sql注入:
自己理解的sql注入比如在网站登录页面上在用户名或密码处,添加sql语句相关的字段,发送到数据库进行读取登录以获取敏感信息。但是现在正经的例如利用数据库中的information_schema内置数据库模式,查询他的列和表名,来获取敏感信息。多重验证。
注入17年高居榜首,如果服务器没有设计参数过滤更能就会导致一些参数的sql语句通过防护得到相应的信息。具体能知道的就是在登录时添加相应的sql语句形成永真式得到通过进入系统。
SQL injection :数据库语句的注入,原理是利用sql语句的连接问题进行注入,例如 select * from SQL username = ‘admin’ AND password = ‘sisiisd’; 通过就一些语句例如OR语句或者–来讲语句的原意进行打破,来进入用户的网站,从而获取相关的信息。具体的语句可以表达为root‘ OR ‘1’ = ‘1 或者 root’-- 两种简便的方式来进行sql注入的攻击。
sql注入类型:
按注入点分类:数字型,字符型和搜索型 1=1和1=2发生明显的变化就是数字型
按数据提交方式分类:get ,post,cookie注入和http头部注入
get,post方法的简单区别:
传输方式:get通过地址栏传输,post通过文件传输。
传输长度:get参数有长度的限制,post无限制
get产生一个tcp数据包,post产生连个tcp数据包。
注入的流程:
1判断是否存在注入,例如利用1=1等进行判断是否是数字型,字符型
2猜测sql数据查询字段数
3确定显示的位置 4 获取当前的数据库和数据库中表和表中字段名
5下载数据
xss(跨站点脚本攻击):有反射型(一次性连接),DOM特殊的反射型,存储型(论坛之类可以多次访问的)http协议是一种无状态的协议,不记录用户的身份,需要服务器自己发给用户身份标识,相当于去吃饭人家给你的订单号,来表示你这个东西叫做cookie,下一次你在来进行的访问还是给你这个cookie,xss就是获取你的cookie登录你的网站,比如说是微博进行恶意连接的发送。通过过滤危险的js代码。
xss防御策略:前端输入进行编码,对特殊字符进行过滤和转义,xss的目的就是获取cookie,可以通过对cookie设置http-only的限制。
csrf(跨站脚本伪造):他和xss相似但是唯一的区别就是他不会获取cookie,而是直接引诱哟用户点击脚本进行恶意操作,来获取用户的数据和捡钱,例如在用打开银行界面时,给用户发送一个类似钓鱼的网站,引诱用户点击执行脚本操作进行转账等操作。
cookie与session的区别:
cookie存在数据存在客户端。session存储数据在服务器端,都以私密的方式存储,都有有效期的说法。
拿游泳池有用的例子来举例:xss就是通过一定的方式拿到了你的手牌然后进行操作,而csrf就是在你打开你柜子的一瞬间,通过一定的欺骗的方式将你骗离实时操作。而ssrf就是针对内网进行攻击的手段。
越权(访问控制失效):2022年变为owasp top1 的危险漏洞,包括水平越权和垂直越权,水平越权是指平级的用户可以相互进行数据的访问和操作,垂直越权值的是小权限的用户可以访问高级权限的用户,整体来看垂直越权的危害更大。具体上就是攻击者利用访问控制缺陷,访问未经授权的功能或者数据。
暴力拆解:
彩虹表攻击,实现前准备大量的明文和哈希密码对,快速获取哈希密码值,并进行匹配来获取明文。
域名劫持:利用社工的方法将你导向自己的网站进行信息的监听,在一个就是劫持域名索要金钱。
zero-day exploits against(可以学习用来攻击服务器,依赖检测深度学习的成果):是一种针对软件硬件安全措施中以前没见过的未知漏洞进行攻击,他的目标可以是软件应用程序和网络浏览器等,为防止该攻击应该网络安全补丁更新到最新,进行强有力的措施比如说访问控制,网络分割金额事件响应计划等,也有现有的技术可以进行防御(利于入侵检测技术IDS和端口安全解决方案等)。
如何渗透一个服务器:
1 信息收集
a 服务器版本号,真ip,端口号
b 证书 cms等网络指纹
c 姓名年龄身份 导入社工库进行查询
2 漏洞检测 检测有没有可以利用的漏洞
3 漏洞利用 利用getshell等获取权限
4 权限提升
5 权限维持 利用Telnet放置后门来维持权限
6 内网扫描
7 内网攻击
8 痕迹清理 日志等的修改或是清理
9 反馈和报告。
应急响应事件的流程:
收集信息:客户端和中毒主机信息。 判断类型:判断是否是安全事件,何种安全事件,例如勒索(域名劫持),挖矿(linux挖矿病毒的检测),和dos(Ddos是在此基础上的变种,主要是肉鸡的利用上的不同)
深入分析:日志和进程分析。 清理处置:可以的话直接杀死,不行的话先封装可疑ip,打补丁和修复文件 产出报告
组策略:通过使用组策略可以批量设置各种软件、计算机和用户策略。win+R 输入gpedit.msc
linux挖矿病毒发现和处理:
1首先查看top是否cpu一直长时间处于100%,查看可疑进程,google查询一下;
2 排查方法:ps -ef | grep kdevtmpfsi;查出进程号;kill -9 进程号,并删除tmp中的相应文件。如果一分钟后又出现了,则可能有守护进程或者是计划任务
3 排查守护进程,crontab -l查看是否有可疑的计划任务
4 先杀死守护进程kill -9 30903 30904(守护进程可能不至一个),在杀死挖矿任务进程kill -9 10393 ,最后删除rm -rf /tmp/wenjianming 执行文件
5 后续检查find -name 文件名看是否还有相应的文件存在,
6 查看linux ssh 审计任务 在/var/log/secure 检测是否含有可疑计划任务
7 完成后书写报告进行总结
window默认有三个权限用户:sys(系统),Adminastrator(管理员),guest(访客)。
如何发现window下的病毒:
1 查看服务器是否存在异常的账号,新增账号隐藏账号等
2结合日志查看管理员的登陆时间和用户是否存在异常
3检查是否存在异常的端口连接和进程,是否存在远程连接可以连接等
4 异常的启动项和计划任务
5webshell查杀 webshell是系统管理员进行web管理的一种工具,具有对web服务器进行操作的权限,可以用来下载文件和查看数据库甚至是创建用户等相关的功能。黑客们尝尝利用自己编写的webshell代码上传到web页面的目录下,通过页面访问的方式进行入侵。
日志文件:记录系统操作事件的文件和文件集合,分为事件日志和消息日志。具有处理历史数据诊断问题的追踪一级理解系统活动具有重要的作用。
安全检测设备:
防火墙:一般在网络的边缘,通过设置一定的访问控制规则,过滤出站入站流量,组织未经授权的访问和恶意攻击。
防毒网关:本质上一个网关,一般在网络的边缘或是内部,通过一定特征识别和行为检测过了和阻止恶意代码的进入,专注病毒的过滤也有一定的传统防火墙的功能。
防毒软件是基于操作系统的病毒识别,防毒网关是居于网络层的病毒识别。
ids和ips的区别是:ids是被动的,只能用于检测,ps是主动的可以用来防御和主动地阻止。
VPN的设备指的是虚拟隧道,公司的人员可以在外面也能访问公司内部的网站。
WAF(web应用防火墙):应用自己设置的一系列策略,用来检测特定特征的漏洞类型进行匹配,成功则进行阻断和过滤。需要一直的病毒类型对于零日病毒等未知病毒,还需要一个强大的特征库,随着AI的发展现在主要的目标应该就是自学习机制来检测未知漏洞。WAF绕过就是利用大写或者重写等的方式来躲过过滤方式的检测,例如<SCR
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
