6)XSS攻击:看日志中是否存在或类似的变形的字符串,这类是属于探测类攻击
看日志中是否存在外部url地址,这些地址可能是用于接收管理员信息的第三方平台。
误报排除方法:如果出现大量xss攻击日志,但日志内容格式都是一样的,没有明显变化,则可能是误判
如果攻击日志为json类数据,需和客户确认是否是正常业务,如果是正常业务,则为误判
7)扫描攻击:分为IP扫描,端口扫描,在一定时间能访问了大量的IP或者端口,在扫描IP时会记录IP,扫描端口时不会记录端口
当风险主机访问了多个主机的445端口,会认为是扫描行为。其它协议的扫描行为举证类似。需要审计到正常访问的流 量,并且连接时长会很短,每个扫描的间隔会也会很短
主机遭受外网主机的TCP端口扫描
误报排除方法:可直接通过平台netflow(网络流量日志)判断。提前是ips需要记录对应方向的网络流量日志。对于主机发起扫描事 件,直接在日志中设定筛选条件为:src_ip:ip。过滤出该IP所有的网络流量日志,点击目的端口的小漏斗,查看是否 存在大量的端口记录,如果存在大量端口访问记录,切每个端口访问次数都很小,则认为是端口扫描正判
对于IP扫描则看目的IP是否多个,是否属于同一个网段,思路都是一样的
若如当前还有扫描行为,可以到终端上查看连接情况,使用火绒剑或者SIP闭环工具,可以监听一段时间的网络连接,发现连接的进程,确认是否为误报。其它扫描协议判断方法相似
确认为扫描事件后,向客户了解是否有类似行为的运维工具在运行,若有需要将工具的IP进行加白
如检测到的扫描事件为目的端口不变,目的IP是零散的,很可能是p2p应用的行为。可能通过上网搜索被扫描端口,进行确认
对于主机遭受互联网主机扫描行为,需要确认主机是否对外开放了端口,是否为业务所需要,若不需要建议通过出口设备关闭映射关系;确认是否为客户业务行为
8)系统命令注入:查看到有相关报警后,可以直接查看日志检索中心,查看到提交的系统命令。如“rm -f”、“cmd”、“cd”等系统命令
误报排除方法:可与客户核对,是否业务有该行为,或没有,可判断是有攻击行为
若返回的包为乱码并确认传输数据为非加密时,可以通过请求的数据类型是否为图片等导致展示为乱码。可以判断为误报
9)Struts2攻击:Struts2属于远程命令执行导致的安全问题。通过修改 HTTP 请求头中的 Content-Type值等其它字段来触发该漏洞,导 致远程执行代码
若显示请求数据包请求体内容包含echo、cmd、bin/bash等恶意代码,可能判断为恶意代码被平台识别为远程代码执行
误报排除方法:首先检查Content-Type字段,正常Content-Type 提交的为文件类型字段,不会提交为执行语句
核心排查思路应该是查看请求方向数据是否有反序列化代码,例如java.getruntime,Struts2攻击不是所有的攻击 payload都在content-type里面的,至于是否攻击成功,则要看java中的命令是否有对应的结果在响应页面输出,无 返回数据,判断攻击失败
10)目录遍历攻击:判断条件较简单,只要请求中有…/或者…\就会判断为目录遍历攻击
误报排除方法:确认主机业务情况,是否在业务传输数据包中存在“…/“易被识别为目录遍历的字符
例如,数据包中存在…/…/…/…/…/…/etc/passwd.jpg恶意代码,尝试遍历etc/passwd内容,判断为真实攻击行为
显示响应中未返回任何相关敏感信息,判断为攻击未成功
11)邮件安全:邮件安全包括收、发邮件中的病毒邮件,垃圾邮件和钓鱼邮件中的安全问题,只能检测pop3/imap/smtp和web的http邮 件,不支持检测加密邮件的安全事件
误报排除方法:病毒邮件,判断邮件下载的附件信息,是否为病毒,可以将文件的md5上传至vt上进行确认
垃圾邮件,判断邮件内容或者主题是否存在垃圾信息关键词
钓鱼邮件,判断邮件中是的URL或者文件是否为恶意
主机存在可疑邮件外发行为,检测原理:判断主机是否使用过多域名的邮箱进行邮件外发,如果该主机的邮件业务是客户的正常业务, 则为误报. 否则该主机可能感染了mailer, 需要排查异常进程
12)信息泄露攻击:信息泄露攻击为在攻击起发起请求后,服务器返回系统,中间件等的版本号信息,黑客可以通过返回的版本号信 息,找到对应版本存在的漏洞,进行攻击
误报排除方法:查看日志数据包中否有反馈版本号信息,phpinfo信息或者是网站源码
若是反馈内容没有版本信息,可以展开,查看访问的路径,若没有找到有用信息,可以确认为误报
13)威胁情报类检测:如访问了某家族的通信域名
误报排除方法:以下分析流程使用所有访问恶意域名的安全事件。分析步骤:
1、到wiki.sec.sangfor.com.cn上查看看检测结果。
或者去微步或者vt上可以进一步确认,如果在微步或者vt上也没有,还是走以下的步骤
2、使用EDR等终端安全设备进行全盘扫描,确保扫描时设备的规则库已经更新到最新版本
3、如果没有使用edr查杀到,确认客户主机是否已经有安装过杀软,检查杀软的杀毒记录,以及白名单记录,是否 有可疑的病毒文件
14)Webshell后门:Webshell后门事件为webshell已经被上传到web服务器后,并被访问后检测出来的事件。是事后安全事件
误报排除方法:检测出来的webshell后门误报极少,存在一定的漏报情况。需要有访问webshell的流量才能识别。可以在如下图直 接找到后门文件,再放到windows下用D盾查杀一下就能确认
15)黑链:如赌博等关键字,通过检测关键字识别出存在黑链的网站
误报排除方法:客户网站发的帖子中存在黑链关键字导致误报
有些稍微高级黑链无法在界面上直观看到的,可以使用浏览器查看源代码,找到黑链关键字
再高级些的黑链也不能在源代码只直观看到,会调用js等函数实现,如搜索引擎能查看到黑链但是打开网站无法查看 到。这里可以使用burpsuite或者wireshark访问网站进行跟踪发现黑链的调用后访问的地址
16)Shell反弹:只在日志检测中心可以查看,检测是主机有外连的ssh连接,会被判断为shell反弹
误报排除方法:大部分是误报,只有日志,没有安全事件
若还有连接,可以到主机上使用进程分析工具,监测进程连接SIP报的目的端口的情况
17)HTTP定时请求可疑文件:通过定时下载恶意文件,对病毒进行保活。在一定时间间隔像外网进行请求
误报排除方法:查看下载时间是否有定时特征,比如主机存在一个小时下载一次恶意程序的行为,如果没有定时特征可能是算法有问 题
查询下载URL里面的域名/IP的威胁情报信息,如果域名或者IP是黑的那基本不会是误报了
通过URL直接放到开源云沙箱(比如VT、微步云沙箱)如果URL没有失效且能够杀出毒就肯定不会是误报
威胁情报没有信息,而且URL已经失效可以谷歌域名/IP的信誉度如何,如果是一些正常公司的域名/IP则有可能是误 报
18)下载伪造文件: 通过对比文件后缀与SIP检测到的文件头信息进行对比是否相同,不相同时为伪造文件
误报排除方法:URL里面的文件后缀文件类型与文件头是否符合,比如这里URL里面的文件后缀是一个rar压缩文件但是发现文件 的文件头其实是一个ELF可执行文件,这种就不会是误报
一般URL里面的域名/IP很多也被威胁情报收录了,能够查到相关的威胁情报
概率太低的情况:如果是客户自己的业务,确实存在一个错误后缀类型的可执行文件那可以定义为误报
19)主机存在下载恶意程序的行为:通过http下载可执行程序,通过域名/IP/url的威胁情报识别下载是否为恶意。
误报排除方法:最常用的手段还是查一下URL里面域名/IP的威胁情报,如果是黑的就是准的,如果是知名网站则是误报
可以把URL还有效,放到云沙箱(vt)杀一下
20)主机疑似存在恶意泄露数据风险:出现目录遍历成功的情况、出现.svn/.git源码泄露的情况、备份源码泄露情况、备份数据库文件泄 露的情况
误报排除方法:敏感信息泄露主要分为几种情况:出现目录遍历成功的情况、出现.svn/.git源码泄露的情况、备份源码泄露情况、备 份数据库文件泄露的情况,直接访问url就可以访问到,比较明显,比如.svn目录放到了web目录 被访问到了,可以造成源码泄露
21)主机存在CobaltStrike通信行为:URL包含的域名/ip基本都是C2服务器
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆*
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
6800
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
