设备告警的分析研判——Web漏洞的分析检测（WAF/IPS）

Web安全逻辑

1. 安全研究员根据漏洞的形成原因分析漏洞payload
2. 根据payload在流量中的表现形式定义检测方法（算法、规则等）
3. 进行测试
4. 通过测试后发布到产品

Web安全分析

前置条件

• 需要读懂payload的能力
• 需要有一定的流量分析能力

进行Web安全分析的原因

Web安全分析是通过对安全产品的安全事件进行分析，确认当前站点的安全性

Web安全分析的目的

事件的产生来源于漏洞的利用方法，通过对时间的分析检查Web站点的安全性。可以在事中发现情况进行封堵、事后进行溯源。

分析流程

1. 确认攻击者的目的
2. 根据攻击者的目的来分析流量
3. 根据对流量的分析来确认事件的结果

如何确认攻击者的目的

• 产品告警产生的安全事件，都会通过事件名+说明来说明这个事件，我们可以从事件名与说明中获取一部分信息。
• 事件名大多数标注为漏洞类型，所以不同的漏洞类型一定程度上能说明攻击者的目的
• 看懂payload且熟知漏洞原理能判断出最准确的目的

如何根据攻击者的目的来分析流量

1. 需根据事件名（事件说明）来判断当前事件的预期目的
2. 根据预期目的结合流量分析安全事件并下定结论

实战分析

以WAF/IPS的安全事件告警为实例分析：

首先我们需要先确认产品的部署，非旁路部署的情况下，WAF和IPS拥有丢弃和阻断的能力。WAF与IPS一般会丢弃中危、高威事件，比如下图的SQL注入利用，查看详情

在下图中，我们可以看到SQL注入的payload。但是我们的WAF丢弃了该事件，所以我们过度的分析也不会有太大的意义，将其定性为真实攻击攻击失败的结论即可。 

 如果是高、中危攻击且状态为放行的事件如何分析呢？

需要借助护网五件套的TAR和NFT对该事件进行一个分析，对于下方的案例，我们通过事件+源目的IP+源目的端口进如NFT进行查询（产品支持一键联动查询）

 通过NFT找到该段通信流量，并且下载

 通过对事件的预期目的分析，我们知道攻击者是希望通过put方法向服务器上传文件。所以我们可以通过HTTP状态码来研判这个时间。创建新资源，则源服务器必须通过HTTP响应代码201响应通知用户代理。这里攻击者没有达到预期的目的，攻击失败。