进行测试来确认。
基本SQL注入的目标通常是管理面板和登录面板而高级攻击向量则针对具有搜索功能的参数。
例如?as
.如果针对此类参数的尝试在SQL查询时未进行适当的输入净化sanitization则可能在后台产生影响并绕过防御。
这里重要的是状态码可能并不显著。
不应忽视返回500或400系列状态码的情况因为这些响应在盲注SQLBlind SQLi和基于错误的SQL注入Error Based SQL中可能被利用。
同样基于时间的SQL注入Time Based和基于错误的SQL注入尝试也不应被忽视。
FINISHEDCSD0tFqvECLokhw9aBeRqgHtVfxALMxIGu/BizQjt0lOIFFQQuuLkgn5bGHJlgguRM1bCSufyOBRkz4vW/QZ24hbFNDiE1lvD8AEripBEdOLEUYEwtg894FmWPoSaoJfn9WW2z7qSIfzoySAG/ZTEQ更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享