1.EDR是一种终端检测和响应技术,
是通过在终端设备上部署代理程序,实时监控终端设备的行为,以及分析和响应潜在危险
主要包括这这几个主要功能:
实时监控,威胁检测和威胁响应和威胁调查
2.说说Tomcat漏洞
有身份验证绕过漏洞,目录遍历漏洞,远程代码执行漏洞,Session劫持漏洞,Dos攻击漏洞;
Tomacat中间件后缀:.war .jsp .jar .zip
3.Log4j的流量特征
HTTP协议,命令注入,JNDI注入(通过构造恶意的JNDI服务,获取受害者的敏感信息和执行恶意代码),反序列化漏洞(构造恶意的序列化数据,实现远程代码攻击);
4.数据库提权
myserver里面的是sqlserver的管理员账号,拥有最高权限,能够执行扩展存储过程,,并获得返回值,
2005的xp_cmdshell的权限一般是system,2008多数是nt authority/network serverce;
xp_cmdshell提权的有两个前提:拿到sa权限的账号密码,sqlserver服务未降权;
使用xp_cmdshell的方式:
EXEC master..xp_cmdshell 'whoami';
5.Wireshark
过滤端口: http.port=""
过滤httpget:http.request.method==get
6.天眼
dns_type字段含义: 一般是https的流量,可能是ios设备的特征
addr字段含义:发出请求的远程主机的ip地址,remote_addr是客户端的ip,但不是由客户端提供的,而是服务器根据客户端的ip指定的,x_forwarded_for表示http请求的客户端的真实ip
http协议中data
http状态码:200(请求成功),301(资源被永久转到其他url),403(服务器理解请求,但是拒绝for bidden执行)
result字段:返回成功错误的类型
日志分析ip字段是攻击者和受害者
a.如果分析的是Web服务器日志,可以识别出攻击者的ip,如sql注入,xss;
b.如果分析的是防火墙日志,可以识别攻击者的ip如端口扫描,拒绝服务攻击;
c.如果分析的是系统日志,可以识别受害者的ip,如常见的系统漏洞,错误日志;
7.一句话木马(php,asp,aspx)
<?php @eval($_POST['123']);?>
8.CSRF怎么修复
a.添加参数化token;b.尽量使用POST,限制GET;
c.浏览器cookie策略;d.加验证码;e.referer验证
9.SQL注入修护
a.关闭应用的错误提示; b.加waf; c.限制好数据库权限
绕过:双写,内联注释(/*!select*/)大小写,替换关键字,关键函数也替代,组合(and用&&连接再url编码)
预编译:sql语句传入值之前sql语句先交给数据库预处理,构建语法树,原有的sql语句不会在进行编译,简单来说就是一次编译多次运行
10.