一、攻击研判思路
针对安全设备告警的研判能力在短时间内很难得到较大的提升,但漏洞的数量是巨大的,能够把所有的漏洞特征研究透彻是一个较难的事情,但在常规工作过程中,存在一些需要对日志进行分析的场景。所以在不了解漏洞原理或特征的情况下,可参考以下思路进行分析。 二、HTTP协议 想要分析异常数据包,最基础的是对HTTP协议进行了解,在了解了常见字段的表现方式之后,即使碰到不了解的漏洞攻击,也可以对比正常的内容发现是异常请求,借助搜索引擎进一步对攻击类型进行研判。
常见的请求方法:GET、POST、HEAD、PUT、DELETE、OPTIONS等
GET请求 POST请求
常见字段的含义: Host:表示服务器主机的地址和端口。
Content-Length:表示请求中 body 中的数据长度,单位是字节。
Content-Type:表示请求中 body 中的数据类型,常见的有三种application/x-www-form-urlencoded、 multipart/form-data、application/json。
User-Agent:表示浏览器 / 操作系统的属性。 如:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
Referer:表示当前页面是从哪个页面跳转过来的。
Cookie:当浏览器访问网页对应的服务器时,服务器会在 HTTP 的响应头中添加一个键值对传送给浏览器,往后每次访问此网页所属的网站时,都会在请求头中带着这个网站的所有 Cookie 值。
三、常见漏洞攻击特征 1、struts2漏洞攻击 2、shiro漏洞攻击 3、Webshell上传 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
