web攻击事件取证讲解

1.web访问日志

IIS,Apache,Tomcat,Nginx
W3C格式，NCSA格式
IIS日志特点是一块一块的，每一块都会不同的有信息
POST请求一般关联就是登陆行为，或者向服务端去上传一些数据
状态码302是跳转，可能存在登录成功或者爆破，200是响应成功

2.原生日志

控制台日志，标准出错，标准输出

3.网络流量

4.安全设备告警

比如，WAF，日志服务器，安全网关，防火墙等

5.SQL注入漏洞

6.文件上传漏洞

漏洞原理：应用程序对用户上传文件类型不效验或者校验不严格，导致任意类型文件上传，攻击者可上传webshell

7.框架漏洞

8.中间件漏洞

9.web篡改事件处置