- 博客(186)
- 收藏
- 关注
RSS订阅原创 内存马 (下)
本文对比分析了传统文件型Webshell与内存马的差异,重点探讨了内存马的检测思路。内存马作为无文件Webshell,具有隐蔽性强、检测难度大的特点。文章提出了多层次的检测方案:通过内存Dump分析和实时监控检测异常组件和代码;建立组件白名单机制;利用RASP技术拦截恶意行为;结合流量分析发现异常访问特征;最后通过日志和行为分析辅助检测。这些方法共同构成了针对内存马的有效防御体系。
2026-03-05 04:45:00
75
原创 内存马(中)
本文提出针对Webshell和内存马的全流程防御体系,包含前置防护、运行时防护和事后加固三个环节。前置防护强调漏洞修复、权限管控和输入过滤;运行时防护依托RASP、内存监控等技术;事后加固则通过安全基线配置和定期演练等措施。同时制定了应急响应流程,包括紧急处置、后门清理、溯源分析和漏洞修复四个步骤。文章指出内存马具有隐蔽性强、抗查杀能力强的特点,建议构建"漏洞修复+RASP+内存监控+流量审计+组件白名单"的多维防御体系,并加强安全团队技术储备和工具选型。
2026-03-04 03:30:00
561
原创 内存马(上)
摘要:内存马是Web后门的高级形态,通过无文件驻留、劫持Web请求流程实现隐蔽攻击。相比传统文件型Webshell,内存马具有无文件落地、寄生合法进程、动态注册组件等特点,能有效规避传统安全检测。主要类型包括Filter型、Servlet型等,其中Filter型兼容性最强。注入流程通过获取容器上下文、构造恶意类并动态注册实现,可结合反序列化等漏洞直接植入。内存马已成为当前Web安全最大威胁之一,其隐蔽性给检测防御带来严峻挑战。
2026-03-03 04:45:00
1361
原创 【哥斯拉】
摘要:哥斯拉是一款高隐蔽性Webshell管理工具,采用RSA+AES混合加密和动态密钥协商机制,通过HTTP协议深度伪装实现远程控制。其核心优势包括无文件内存马注入、多协议隧道封装及自定义插件扩展,能有效绕过WAF和IDS检测。与传统工具相比,哥斯拉在加密机制和隐蔽性方面显著升级,检测难度更高。防御策略需结合流量审计、主机监控和环境加固,构建分层防御体系,并通过工具升级和应急响应提升防护能力。
2026-03-02 03:30:00
856
原创 冰蝎4.0
冰蝎4.0是新一代加密型Webshell管理工具,通过动态加密通信和自定义传输规则有效规避安全设备检测。相比前代版本,其核心升级包括:1)支持多种加密方式和自定义协议,实现去中心化加密;2)新增内存马注入、内网渗透等高级功能;3)流量特征高度灵活,检测难度大幅提升。防御策略需采用分层防御体系,结合流量审计、行为监控、环境加固和工具查杀,重点防范其无文件攻击和自定义加密特征带来的安全风险。该工具的隐蔽性和多功能性使其成为当前网络安全防护的重大挑战。
2026-03-01 04:45:00
431
原创 冰蝎2.0与3.0
摘要:冰蝎2.0与3.0是两种广泛使用的加密型Webshell管理工具,核心差异在于密钥协商机制。2.0采用动态密钥协商,存在明文传输特征,易被检测;3.0改用预共享固定密钥,全程加密传输,隐蔽性更强。防御策略需针对性部署:对2.0重点监控明文特征和固定请求头,对3.0需依赖全流量审计和异常行为分析。建议结合服务器环境加固、定期Webshell查杀和日志审计等多层防御措施,以应对不同版本冰蝎带来的安全威胁。
2026-02-28 15:36:26
612
原创 蚁 剑
蚁剑是一款基于客户端-服务端架构的WebShell管理工具,通过一句话木马与目标服务器建立加密通信。其核心原理是利用eval()函数执行加密指令,通过HTTP/HTTPS协议传输数据,具有文件管理、虚拟终端、数据库操作等功能模块。使用流程包括上传木马、添加连接和执行操作三个步骤,但默认流量存在User-Agent、POST参数等明显特征,易被安全设备检测。防御措施包括严格文件上传控制、部署WAF、代码审计和日志监控等。需注意蚁剑仅限授权渗透测试使用,未经授权使用将构成违法行为。
2026-02-27 15:45:20
519
原创 中国菜刀
一句话木马是一种单行代码的Web后门技术,通过eval/execute执行客户端POST参数。核心功能包括文件管理、虚拟终端操作和数据库管理。其流量特征明显:固定参数名、Base64编码payload、特定User-Agent和简单加密。常见变种包括PHP的eval/assert变形和ASP的不同执行方式。由于特征明显且不兼容新环境,现已被蚁剑、冰蝎等工具取代。防护建议包括严格文件上传控制、流量监控、最小权限原则和启用WAF检测规则。
2026-02-26 16:41:42
254
原创 关于 webshell
WebShell是一种通过Web服务端口(80/443)植入服务器的恶意脚本后门,采用PHP、JSP等脚本语言编写,具有隐蔽性强、危害大的特点。主要类型包括一句话木马、小型/大型WebShell及加密变种等。攻击者利用文件上传漏洞等方式植入后,通过危险函数执行远程命令,获取服务器控制权。其危害包括数据窃取、服务器沦陷等。防御措施包括严格文件上传校验、禁用危险函数、日志监控等。相比传统木马,WebShell更隐蔽且能绕过防火墙,是当前Web安全的主要威胁之一。
2026-02-25 17:03:05
484
原创 Laravel 框架漏洞
摘要:Laravel框架存在高危远程代码执行漏洞,主要类型包括路由命令执行(CVE-2018-15133)、调试模式命令执行(CVE-2021-3129)和反序列化漏洞(CVE-2019-9081)。影响版本覆盖5.5.x至8.35.1,修复方案包括升级框架版本、关闭调试模式(APP_DEBUG=false)、过滤用户输入及禁用危险PHP函数。实战利用需检测调试模式状态并通过工具注入Payload。应急排查重点检查.env配置和可疑后门文件,建议批量关闭调试模式并升级框架。防御核心在于"升级+安全
2026-02-24 04:00:00
565
原创 shiro漏洞排查
本文提供了Apache Shiro框架安全漏洞排查与修复指南。针对CVE-2016-4437反序列化漏洞,给出5个排查脚本:检测Shiro相关Jar包、验证版本(≤1.2.4为高危)、检查默认密钥、查找危险组件(CommonsCollections)以及临时禁用RememberMe功能的应急方案。问答部分详细解析了漏洞原理(硬编码密钥+反序列化)、影响版本、触发条件及修复措施(升级版本+修改密钥),并对比了Shiro、Log4j2和Fastjson三大Java漏洞的异同。最后建议企业通过版本升级、配置加固、
2026-02-23 05:30:00
756
原创 shiro攻防利用
摘要:本文详细介绍了Shiro反序列化漏洞的利用流程。首先需准备核心工具ShiroExploit和ysoserial,并确认目标系统满足漏洞利用条件。利用步骤包括:1)使用工具或手动方法检测漏洞和密钥;2)用ysoserial生成恶意序列化Payload;3)使用已知密钥加密Payload伪造Cookie;4)监听并发送恶意请求获取反弹Shell。文章还针对常见问题提供解决方案,如更换利用链、检查命令适配性等。整个过程需确保目标系统可出网且依赖可利用组件,最终通过反序列化漏洞获取服务器控制权。
2026-02-22 05:15:00
749
原创 Shiro框架漏洞
Apache Shiro框架的RememberMe功能存在高危反序列化漏洞(CVE-2016-4437),CVSS评分9.8。攻击者可利用默认硬编码AES密钥(如kPH+bIxk5D2deZiIxcaaaA==)伪造恶意Cookie,触发远程代码执行。影响Shiro≤1.2.4版本,后续版本若未修改默认密钥仍可能被绕过。修复方案包括:升级至1.2.5+版本并配置强密钥、禁用RememberMe功能、限制反序列化类白名单等。该漏洞风险极高,需立即排查修复。
2026-02-21 02:00:00
1313
原创 Log4j2 漏洞
Log4j2漏洞(Log4Shell)是2.0-2.14.1版本中,因JNDI Lookup表达式解析缺陷导致的RCE漏洞,触发门槛低(用户输入被日志打印即可),危害极大;根本修复是升级到2.17.1及以上版本,临时修复可禁用Lookup或删除JndiLookup类;与Fastjson漏洞相比,二者均依赖JNDI实现攻击,但成因、触发场景不同,核心防御思路一致。
2026-02-20 06:30:00
2303
原创 Log4j
Log4j1.x与Log4j2核心差异解析:Log4j1.x已停止维护,不受Log4Shell漏洞影响,但存在其他安全隐患;Log4j2是当前主流版本,需升级至≥2.17.1以修复Log4Shell漏洞。二者架构完全不同,Log4j2在性能、功能和安全性上全面优于1.x版本。关键区别在于Log4j2的JNDI Lookup机制导致高危漏洞,而1.x无此设计。建议生产环境统一使用维护中的Log4j2版本,并注意配置文件和API的迁移差异。
2026-02-19 15:21:41
891
原创 ThinkPHP 漏洞(下)
本文提供ThinkPHP框架漏洞修复方案:1)紧急临时修复方案,包括拦截危险请求、禁用高危功能、服务器配置加固;2)版本根治方案,列出各版本升级路径及注意事项;3)专项漏洞修复,针对RCE、SQL注入、文件操作等漏洞给出具体代码示例;4)长期加固措施,涵盖配置加密、权限控制、部署安全等方面。核心修复原则为:先升级框架版本,再实施应急防护,最后进行全方位安全加固。强调必须关闭调试模式、使用参数绑定、配置全局权限中间件等关键措施,并指出临时修复仅为应急手段,最终需升级至最新稳定版。
2026-02-18 05:00:00
917
原创 ThinkPHP 漏洞(上)
ThinkPHP高危漏洞分析与防护建议 摘要:ThinkPHP框架主要存在四类高危漏洞,包括远程代码执行(RCE)、SQL注入、任意文件操作和未授权访问。其中RCE漏洞危害最大,多源于参数过滤缺陷;SQL注入则常见于手动拼接SQL语句的场景。低版本(5.0/5.1)漏洞尤为高发,建议升级至最新稳定版。关键防护措施包括:严格参数绑定、禁用调试模式、配置权限中间件、限制敏感目录访问。遵循最小权限原则,统一使用input()方法过滤输入,并配合WAF等部署层防护措施,可有效降低安全风险。
2026-02-17 05:15:00
1360
原创 Struts 2 漏洞(下)
Struts2框架除OGNL注入和文件上传外,还存在重定向/转发注入、类型转换漏洞、拦截器配置缺陷、依赖组件漏洞和XML配置注入等安全风险。这些漏洞虽非全部高危,但易被组合利用。重定向漏洞源于未过滤用户输入,类型转换漏洞可能引发DoS或信息泄露,拦截器配置不当会导致安全防护失效。修复方案包括:实施白名单校验、禁用动态配置、升级依赖组件、使用安全拦截器栈和固定角色列表。防护核心在于最小权限原则、输入白名单验证和及时版本更新。
2026-02-16 06:30:00
1652
原创 Struts 2 漏洞(上)
Struts2作为经典Java MVC框架,因OGNL表达式注入漏洞频发而面临严重安全风险。其核心高危漏洞包括:远程代码执行(如CVE-2017-5638通过Content-Type头注入)、文件上传漏洞(绕过类型校验)、路径遍历(读取敏感文件)及CSRF攻击。修复方案强调:1)升级至最新版本(2.5.12+/6.3.0.2+);2)禁用动态方法调用并限制OGNL权限;3)严格校验文件上传(白名单+大小限制);4)部署层防护(WAF+最小权限)。安全加固需重点关注输入过滤、危险配置禁用及日志监控,以降低RC
2026-02-15 05:00:00
1726
原创 Spring 框架漏洞
摘要:Spring框架高危漏洞主要包含RCE(如Spring4Shell)、SpEL注入、路径遍历、反序列化等类型。其中Spring4Shell(CVE-2022-22965)影响5.3.0-5.3.17版本,可通过恶意请求实现远程代码执行。防护建议:升级至最新版本(如Spring 5.3.41+),严格校验输入参数,加密敏感配置,加固Actuator端点(仅暴露health/info),禁用危险反序列化。生产环境需定期扫描依赖漏洞,实施最小权限原则,并建立应急响应机制。(150字)
2026-02-14 14:48:02
852
原创 风险评估文档记录
本文档规范了风险评估的标准流程与文档结构,包含5大模块:基础信息、核心评估内容、处置落地、复盘更新和附则。重点明确了资产梳理、威胁识别、风险分级等关键环节的标准化表单填写要求,强调实时更新、权责分明、可追溯等原则。针对不同企业规模和场景提供了简化方案,并指出常见操作误区,如避免责任模糊、冗余记录等。文档要求加密存储、定期备份,设置严格的访问权限和操作日志,确保评估过程规范可查。通过标准化文档管理,实现风险评估全流程的可视化、可追踪和闭环管理。
2026-02-13 05:00:00
1238
原创 风险分析实操
结合中小企业、金融行业、政务单位、互联网电商4 个典型场景(覆盖等保 2.0、数据安全、业务上线、日常运营),从资产梳理→风险识别→量化评估→处置落地全流程拆解实操案例
2026-02-12 05:15:00
827
原创 风险分析(下)
摘要:本文系统介绍了风险分析的方法论与实践要点。在方法工具方面,详细阐述了定性/定量分析、故障树/事件树分析等5种核心方法,以及资产梳理、脆弱性评估等全流程工具链。针对不同应用场景(如等保合规、数据安全等)提供了差异化的分析框架,并指出常见误区如"重技术轻管理"等6类问题。最后强调风险分析应输出标准化文档,包括资产分级表、脆弱性报告等7类核心成果,形成完整的管理闭环。全文覆盖从理论方法到落地实践的关键环节,为风险管理工作提供系统性指导。
2026-02-11 06:30:00
501
原创 风险分析(上)
网络安全风险分析是通过识别资产、脆弱性、威胁和影响四大要素,评估网络资产面临的安全风险,并将其转化为可管理问题的过程。核心流程包括资产梳理与分级、威胁识别、脆弱性评估、风险分析与量化、风险处置(规避/降低/转移/接受)以及持续监控复盘。该过程遵循"可能性×影响"的风险公式,为企业安全决策提供依据,适用于合规建设、安全运营等各类场景,形成动态闭环管理机制。
2026-02-10 09:45:00
1035
原创 已有安全措施确认(下)
企业安全措施常见问题与整改策略摘要 企业在安全措施确认过程中普遍存在"重部署轻运行"等三大问题。技术层面,常见问题包括防护设备空转、日志分散、数据加密不完整等,整改需配置有效策略、部署统一平台、实现全生命周期防护。管理层面,账号管理混乱、制度执行不力是主要问题,应建立账号全周期管控流程、强化制度培训考核。运营层面需提高漏洞修复率、定期应急演练、引入威胁情报机制。核查工作应形成标准化文档,通过三维验证和闭环管理,确保安全措施真正发挥防护作用。建议每季度抽样核查、每年全量核查,持续优化安全体
2026-02-09 06:30:00
616
原创 已有安全措施确认(中)
摘要:安全措施确认标准化流程包含五个阶段:1)前期准备,明确核查范围并制定方案;2)全维度核查,从技术、管理、运营三个层面进行系统检查并记录;3)问题判定,将问题按失效/不完善/缺失分类并评估风险等级;4)整改跟踪,建立台账并分级督办整改;5)总结输出,形成确认报告和优化计划。该流程适用于企业安全复盘、等保测评等场景,确保核查有序、问题可追溯整改,最终建立企业安全防护清单和优化方向。(149字)
2026-02-08 06:45:00
651
原创 已有安全措施确认(上)
已有安全措施确认是网络安全体系建设的基础复盘环节,指通过技术核查、配置审计、实操验证、制度核对的方式,对企业已部署的技术防护措施、制定的管理管控措施、落地的运营保障措施进行全面核查,确认其是否有效部署、是否正常运行、是否符合安全规范、是否匹配业务风险的全过程。
2026-02-07 21:39:53
977
原创 脆弱性识别(下)
脆弱性识别是网络安全风险防控的源头工作,其核心目标并非 “发现所有脆弱性”,而是发现 “可被利用、会造成实际损害的关键脆弱性”,实现 “高风险脆弱性零漏扫、零遗留,中风险脆弱性及时修复,低风险脆弱性可控企业落地脆弱性识别工作的核心要点先建资产基线,再开展识别,确保识别范围无死角;技术 + 管理双维度覆盖,从根源上杜绝脆弱性的产生和反复;自动化工具 + 人工验证结合,确保识别结果精准,排除误报;按风险等级分级定级,优先修复核心高风险脆弱性;建立闭环管理流程。
2026-02-06 06:30:00
605
原创 脆弱性识别(中)
管理脆弱性是技术脆弱性的,但因无明确的技术探测手段,易被企业忽视,识别方法以为主,按分为制度类、操作类、权限类、培训类、运维类识别,
2026-02-05 03:45:00
766
原创 脆弱性识别(上)
本文围绕脆弱性的核心定义与分类、识别核心原则、全维度识别方法、技术工具、标准化流程、常见问题与优化展开,覆盖从基础理论到企业落地的全内容,适配安全运营、蓝队防御、安全运维、代码审计等岗位的实操需求
2026-02-04 05:00:00
1435
原创 威胁识别(下)
文章摘要:威胁识别是企业网络安全防御的核心环节,需结合技术工具、标准化流程和人员能力。开源和商用工具覆盖资产发现、漏洞扫描等全场景,选型需适配企业规模并实现数据互通。标准化流程包括日常识别、应急响应和定期复盘三阶段。常见问题如资产盲区、工具误报等可通过动态资产基线、工具联动等策略优化。安全人员需具备技术分析、业务理解等核心能力。未来威胁识别将向"威胁情报+AI分析+人工研判"方向发展,实现从被动防御到主动预警的转变。
2026-02-03 07:45:00
708
原创 威胁识别(上)
威胁识别是网络安全防御体系的核心前置环节,指通过技术、流程、人员结合的方式,对企业 / 组织内外部可能造成资产损害(数据泄露、系统瘫痪、业务中断等)的安全威胁进行发现、分类、溯源、评估的全过程,是后续威胁分析、响应、处置的基础,核心目标是将未知威胁转化为已知威胁,将潜在风险转化为可管控风险。
2026-02-02 21:14:34
698
原创 资产识别(中)
本文介绍了资产识别的标准化流程与核心方法。资产识别分为准备、识别、整理、核对、归档五个步骤,采用"人工+工具+访谈"方式确保全覆盖。识别后需进行资产分级,依据CIA三元组(机密性、完整性、可用性)评分确定资产等级,为后续防护提供优先级依据。工具选型方面,推荐商用工具与开源工具组合使用,大型企业建议采用综合资产管理平台,中小企业可使用Nmap+Excel的低成本方案。整个过程强调标准化操作、跨部门协作和动态管理,最终形成完整的资产清单和分级报告,为安全防护奠定基础。
2026-01-31 05:15:00
749
原创 风险评估准备(下)
网络安全风险评估需做好标准化前期准备,重点包括:1.明确评估依据(国家/国际/行业/企业标准);2.制定实施细则,规范评估范围、方法、资产分级和风险判定标准;3.建立评估工作管理制度。中小企业可采取轻量化方案,聚焦核心资产和合规要求。准备工作应注重实效性、业务连续性和信息保密,避免流于形式。充分的准备是确保评估结果客观、准确和可落地的关键基础。
2026-01-29 05:30:00
522
原创 DLP (下)
DLP 是数据安全的核心防线,其核心价值并非 “禁止所有数据外发”,而是 “让企业知道自己的敏感数据在哪、如何被操作、如何被防护”
2026-01-27 05:00:00
533
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人