常见数据库端口
| Mysql | 3306 |
|---|---|
| Oracle | 1521 |
| DB2 | 5000 |
| sqlsever | 1433 |
| Postgre SQL | 5432 |
| MongoDB | 27017 |
| Redis | 6379 |
| memcached | 11211 |
命令行:netstat -ano | findstr port
SFTP、Telnet、SSH
| 协议 | 功能 | 端口 |
|---|---|---|
| FTP | 文件传输 | 21控制/20数据 |
| SSH | 远程登陆-加密传输 | 22 |
| SFTP | ssh+ftp | 22 |
| Telnet | 远程登陆-明文传输 | 23 |
常见安全工具
nmap-端口扫描
burp-抓改包
nessus-漏洞扫描工具
metasploit -攻击框架
awvs,hydra-网络登陆攻击
wireshark
HTTP状态码
| 100 | 继续 client继续请求 |
|---|---|
| 101 | 切换协议,向更高 |
| 200 | 请求成功 |
| 301 | 对象被永久转移,返回新的url |
| 302 | 临时转移 |
| 307 | 临时重定向 |
| 400 | 客户端请求错误 |
| 401 | 要求身份验证 |
| 403 | 服务器理解请求,拒绝访问 |
| 404 | 无法找到资源 |
| 405 | 客户端请求方式被禁止 |
| 505 | 服务器不支持请求的HTTP版本 |
常见安全设备
防火墙,IPS(入侵防御系统),IDS(入侵检测系统),WAF(Web应用防火墙),漏洞扫描设备,数据审计设备。
应急响应流程
1.事件分类:
web入侵、系统入侵、木马病毒、信息泄露、网络流量(DDOS)
2.排查思路:
文件排查(新增的可疑文件) 进程排查(当前活动进程)
系统信息分析,日志分析(windows:事件查看器eventvwr linux:/var/log)
3.分析排查
4.应急总结
步骤:
1.准备已经编译好的工具以及取证分析工具
2.初步判断事件类型(DDOS 、入侵、病毒、木马?)
3.抑制影响范围,防止扩大
4.寻找源头,封堵攻击源
5.恢复业务
6.继续监控 生成报告 改进
防守方工作: 自检&加固
对网站的渗透流程
信息收集
1.服务器相关信息:真实ip 系统类型 版本 开放端口 WAF等
2.网站指纹识别: cms cdn 证书等
3.whois 信息 姓名 备案 邮箱
4.子域名收集 旁站查询 C段
5.google hack 探测网站信息 后台 敏感文件
6.扫描网站目录结构 爆后台 网站banner 测试文件 备份文件的敏感信息
7.IP地址端口扫描 测试ftp mysql ssh 弱口令
漏洞挖掘
sql 注入 xss 命令注入 csrf
漏洞利用
拿webshell (判断后门的工具: chkrookit Rhhunter)
反弹shell----常用命令:nc -lvvp 7777 -e /bin/bash
权限提升
清除测试数据
1.日志测试数据清理
2.总结 输出报告
OWASP top 10
-
注入
-
失效的身份验证
-
敏感信息泄露
-
xml外部实体
-
失效的访问控制
-
安全配置错误
-
xss
-
不安全的反序列化
-
使用含有已知漏洞的组件
-
不足的日志记录和监控
如何判断流量攻击
网站无响应 (链接不到) ,流量异常增长 或 网站加载速度慢
越权
水平
系统如果只验证了能访问数据的角色,可能导致用户可以访问其他用户的数据,造成水平越权。
垂直
由于后台没有做权限控制,导致恶意用户只要猜测其他管理页面的url或敏感信息,就可以访问其他角色拥有的数据,造成垂直越权。
SQL注入原理
用户可以控制参数从前端传输到后端,传入参数可以拼接到sql语句代入数据库查询。
因此攻击者可以通过提交精心构造的数据库查询代码,然后根据网页的返回结果来获知网站的敏感信息
所以,要保持用户输入(外部参数)皆不可信原则。
修复:
1.过滤危险字符(多数cms采用):采用正则匹配union sleep load_file等关键字
2.使用预编译语句:不会将变量直接拼接到PDO(数据库操作)语句中,而是使用占位符进行数据库的增删改查。
xss跨站脚本攻击原理
攻击者向web页面插入恶意代码或数据(脚本),用户浏览时就会解析执行脚本。
xss用途:
网络钓鱼、窃取cookie、弹广告刷流量、篡改页面信息、删除文章、获取客户端信息、传播蠕虫等
分类:存储、反射、DOM
修复:1.过滤输入的数据 2.对输出到页面的数据进行编码转换格式
CSRF 跨站请求伪造
攻击者利用目标用户的身份,用目标身份的名义,执行某些非法操作。
攻击过程:
1.目标用户已经登陆网站,并且能够使用网站功能
2.目标用户访问攻击者构造的URL
SSRF 服务器请求伪造
利用一个可以发起网络请求的服务器作为跳板,去攻击其他服务器
576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
