2022年蓝队初级护网测试总结
文章目录
2022年蓝队初级护网测试总结
一. 设备误报如何处理?
二. 如何区分扫描流量和手工流量?
三. 网站被上传webshell如何处理?
四. 给你一个比较大的日志,应该如何分析?
五. 常见OA系统?
六. 了解安全设备吗?
七. 了解过系统加固吗?
八. 有没有安全设备的使用经验?
九. CS是什么东西,知道怎么使用吗?
十. WAF方面有没有了解过,清楚WAF的分类和原理吗?
十一. Powershell了解过吗?
十二. MSF是什么?知道怎么使用吗?
十三. 使用过什么XSS平台吗?
十四. SQL注入怎么写入webshell?
十五. 了解过反序列化漏洞吗?
十六. 常见的框架漏洞?
十七.了解过redis数据库和常见的漏洞吗?
十八. SSRF怎么结合Redis相关漏洞利用?
gopher协议利用redis未授权访问漏洞写入webshell:
十九. windows应急响应时排查分析的相关细节?
可疑账号排查 lusrmgr.msc
可疑进程和服务排查 taskmgr services.msc
可疑启动项排查 msconfig
可疑文件排查
恶意样本排查
二十. 常见的webshell连接工具流量?
一. 设备误报如何处理?
答:
来自外网的误报说明安全设备需要进行策略升级,不需要处置。
如果是来自内网的误报可以和负责人协商一下看能不能解决,有必要的话添加白名单处理。
二. 如何区分扫描流量和手工流量?
答:
1.扫描流量数据量大,请求流量有规律可循且频率较高,手工流量请求少,间隔略长
2.使用工具扫描的流量一般在数据包中有相关特征信息,比如说通过wireshark网络封包分析工具对流量进行一个具体的排查分析,比如通过http contains "xxx"来查找数据包中的关键字。
比如常用的漏洞扫描工具AWVS,Nessus以及APPscan在请求的URL,Headers, Body三项里随机包含了能代表自己的特征信息。
三. 网站被上传webshell如何处理?
答:
1.首先关闭网站,下线服务。有必要的话将服务器断网隔离。
2.手工结合工具进行检测。
工具方面比如使用D盾webshellkill,河马webshell查杀,百度在线webshell查杀等工具对网站目录进行排查查杀,如果是在护网期间可以将样本备份再进行查杀。
手工方面对比未上传webshell前的备份文件,从文件甚至代码层面进行对比,检查有无后门程序或者其他异常文件,实在不行就直接用备份文件替换了。
4.加强安全策略,比如定期备份网站配置文件,及时安装服务器补丁,定期更新组件以及安全防护软件,定期修改密码等等措施。
四. 给你一个比较大的日志,应该如何分析?
答:
攻击规则匹配通过正则匹配日志中的攻击请求
统计方法,统计请求出现次数,次数少于同类请求平均次数则为异常请求
白名单模式,为正常请求建立白名单,不在名单范围内则为异常请求
HMM 模型,类似于白名单,不同点在于可对正常请求自动化建立模型,从而通过正常模型找出不匹配者则为异常请求
使用日志分析工具,如LogForensics,Graylog,Nagios,ELK Stack等等
五. 常见OA系统?
答:
PHP:通达OA、泛微 Eoffice
Java:泛微OA/云桥、致远OA、蓝凌OA、用友OA
ASP:启莱OA
六. 了解安全设备吗?
答:
入侵防御系统IPS
是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
入侵检测系统IDS
积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,尽可能地发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。
防火墙
防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络,制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
数据库审计系统
是对数据库访问行为进行监管的系统,通过镜像或者探针的方式采集所有数据库的访问流量,并基于SQL语法,语义的解析技术,记录下对数据库所有访问和操作行为,例如访问数据的用户IP,账号,时间等等,对数据进行操作的行为等等。
日志审计系统
日志审计系统能够通过主被动结合的手段,实时且不间断的采集用户网络中不同厂商的安全设备,网络设备,主机,操作系统以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储,备份,查询,审计,告警,响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。
堡垒机
是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以,不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理,单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。
漏洞扫描系统
漏洞扫描工具或者设备是基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。
数据安全态势感知平台
以大数据平台为基础,通过收集多元,异构的海量日志,利用关联分析,机器学习,威胁情报,可视化等技术,帮助用户持续监测网络安全态势,实现从被动防御向积极防御的进阶。
终端安全管理系统
是集防病毒,终端安全管控,终端准入,终端审计,外设管控,EDR等功能于一体,兼容不同操作系统和计算机平台,帮助客户实现平台一体化,功能一体化,数据一体化的终端安全立体防护。
WAF
WAF是以网站或应用系统为核心的安全产品,通过对HTTP或HTTPS的Web攻击行为进行分析并拦截,有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求。
蜜罐
蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁,提取威胁特征,蜜罐的价值在于被探测,攻陷。
七. 了解过系统加固吗?
答:
账户安全
推荐文章
您阅读本篇文章共花了:
发表评论