53、网站取证调查：识别证据的有效方法

网站取证调查：识别证据的有效方法

在网络安全领域，准确识别网站重定向的源头以及受攻击的客户端环境至关重要。本文将介绍一种用于网站取证调查的方法和系统，旨在有效识别重定向源头和受攻击的客户端环境。

1. 提出的方法和系统

为了识别重定向源头，我们提出了一种构建带有上下文的重定向图的方法，通过追踪重定向和 JavaScript 执行过程，了解哪些内容会重定向到哪些恶意网站。重定向图和 JavaScript 执行图的结合，即“重定向调用图”（RCG），可以弥补语义差距，有助于确定重定向源头的精确位置。

我们的系统使用多客户端环境访问网站，在构建 RCG 的同时识别目标客户端环境。通过设计基于已知漏洞信息的环境配置文件，系统可以最小化环境配置文件的数量，并检测多个分析结果中访问 URL 的差异。

系统主要包括以下几个部分：
- 识别重定向源头作为受攻击证据
- 识别目标客户端环境作为受攻击影响
- **系统实现

下面将详细介绍每个部分。

2. 识别重定向源头作为受攻击证据

识别重定向源头的方法包括以下四个阶段：
1. 监控行为阶段
- HTTP 事务 ：捕获状态码为 3XX 的 HTTP 响应，记录 HTTP 请求 URL、Location 头中的 URL 和 HTTP 状态码，分别作为重定向源 URL、重定向目标 URL 和重定向方法。
- HTML 解析