|
1.首先看处置中心,有些奇怪的域名
可以放到微步上检测一下是否正常,确认是恶意的域名,就可以在防火墙设备上封禁这些恶意链接 另外还要关注风险终端,可以导出报表针对从高到低的顺序对终端进行威胁处理 2.然后看分析中心的----日志检索,看实时的攻击日志 日志分析 1.sql注入攻击,webshell状态码不知关注200的还要关注500的 2.其他的攻击关注状态码200,再做进一步判断 3.筛选攻击类型:sql注入、webshell、xss、系统命令注入、目录遍历 4.状态码为300或者400的额不用关注,确认攻击为不成功 (1)webshell 1.打开url看下--post界面(如果是静态页面绝对不可能攻击,没法上传) 2.查看语句(name或file或filename) 3.上传文件后缀(jsp,jspx,asp,aspx,php) 4.访问上传成功后的路径
(2)sql注入 1. 判断攻击语句select and or 等sql语句(大小写,编码) 2.查看User-Agent(sqlmap) 3.响应数据包内容 4.个人测试
(3)系统命令注入 1.判断攻击语句-cmd命令,ping、dir、ipconfig、linux命令有ls、cat、find、system 2.响应数据包内容(乱码就是没执行成功) 3.多条系统命令 注意(请求包与响应包一致) 3.如果还需要进一步看数据包判断,那么可以在日志检索的高级模式下载pcap包,做进一步分析 | 
发表于 2024-4-30 07:21
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
