Web安全逻辑
- 安全研究员根据漏洞的形成原因分析漏洞payload
- 根据payload在流量中的表现形式定义检测方法(算法、规则等)
- 进行测试
- 通过测试后发布到产品
Web安全分析
前置条件
- 需要读懂payload的能力
- 需要有一定的流量分析能力
进行Web安全分析的原因
Web安全分析是通过对安全产品的安全事件进行分析,确认当前站点的安全性
Web安全分析的目的
事件的产生来源于漏洞的利用方法,通过对时间的分析检查Web站点的安全性。可以在事中发现情况进行封堵、事后进行溯源。
分析流程
- 确认攻击者的目的
- 根据攻击者的目的来分析流量
- 根据对流量的分析来确认事件的结果
如何确认攻击者的目的
- 产品告警产生的安全事件,都会通过事件名+说明来说明这个事件,我们可以从事件名与说明中获取一部分信息。
- 事件名大多数标注为漏洞类型,所以不同的漏洞类型一定程度上能说明攻击者的目的
- 看懂payload且熟知漏洞原理能判断出最准确的目的
如何根据攻击者的目的来分析流量
- 需根据事件名(事件说明)来判断当前事件的预期目的
- 根据预期目的结合流量分析安全事件并下定结论