从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站。
1、IIS
IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。日志文件由时间命名。会记录请求IP、请求方法(Get/Post)、请求url、请求端口、浏览器UserAgent等。
2、Apache
Apache日志存放在<Apache安装路径>/apache/logs/ 目录,httpd.conf也可以配置日志存放位置
access_log/access.log日志记录成功的请求。
error_log/error.log日志记录失败的请求。
日志格式如下:
127.0.0.1 - - [08/Jun/2021:11:43:08 +0800] “GET /sqli-labs/index.html_files/freemind2html.css HTTP/1.1” 200 1335
字段解释:
远程主机IP:127.0.0.1
电子邮箱:-
登录名:-
请求时间:[08/Jun/2021:11:43:08 +0800]
请求类型:“GET /sqli-labs/index.html_files/freemind2html.css HTTP/1.1”
请求状态码:200
发送字节数:1335
Linux 上运行shell命令,系统会记录一定数量的命令,使用history命令可以快速查找到之前使用过的某个历史命令,并快速运行这条命令。