第73天-应急响应-WEB 分析 php&javaweb&自动化

原创 已于 2022-04-28 20:01:28 修改 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2022-04-28 19:32:30 首次发布
本文详细介绍了应急响应的五个阶段,包括保护、分析、复原、修复和建议,并强调了熟悉WEB安全攻击技术和日志分析的重要性。通过案例展示了如何在Windows和Linux环境下分析IIS和Nginx日志,查找入侵迹象,如指纹库搜索、后门追查和漏洞检查。此外,还推荐了实用的Web日志安全分析工具和Webshell检测工具,帮助进行安全防护和问题排查。

思维导图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zIyjVijq-1651145129320)(image73/73.png)]

知识点

应急响应:

保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。

必备知识点:

1.熟悉常见的 WEB 安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等

准备工作:

1.收集目标服务器各类信息
2.部署相关分析软件及平台等
3.整理相关安全渗透工具指纹库
4.针对异常表现第一时间触发思路
从表现预估入侵面及权限面进行排查

有明确信息网站被入侵:

基于时间 基于操作 基于指纹 基于其他

无明确信息网站被入侵:

1.WEB 漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描

常见分析方法:

指纹库搜索日志时间分析后门追查分析漏洞检查分析等

演示案例:

Windows+IIS+Sql-日志,搜索

故事回顾:某小企业反应自己的网站出现异常,请求支援

查找日志路径

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9M7LAf35-1651145129321)(image73/73-1.png)]

日志功能IIS是默认开启的(如果站长关闭了日志,那就很遗憾只能从别的方面进行分析)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bco2s2d2-1651145129322)(image73/73-2.png)]

查找日志文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T4SIAWkw-1651145129322)(image73/73-3.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7jC4tpjk-1651145129323)(image73/73-4.png)]

查看日志文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TqlSjv7y-1651145129323)(image73/73-5.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q3ZVwr5f-1651145129324)(image73/73-6.png)]

日志默认记录事项(可自由设置)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SSzi0rdk-1651145129324)(image73/73-7.png)]

可以进行指纹库搜索,比如sqlmap

在这里插入图片描述

也可以进行关键字搜索,比如select

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qyDT3gp9-1651145129326)(image73/73-8.png)]

Linux+BT_Nginx+tp5-日志,后门

故事回顾:某黑x哥哥反应自己的网站出现异常,请求支援

日志分析
  • 查找日志

- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2AnU3LsD-1651145129326)(image73/73-10.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B0l4XzpS-1651145129327)(image73/73-11.png)]

  • 日志分析
  • 典型目录文件扫描[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Uub5pSsI-1651145129327)(image73/73-12.png)]
  • 蚁剑连接后门[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OuNeggEc-1651145129328)(image73/73-13.png)]

  • 利用ThinPhP5 漏洞[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ux2KQT5F-1651145129328)(image73/73-14.png)]

  • 尝试模拟访问攻击(按照日志一条条测试)

  • 在这里插入图片描述

后门查杀

  • 目录查杀,后门脚本[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1GZAEvMz-1651145129329)(image73/73-16.png)]

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TWfVRKrB-1651145129329)(image73/73-17.png)]

工具分析
推荐 | 10个好用的Web日志安全分析工具

360星图

Linux+Javaweb+st2-日志,后门,时间

根据webshell关键字找到是谁,在何时上传了后门,何时利用

日志太多,使用工具-FileSeek文件搜索工具

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4cjH9HcL-1651145129330)(image73/73-22.png)]

360 星图日志自动分析工具-演示,展望

缺点:
支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合

下载地址:
目前官方已经停止维护,可自己百度下载

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cIiugikT-1651145129330)(image73/73-20.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nsYsjxzn-1651145129330)(image73/73-18.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L03sj8ig-1651145129331)(image73/73-19.png)]

涉及资源:

360星图
推荐 | 10个好用的Web日志安全分析工具
10款常见的Webshell检测工具
10款常见的Webshell检测工具

应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 1万+
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志的Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
2020全年小迪网络安全笔记(目录)
热门推荐
u013630181的博客
06-09 1万+
2020小迪网络安全 课程体系/目录: 2020上半年70 基础入门…第1 信息收集…第2-3 漏洞分类…第4 漏洞发现…第5 漏洞利用…第6-28 安全开发…第29-38 代码审计…第39-43 权限提升…第44-50 内网安全…第51-56和第59 大赛特训…第67-70 实例任务…第57-58和第63-66 应急响应…第60-62 其他补充… 2020下半年86 基础入门…第1-6 信息收集…第7-10 WEB漏洞…第11-39 JAVA安全…第40-41 漏洞
[应急响应]
weixin_47920370的博客
04-22 4733
一、应急响应过程 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识 二、必备知识点 1、熟悉常用的web
73应急响应-Web分析php&javaWeb&自动化工具
san3144393495的博客
01-08 677
我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章应急响应笔记就开始比较潦草。
应急响应WEB 分析(php&javaweb & 自动化工具)
m0_57836225的博客
11-15 695
73 主要讲解应急响应中针对 WEB 方向的分析内容,包括 php、javaweb 相关部分以及自动化工具的运用。在应急响应过程中,WEB 攻击是常见的场景,了解如何对其进行分析对于快速定位问题、溯源攻击路径以及制定修复方案至关重要,这有助于保障 WEB 应用的安全性和稳定性,减少因攻击带来的损失。
73 应急响应-WEB分析php&javaweb&自动化工具
山兔的博客
10-24 312
客户告诉你很明确的东西,你是什么时间开始出现异常,他有这种明确的信息给到你的时候,这个时候,你就能够根据以下方法,可以基于时间作为一个条件,筛选攻击者从那里开始搞,这样子,我去分析日志的时候,就不用去看一些垃圾的日志,有很多日志,肯定是垃圾的,一些正常访问,不是攻击者访问,所以我们可以根据时间进行筛选。你只知道被入侵了,但是我们不知道他干了什么,或者是有什么危害都没有反应,就说是异常,这种情况就是没有什么信息,没有告诉你入侵的时间,有没有告诉你做了什么事情,这个时候,我们就需要排查,排查问题就大了。
小迪渗透&应急响应(拾)
weixin_41665162的博客
09-04 1615
73. WEB分析php&javaweb自动化工具(73-75) 应急响应: 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段 目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。 必备知识点: 1.熟悉常见的 WEB 安全攻击技术 2.熟悉相关日志启用及存储查看等 3.熟悉日志中记录数据分类及分析等 准备工作: 1.收集目标服务器各类信息 2.部署相关分析软件及平台等 3.整理相关安全渗透工具指纹库 4.针对异常表现第一时间触发思路 从表现预估入侵面及权限面进行排查 有明确信
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
baimao__Ch的博客
06-11 689
中间件及框架列表:等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask4、开发框架-Javascript-Node.js-JQuery常见语言开发框架:PHP:Thinkphp Laravel YII CodeIgniter CakePHP Zend 等JAVA:Spring MyBatis Hibernate Struts2 Springboot 等。
【小迪安全web安全|渗透测试|网络安全 | 学习笔记-
youngerll的博客
01-04 5513
【小迪安全web安全|渗透测试|网络安全 | 学习笔记-
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
校园帮项目源码-毕业设计课程设计-采用javaWeb&SSM架构.zip
08-30
该资源主要针对计算机、通信、人工智能、自动化等相关专业的学生、老师或从业者下载使用,亦可作为期末课程设计、课程大作业、毕业设计等。 项目整体具有较高的学习借鉴价值!基础能力强的可以在此基础上修改调整,...
应急响应---WEB分析 php&javaweb&自动化工具
qi_SJQ_的博客
02-18 740
一、应急响应流程 保护阶段,分析阶段,复现阶段,修复阶段,建议阶段。 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提
网络安全防护指南:筑牢网络安全防线(510)
2509_94105975的博客
12-01 736
网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。在当今数字化时代,网络已经成为人们生活和工作中不可或缺的一部分。它连接了世界各地的人们,使得信息的传递和交流变得更加便捷高效。
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1636
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
想入门网络安全?CSB网安基地学习体验深度解析
白帽子凯哥哥的博客
12-02 331
想入门网络安全?CSB网安基地学习体验深度解析
企业级Web安全加速方案:一体化防护DDoS/CC/爬虫攻击
2201_76066823的博客
12-02 350
针对DDoS、CC攻击及恶意爬虫的一体化防护方案需整合多层防御策略,结合流量清洗、行为分析、智能验证等技术,确保业务高可用性与数据安全
网络安全系列:系统后门与持久化技术深度解析
PyHaVolask的博客
12-03 1304
本文系统阐述渗透测试中维持访问权限的核心技术,详细解析服务绑定、注册表自启动等持久化机制,涵盖Certutil/Bitsadmin远程下载、Meterpreter进程迁移与痕迹清理等高级操作,并提供完整的防御检测与应急响应方案,强调技术沉淀与合法授权的重要性。
中科大计算机网络——网络安全
Tandy12356_的博客
12-01 328
使用checksum作为H不合适,因为很容易反向计算出m'与m有同样的报文摘要。为何不能让你逆向推导出报文m?防止你用不合法的协议m'在法庭上要挟签名人。使用公开密钥加密体系作认证的缺陷:中间人攻击。本质原因:Bob没有拿到真正Alice的公钥。解决方案:让Bob可靠地拿到Alice的公钥。只要根是可靠的,后面大概率也是可靠的。求幂次方和求模运算代价非常大。
ManageEngine 卓豪荣登 KuppingerCole 2025 年《身份威胁检测与响应领导力指南》,获评市场领导者
最新发布
运维有小邓
12-05 505
【摘要】身份威胁检测与响应(ITDR)正成为企业安全防护的关键环节。ManageEngine凭借AD360、PAM360和Log360组成的集成解决方案,在KuppingerCole最新报告中获评ITDR领域领导者。该方案通过统一平台实现身份治理、特权访问管控和威胁检测的闭环管理,特别适用于合规要求严格的行业。AD360提供身份风险可视化与自动化治理,PAM360实现特权账户保护,Log360完成威胁检测与响应闭环,三者协同构建了覆盖混合环境的完整ITDR能力,帮助企业应对日益复杂的身份安全挑战。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值