项目的大致实施方案是:设计多种不同的攻击测试场景,部署Security Onion监控相关网络流量,通过对安全事件的分析,深入了解和掌握Security Onion SOC中集成的各种工具、组件的使用。其中,搭建的主要的网络场景如下:
环境准备:security onion环境的搭建
场景一:SQL注入(字符型注入)攻击与洋葱分析
场景二:文件上传攻击与安全洋葱分析
子任务一:SQL注入(字符型注入)攻击与洋葱分析
SQL注入(字符型注入)攻击简单来说,就是利用特殊字符或字符串来注入恶意的SQL语句片段。在完成上述的攻击完成后,我们将在Security Onion中查看捕获到的high级别的危险告警,并去观察里面的告警规则和编解码。通过这些信息我们可以弄清楚SQL注入(字符型注入)攻击与安全洋葱告警里面元数据的关系,例如:在攻击开始的那段时间内网络中发生了什么。经过分析后,我们就可以明白SQL注入攻击的特征。
子任务二:文件上传攻击与安全洋葱分析
文件上传攻击,即文件上传漏洞,常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限。在完成攻击后,当我们在Security Onion中查看捕获到的高级别危险告警时,我们可以通过观察告警规则、编解码和元数据来理解文件上传攻击的攻击特征,以及安全洋葱内部对于该类攻击的分类。