网站建设详细讲解 狐灵,织梦网站怎么加入引导页,正规的网站制作服务电话,应用界面设计1.CSS和CSRF区别
通俗点讲的话#xff1a;
XSS通过构造恶意语句获取对方cookie#xff0c;
CSRF通过构造恶意链接利用对方cookie#xff0c;但看不到cookie
XSS比CSRF更加容易发生#xff0c;但CSRF比XSS攻击危害更大 2.XSS原理
XSS#xff08;Cross-Site Scripting
XSS通过构造恶意语句获取对方cookie
CSRF通过构造恶意链接利用对方cookie但看不到cookie
XSS比CSRF更加容易发生但CSRF比XSS攻击危害更大 2.XSS原理
XSSCross-Site Scripting跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。 CSRF原理
CSRFCross-Site Request Forgery跨站请求伪造是一种常见的Web安全漏洞攻击者利用用户已登录的身份在用户不知情的情况下向Web应用程序发起恶意请求以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。 3.sql注入原理
攻击者利用SQL语句或字符串将非法的数据插入到服务端数据库中获取用户管理权限然后将数据库管理用户权限提升至操作系统管理用户权限控制服务器操作系统 4.sql注入的关键字
sql注入的关键字 →select union where 5.sql注入分类、绕过 **分类**sql注入分为字符型和数字型。还可以将sql注入分为有回显的注入和无回显的注入无回显的注入又别称为盲注盲注有三大类布尔盲注、时间盲注以及报错盲注
绕过大小写绕过 、注释绕过、关键字/关键函数替换、特殊符号 6.如何防御sql注入 1、过滤检查处理
2、预编译sql语句
3、使用waf防火墙安全狗阿里云盾等waf进行防护
4、经常进行基线检查、漏洞扫描等工作 7.渗透思路
信息收集 1、获取域名whois信息 2、服务器子域名、旁站、c段查询 3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等 4、服务器开放端口22 ssh 80 web 445 3389.。。
漏洞扫描 nessusawvs appscan
漏洞验证 是否存在漏洞是否可以拿到webshell或者其他权限 权限提升: windows内核溢出提权数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权 linux内核漏洞提权、劫持高权限程序提权、sudoer配置文件错误提权
漏洞利用
日志清理 8.中间件漏洞
IIS ,tomcat apache nginx 9.应急响应流程及windows/linux用到的命令
应急响应流程
1、收集信息搜集客户信息和中毒信息备份
2、判断类型判断是否是安全事件、是何种安全事件勒索病毒、挖矿、断网、ddos等
3、深入分析日志分析、进程分析、启动项分析、样本分析
4、清理处置杀掉恶意进程、删除恶意文件、打补丁、修复文件
5、产出报告整理并输出完整的安全事件报告 windows应急
一、查看系统账号安全
1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放 2、winreventwmr.msc查看系统日志查看管理员登录时间、用户名是否存在异常
二、检查异常端口、进程 1、netstat -ano 检查端口连接情况是否有远程连接、可疑连接 2、tasklist | findstr PID根据pid定位进程 3、使用功能查杀工具
三、启动项检查、计划任务、服务 1、检查服务器是否有异常的启动项msconfig看一下启动项是否有可以的启动 2、检查计划任务查看计划任务属性可以发现木马文件的路径 3、见擦汗服务自启动services.msc注意服务状态和启动类型检查是否有异常服务
四、检查系统相关信息 1、查看系统版本以及补丁信息 systeminfo 2、查找可以目录及文件 是否有新建用户目录 分析最近打开分析可疑文件%UserProfile%\Recent
五、自动化查杀 使用360 火绒剑 webshell后门可以使用d盾 河马等
六、日志分析 360星图日志分析工具 ELK分析平台 linux应急
1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意
2、通过 who 命令查看当前登录用户tty 本地登陆 pts 远程登录、w 命令查看系统信息想知道某一时刻用户的行为、uptime查看登陆多久、多少用户负载
3、修改/etc/profile的文件在尾部添加相应显示间、日期、ip、命令脚本代码这样输入history命令就会详细显示攻击者 ip、时间历史命令等
4、用 netstat -antlp|more命令分析可疑端口、IP、PID查看下 pid 所对应的进程文件路径运行ls -l /proc/PID/exe 或 file /proc/PID/exe$PID 为对应的pid 号
5、使用ps命令分析进程 ps aux | grep pid
6、使用 vi /etc/inittab 查看系统当前运行级别通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件
7、看一下crontab定时任务是否存在可疑启用脚本
8、使用chkconfig --list 查看是否存在可疑服务
9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹
10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀
11、如果有 Web 站点可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数evel、system、shell_exec、exec、passthru system、popen进行查杀Webshell 后门。 10.流量分析
拿到流量包后将其导入wireshark中使用过滤规则对流量包进行分析 11.Behinder流量特征
冰蝎是一款基于java开发的动态加密通信流量的新型webshell客户端冰蝎的通信过程可以分为两个阶段秘钥协商 加密传输
