应急响应---WEB分析 php&javaweb&自动化工具

一、应急响应流程

保护阶段，分析阶段，复现阶段，修复阶段，建议阶段。

目的：分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。

保护阶段：直接断网，保护现场，看是否能够恢复数据
分析阶段：对入侵过程进行分析，常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等
复现阶段：还原攻击过程，模拟攻击者入侵思路，关注攻击者在系统中应用的漏洞、手法
修复阶段：分析原因后，修补相关系统、应用漏洞，如果存在后门或弱口令，及时清除并整改
建议阶段：对攻击者利用的漏洞进行修补，加强系统安全同时提高安全意识

二、必备知识

• 1.熟悉常见的 WEB 安全攻击技术 （通用知识，必备）
• 2.熟悉相关日志 启用 及 存储查看 等（不同中间件的方法不同，需要积累，必备）
• 3.熟悉日志 中记录数据分类及分析 等

三、准备工作

• 1、收集目标服务器信息
• 2、部署相关分析软件和平台等
• 3、整理相关安全渗透测试工具指纹库
• 4、针对异常表现第一时间触发思路

从表现预估入侵面及权限面进行排查：

常见分析方法：

指纹库搜索，日志时间分析，后门追查分析，漏洞检查分析等。

四、案例演示

1.windows+IIS+SQL日志搜索：

看攻击语句、查工具指纹、查漏洞关键字、，此处为sqlmap进行的sql注入：

2.linux+BT+Nginx+tp5日志后门

可以分析出攻击者在扫描敏感目录：

3. 360星图日志分析工具：

只支持扫描apache、iis、nginx。查看结果的html文件：

其他好用的web日志分析工具

这两款工具在hw蓝队中常用得到，但配置比较繁琐，企业级软件。

分析日志查找到攻击时，对指定ip进行搜索，同时也在别的日志文件中查找该ip的攻击请求，可以利用一款小工具：

在指定文件夹下搜寻所以文件中出现的关键字。