威胁类型:
一、XSS攻击原理
跨站脚本攻击是指攻击者向网站页面注入HTML、JS或CSS代码,当用户访问被攻击的页面时,嵌入在HTML页面中的攻击代码就会执行。
风险危害
攻击者以此获取用户的敏感信息。
排查建议
- 看日志中是否存在或类似的变形的字符串,这类是属于探测类攻击;看日志中是否存在外部url地址,这些地址可能是用于接收管理员信息的第三方平台。
- 如果出现大量xss攻击日志,但日志内容格式都是类似的,没有明显变化,则可能是误判。
- 如果攻击日志为json类数据,需确认是否是正常业务,如果是正常业务,则为误判。
处置建议 - 请修改应用程序代码,勿在网页请求链接的参数中直接传递HTML属性与事件。
- 使用下一代防火墙新建一条安全防护策略,启用WEB应用防护功能
二、目录遍历原理
目录遍历漏洞是指服务器配置或应用程序对用户的目录访问控制不当而造成的漏洞。
风险危害
攻击者在浏览器的请求连接中添加额外的 …/ , …\ 或者编码字符(如UTF-7或者Unicode字符),可以访问到服务器上网站目录之外的目录
排查建议 - 查看数据包URL是否有明显的“…\”字符串,排查是否为正常业务请求,如果存在非用户正常业务则为正报。
处置建议 - 请修改应用程序代码,勿在网页请求参数中传递目录访问标识符。
- 使用下一代防火墙新建一条安全防护策略,启用Web应用防护功能
三、通用的Webshell上传原理
WebShell 木马是一种对网络服务器的恶意攻击,木马中的代码执行时可以窃取服务器资料或者获取服务器管理员权限。攻击者通过文件包含、文件上传等手段将WebShell木马上传到目标网站目录中,以此攻击网站。命中该规则表明检测到攻击者企图向Web服务器上传包含PHP执行代码字符串函数木马。
风险危害
攻击者可以利用上传WebShell获取敏感信息、执行任意代码、访问未授权数据。
排查建议 - 查看请求包是否包含明显的webshell脚本代码,如果存在则为正报,如果为正常业务提交则为误报。
处置建议 - 升级业务系统版本至最新版本。
- 使用下一代防火墙新建一条安全防护策略,启用Web应用防护功能。
3.文件上传限制上传文件类型,上传目录文件禁止解析。