第46届世界技能大赛浙江省选拔赛"网络安全"项目B模块(网络安全事件响应、数字取证调查)
第46届世界技能大赛浙江省选拔赛"网络安全"项目B模块
2.1 第一部分 事件响应
- 找到黑客第一次攻击的时间,提交攻击时间
- 找到黑客成功利用的 Web 应用系统漏洞,提交黑客利用漏洞时请求的 URL
- 找到黑客利用 Web应用系统漏洞窃取文件的路径,提交被窃取文件所在的文件夹名
- 找到黑客利用 Web 应用系统漏洞时写入的恶意代码,提交写入的恶意代码
- 找到黑客留下的 WebShell,提交 Shell密码 找到黑客使用的 http tunnel脚本,提交脚本文件名
- 找到黑客使用的提权脚本,提交脚本文件名
- 找到黑客所预留的后门文件,提交后门文件名
- 修改黑客所利用漏洞的相关代码,提交问题代码及修复代
2.2 第二部分 数字取证调查
分析恶意程序并恢复文件
- 分析内存中恶意程序进程,提交恶意进程名称
- 查找恶意程序在硬盘上的隐藏位置的完整路径,提交完整路径
- 分析 PE文件以描述其行为
- 分析恶意程序,提交加密文件的密钥
- 恢复被恶意软件破坏的文件,提交文件中的内容Network.pcap工作任务
分析网络数据包
- 找到黑客进入网站后台系统所使用密码,提交密码
- 找到黑客写入恶意代码的 Web 应用系统文件,提交恶意代码
- 找到黑客所读取到服务器的主机名称,提交服务器的主机名称
- 找到黑客所读取到的数据库用户密码,提交数据库用户密码
- 分析黑客第一次执行命令的行为,提交执行的命令
- 找到黑客留下的 WebShell,提交 Shell密码
- 找到黑客所使用的 http tunnel,提交脚本文件名
- 找到黑客通过 http tunnel 脚本访问的目标 IP,提交目标IP地址
- 找到黑客反弹 Shell 回连后执行的第一条命令,提交执行的命令
- 找到黑客从内网服务器中拿到的敏感文件,提交文件名称
2.3 第三部分 应用程序安全
安全加固
- 配置 Web应用服务器,隐藏版本信息号
- 配置 Web应用服务器,禁用服务器签名
- 配置 Web 应用服务器,设置核心模块(core)的错误日志记录级别为info,其他模块的错误日志记录级别
- 配置 Web应用服务器,禁用 TRACE请求方法
- 配置 Web应用服务器,限制 HTTP请求行的最大字节数
- 配置数据库应用,禁止将用户密码以纯文本的形式被写入各种日志文件
- 配置数据库应用,在错误日志中记录错误信息和警告信息
- 配置数据库中用户权限,撤销特定用户的文件读写权限
- 配置数据库的用户权限,撤销特定用户查询所有用户命令执行信息的权限
- 配置数据库应用,设置所有用户的默认密码过期时间