应急响应---WEB分析 php&javaweb&自动化工具

一、应急响应流程

保护阶段,分析阶段,复现阶段,修复阶段,建议阶段。

目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。

保护阶段:直接断网,保护现场,看是否能够恢复数据
分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等
复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法
修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改
建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识

二、必备知识

  • 1.熟悉常见的 WEB 安全攻击技术 (通用知识,必备)
  • 2.熟悉相关日志 启用 及 存储查看 等(不同中间件的方法不同,需要积累,必备)
  • 3.熟悉日志 中记录数据分类及分析 等

三、准备工作

  • 1、收集目标服务器信息
  • 2、部署相关分析软件和平台
  • 3、整理相关安全渗透测试工具指纹库
  • 4、针对异常表现第一时间触发思路

从表现预估入侵面及权限面进行排查:
应急响应---WEB分析 php&javaweb&自动化工具_第1张图片

常见分析方法:

指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等。

四、案例演示

1.windows+IIS+SQL日志搜索:

应急响应---WEB分析 php&javaweb&自动化工具_第2张图片

应急响应---WEB分析 php&javaweb&自动化工具_第3张图片
看攻击语句、查工具指纹、查漏洞关键字、,此处为sqlmap进行的sql注入:

2.linux+BT+Nginx+tp5日志后门

应急响应---WEB分析 php&javaweb&自动化工具_第4张图片
可以分析出攻击者在扫描敏感目录:

3. 360星图日志分析工具:

应急响应---WEB分析 php&javaweb&自动化工具_第5张图片
只支持扫描apache、iis、nginx。查看结果的html文件:
应急响应---WEB分析 php&javaweb&自动化工具_第6张图片

其他好用的web日志分析工具

应急响应---WEB分析 php&javaweb&自动化工具_第7张图片
这两款工具在hw蓝队中常用得到,但配置比较繁琐,企业级软件。

分析日志查找到攻击时,对指定ip进行搜索,同时也在别的日志文件中查找该ip的攻击请求,可以利用一款小工具:
应急响应---WEB分析 php&javaweb&自动化工具_第8张图片
在指定文件夹下搜寻所以文件中出现的关键字。

你可能感兴趣的:(#,红蓝对抗/AWD,Web安全,前端,php,自动化)