SOC工具包v3.0:BugHunter的事件响应建议
作者:Alican Kiraz
阅读时间:3分钟
发布日期:2020年4月3日
分享数:271
大家好,我尊敬的同事们以及未来将成为我同事的伙伴们。在本文中,我将以我初入行业时获得的“Bug Hunter”头衔以及近年来塑造我职业生涯的“蓝队成员”身份,来探讨我们应如何处理Web安全事件。我建议您先查看我之前分享的关于处理Web事件的思维导图;
我将通过解释这个思维导图与大家分享我在Web领域的知识。在此,我要衷心感谢为完善此思维导图提供宝贵反馈的Okan Hazırcı、Emrah Savaş、Ömer Sefa Umay、Caner Ertem、Taylan Barışık、Caner Hamze Canbaz、Hilal Ateş、Halis Baş、Esra Nur Soylu、Burak Özdörtdivanlı、Semra Durna、Onur Can。现在,让我们逐步展开以下步骤:
1. 检查SIEM中的查询
第一步,假设SIEM中反映在列(Column)中或查询的注释部分出现的、您无法理解的变量需要进行解码。该值通常可能包含主要的攻击向量。您应解码此值,并将其纳入后续调查阶段。
2. 目标路径分析
此步骤的关键在于确定所检查查询中的目标单元是一个变量(参数),如?alican,还是一个目录,如..\alican\…。如果目标是参数,这可能引导我们考虑XSS、SQL注入或基于参数的Web攻击。对于基于路径的尝试,警报要么是误报,要么源于基于路径的攻击警报。
按回车键或点击查看完整图片
图片来源:https://portswigger.net/web
3. 状态码检查
需要检查目标请求在服务器端返回的响应,并处理这些响应。从这些响应(如2xx、3xx系列)可以判断攻击步骤是否仍在继续,事件调查是否需要深入。
按回车键或点击查看完整图片
图片来源:https://www.steveschoger.com/status-code-poster/
4. HTTP请求类型检查
在后续步骤中,应对初始目标请求之后持续的HTTP请求类型进行检查,并跟踪可能引发问题的请求,如Post、Options、Delete等。
按回车键或点击查看完整图片
图片来源:https://www.computing.dcu.ie/~humphrys/Notes/Networks/tanenbaum/7-41.jpg
同样地,即使是通过GET方法传输,也应检查是否存在敏感信息或唯一哈希值的分享,并将任何可能的哈希值分享通知软件开发团队。
例如:…./?auth=123123321…
5. 解码后的表达式分析
当您解码URL中相关的表达式时,如果遇到如<、>、"、(、)等字符,以及JavaScript的基本命令表达式(如script、onload),或类似ononloadload这样的不完整片段,那么您所面对的攻击极有可能是XSS。此时,您应特别关注存储型(Stored)和反射型(Reflected)XSS变体。如果目标区域是类似?search=…这样的参数,则很可能是反射型XSS;如果结构涉及类似?form=..的表达,具有表单填充性质并能创建存储型攻击条件,则不应忽视存储型XSS。
图片来源:imperva.com
如果查询中包含SELECT、UNION或各种可能表示等式的标识符,如'1=1'=1',则SQL注入的可能性会增大。如果遇到包含复杂SQL注入、XSS或命令注入表达式的查询,您可以假设这是由类似SQLMap的工具发起的复杂攻击尝试。
如果攻击向量中包含../../../之类的目录表示,则可以推测存在路径遍历(Path Traversal)或本地文件包含(LFI)攻击尝试。在这种情况下,您可以基于查询和路径,使用自己的Web浏览器进行测试来确认。
6. 基本SQL注入的目标通常是管理面板和登录面板,而高级攻击向量则针对具有搜索功能的参数。例如?as=123..,如果针对此类参数的尝试在SQL查询时未进行适当的输入净化(sanitization),则可能在后台产生影响并绕过防御。这里重要的是状态码可能并不显著。不应忽视返回500或400系列状态码的情况,因为这些响应在盲注SQL(Blind SQLi)和基于错误的SQL注入(Error Based SQL)中可能被利用。同样,基于时间的SQL注入(Time Based)和基于错误的SQL注入尝试也不应被忽视。FINISHED
CSD0tFqvECLokhw9aBeRqgHtVfxALMxIGu/BizQjt0lOIFFQQuuLkgn5bGHJlgguRM1bCSufyOBRkz4vW/QZ24hbFNDiE1lvD8AEripBEdOLEUYEwtg894FmWPoSaoJfn9WW2z7qSIfzoySAG/ZTEQ==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
、count(1) 和 count(字段名) 有什么区别?)
