安全应急漏洞排查思路

已于 2023-03-13 15:28:04 修改
阅读量787 收藏 2
点赞数 1
分类专栏: 【应急响应实战笔记】 文章标签: java 安全 编程语言 spring 人工智能
于 2022-04-02 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/124010744
版权
本文探讨了在面临如Spring框架0day漏洞的安全应急场景下,如何快速进行资产梳理、漏洞排查、防护措施以及修复工作。强调了资产重要性,提出自主研发与外部采购系统的不同处理方式,并推荐了相应的安全工具与防护策略。
摘要由CSDN通过智能技术生成

近日,Spring框架爆出0day漏洞,而这样一个框架漏洞,涉及的资产多、范围广、应急时间紧,框架升级的工程量存在较大挑战,考验着整个团队的协作能力。

 

今天我们探讨的话题是,对于突发0day漏洞等安全应急场景,如何快速进行排查和处置。我将分享我的思路和一些理解,欢迎补充和指正。

01、资产梳理

资产是风险管理的基础,摸清家底很重要,但也很难。资产梳理的颗粒度,在面对应急事件时,就会显得多么的重要。

核心资产是需要重要关注的目标,而根据系统建设的方式,我们一般可以将系统分为自主研发系统和外部采购系统。

02、漏洞排查

自主研发系统,可在第一时间联系开发人员进行自查,常用的手工排查方式如下:

查看pom.xml的版本号、查看jar中MF文件版本号
检查Jar包、检查代码引用类

从安全层面上,为确保对所有系统完成漏洞排查,一般可采用批量扫描方式,对所有资产进行快速检测。扫描方式以版本比对、漏洞库比对、POC扫描为主,常用的检测工具有:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Bypass--
关注
专栏目录
订阅专栏
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 1959
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
常见web漏洞排查
Isaacddx的博客
12-19 1079
最近在排查一个项目存在的漏洞的时候,补充了一些知识,搜集了一些资料,整理一下。 弱口令漏洞(weak password) 弱口令没有严格的和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或者破解工具破解的口令均为弱口令。 设置密码通常遵顼一下准则: 不适用空口令或者系统缺省的口令,这些口令众所周知,为典型的弱口令; 口令长度不少于8个字符; 口令不应该为连续的某个字符(例如:A...
如何排查漏洞
黑客CN博客
02-24 553
2. 漏洞扫描:使用漏洞扫描工具,如Nessus、OpenVAS等,对系统进行扫描,以发现已知的漏洞。这些工具会检查系统的配置和已安装的软件版本,并与已知的漏洞数据库进行比对。3. 漏洞利用:在发现潜在漏洞后,可以使用漏洞利用工具,如Metasploit等,来验证漏洞的可利用性。4. 漏洞修复:一旦发现漏洞,需要及时采取措施进行修复。漏洞是指系统或应用程序中的安全弱点,可能被攻击者利用来获取未经授权的访问或执行恶意操作。6. 漏洞管理:建立漏洞管理流程,包括漏洞的跟踪、分析和修复。
计算机网络安全漏洞排查报告,网络安全漏洞自查报告.docx
weixin_28856717的博客
07-17 2198
网络安全漏洞自查报告网络安全自查报告  网监处:  高度重视,立刻组织我院相关部门对我院网络中的安全隐患进行了逐一排查,现将自查情况总结如下:  一、网络信息安全管理机制和制度建设落实情况  一是为维护和规范计算机硬件的使用管理及网络信息安全,提高计算机硬件的正常使用、网络系统安全性及日常办公效率,XX成立以由XX领导担任第一责任人、XX各相关部门参与、XX信息中心负责具体工作的计算机信息系统安全...
网络安全从入门到精通(特别篇I):应急响应之网站入侵排查思路
HACKONE的博客
05-26 174
cmd=whoam,我们在日志中所搜这个漏洞的路径,apache的日志路径logs。成功搜索到了1.14这个IP访问过这个文件,确定攻击者,然后在搜索这个攻击者IP的其他日志确定他的攻击手法和漏洞。访问攻击者访问的页面/default.aspx,发现是登录页面,而攻击者使用的又是sqlmap,且成功注入了。应急人员:在时间和漏洞配合日志没有头绪分析下,就是日志没有东西,也没发现漏洞,可以尝试对后门分析找到攻击行为。我们使用sqlmap检测是否存在SQL注入,发现确实成功了,确定了攻击者的入口。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入)
热门推荐
时光隧道
02-09 7万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
从重大漏洞应急看云原生架构下的安全建设与安全运营(上)
YDclub的博客
01-24 4405
重大漏洞应急响应总结与安全运营驱动的安全能力建设
某网站漏洞排查经验
weixin_34202952的博客
06-05 247
  在这里分享一些之前对某网站会员/用户系统(一般域名都是passport.xx.com)进行漏洞检查查出的一些问题,这些问题大多都是逻辑类漏洞,利用漏洞进行攻击并不需要什么高深的技术能力,所以危害尤其大,把相关经验分享给大家希望大家可以自查。 这里要说明,下面很多漏洞的例子是基于已经获得有效的账号密码(行话说就是密正的账号)的前提的,大家可能会问: 1、怎么可能拿到别人的账号和密码?其实有...
漏洞排查如何认别
2303_78970343的博客
12-10 83
2. 审查设计文档和代码:仔细审查软件或系统的设计文档和代码,查找可能存在的安全漏洞,例如数据验证不足、缓冲区溢出、权限控制不当等。1. 了解软件或系统的功能和架构:在排查漏洞之前,需要了解软件或系统的功能和设计架构,以便更好地理解其潜在的漏洞风险。6. 参考漏洞数据库和报告:参考公开的漏洞数据库和安全报告,了解已知的漏洞类型和攻击方式,以帮助识别可能存在的漏洞。总之,漏洞排查需要综合考虑软件或系统的设计、代码实现、配置和环境等多个因素,通过分析和测试,识别潜在的漏洞风险。
漏洞检测的几种方法
键盘的起始页
07-16 5542
系统安全漏洞,也可以称为系统脆弱性,是指计算机系统在硬件、软件、协议的设计、具体实现以及系统安全策略上存在的缺陷和不足。系统脆弱性是相对系统安全而言的,从广义的角度来看,一切可能导致系统安全性受影响或破坏的因素都可以视为系统安全漏洞安全漏洞的存在,使得非法用户可以利用这些漏洞获得某些系统权限,进而对系统执行非法操作,导致安全事件的发生。漏洞检测就是希望能够防患于未然,在漏洞被利用之前发现漏洞并修补漏洞。本文作者通过自己的实践,介绍了检测漏洞的几种方法。   漏洞检测可以分为对已知漏洞的检测和对未知漏洞
企业安全漏洞综合治理方案
INSBUG的博客
07-14 159
在完成漏洞修复工作后,企业需持续监控已修复的安全漏洞,并向安全团队及时反馈监控到的异常情况,在保证漏洞修复措施有效性的同时,也可以及时发现新产生的安全漏洞。企业在进行漏洞修复的同时也需要做好持续漏洞管理工作,漏洞修复工作只是解决了目前发现的安全漏洞,而新发现的漏洞以及潜在的风险都可能给企业带来很大损失。企业进行漏洞修复的前提是对漏洞进行识别和评估。开展漏洞修复时,团队需要对漏洞修复紧急程度进行分类,制定漏洞修复优先级。不同优先级的漏洞修复时间也是不同的,通常来说,优先级越高的漏洞需要在越短的时间被修复。
Spring框架爆RCE 0day漏洞的临时解决方案
qq_45752401的博客
03-30 670
3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响。 漏洞描述: 作为目前全球最受欢迎的Java轻量级开源框架,Spring允许开发人员专注于业务逻辑,简化Java企业级应用的开发周期。 但在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve.
攻防演练实战:如何快速应对0day漏洞攻击
最新发布
Python84310366的博客
09-02 700
攻防演练过程中,攻击方手握大量0day漏洞资源,利用防守方对漏洞未知的信息差进行攻击。这类攻击往往具备更高的成功率,因为安全监测和防御机制不会针对未知的威胁模式进行过滤和报警。又因为难以感知,导致反应滞后,延误响应;限于数据、信息等资源限制,一时无法分析潜在漏洞,尤其是隐蔽在复杂软件中的问题。针对0day漏洞,全流量的数据价值体现基于对网络流量的全面持续监控,建立正常网络行为的基准模型,对偏离此模型的行为进行告警,实时分析全流量数据亦能即时识别出异常行为。
2023企业微信0day漏洞复现以及处理意见
holyxp的博客
08-13 1万+
漏洞编号:无企业微信0day漏洞可以在/cgi-bin/gateway/agentinfo接口未授权情况下可直接获取企业微信secret等敏感信息,可导致企业微信全量数据被获取。漏洞危害①可导致企业微信全量数据被获取、文件获取,②存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。
0DAY漏洞是什么,如何进行有效的防护
HoewDec的博客
03-27 1453
漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。同时,建立快速响应机制,一旦发现零日漏洞,立即启动应急响应流程,包括漏洞分析、风险评估、补丁开发、测试验证等环节,确保在最短时间内发布安全补丁,降低漏洞被利用的风险。零日漏洞,指的是软件或系统中未被公开的、未被厂商知晓的安全漏洞
什么是0-day漏洞,怎么防护0-day漏洞攻击
dexunyun的博客
04-21 5685
然而,通过加强系统安全漏洞管理、提升安全防护能力、加强安全监控和应急响应以及加强安全意识教育等多方面的措施,我们可以有效应对0day漏洞攻击,保障网络和信息安全。攻击由之前被动式的、传播缓慢的文件和宏病毒演化为利用几天或几小时传播的更加主动的、自我传播的电子邮件蠕虫和混合威胁。3、使用WAAP全站防护,全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。
企业应急响应与安全排查实战指南
4) 应急响应事件处理流程,详细阐述了从发现问题到解决问题的完整路径,包括服务器安全排查、问题事件分析、应用系统安全漏洞排查等环节;5) 事件分类,列举了具体的实例,如未授权访问、Tomcat漏洞、ActiveMQ漏洞等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值