我是去年开始投护网面试,但去年简历做的太垃圾了,根本没有人打电话来面试我,好在今年我有小五姐帮我,感谢小五姐,等我有钱的一定报你的CISP-PTE班,给你加业绩(画饼bushi),也是顺利拿到四家外包的面试,有中龙,天融信,安徽数安宝(公安部三所),奇安信。
护网的流程是你的简历,中介老师->外包公司->厂商,然后外包很简单,稍微准备都能过。他们就是确定你懂不懂网安知识,别把你简历投给厂商因为啥都不会被厂商骂了。厂商就稍微难点,毕竟要你上岗。问的更深入。外包公司一般都是电话面试,而厂商有两种,电话面试或腾讯会议面试,面完就可以上岗了。
#不想写,直接给你们看聊天记录吧:#
应该是两家寄了,两家通过初面了,第一面是我没做好准备好,我一开始有电面,我在地铁上被打了电话说是护网的我都懵了,傻乎乎的接了还说有时间面试,结果寄!后来小五姐说你当时没准备好可以说你现在没时间,之后在面,吃了老实人的亏(呜呜呜),末了一个是我技不如人,我以为我吃透了面试题飘了,结果不按常理出牌我就慌了,答是答上来了,但我以为应该是寄了,以是人不能飘,飘了遭雷劈。我还需要继续学习才行。
#以下是我护网自己整理的笔记,希望对师傅们有帮助:#
1.护网蓝队低级监测要求
1.根本毛病扫描和渗出能力 日记分析 安全设备告警分析 能看懂安全产物;
2.主要是会看各种攻击payload,留意常见的payload,训练各种毛病的利用方法,学会看利用毛病的请求长什么样,payload长什么样,payload长什么样
给个请求包,能不能认出来是攻击流量,是的话是什么毛病的利用;
3.熟悉常见web毛病原理和利用方法;
4.接触过护网场景的安全设备,可以对设备告警进行简单分析,判断是不是误报。
厂商必问:web基础毛病,护网履历(包括设备,厂商,做了什么),应急响应。常问内网知识,框架毛病。
常见web毛病
TOP10都有哪些
1.失效的访问控制
2.加密机制失效
3.注入(包括跨站脚本攻击XSS和SQL注入等)
4.不安全设计
5.安全配置错误攻击者向Web应用提交包含恶意SQL代码的数据输入,使得原本预期执行的SQL查询被窜改
6.自带缺陷和过时的组件
7.身份辨认和身份验证错误
8.软件和数据完整性故障
9.安全日记和监控故障
10.服务端请求伪造SSRF
常见web毛病
sql注入:将恶意的sql代码添加到输入参数中,然后通报到sql服务器使其剖析并执行
XSS(跨站脚本攻击):web对输入和输出没有严酷的控制与校验,导致输入的脚本在输出到前端时可以被执行从而产生一些危害。
CSRF(跨站请求伪造):攻击者利用用户的登录状态,在用户不知情的环境下,向目标服务器发送恶意请求,执行非授权的操作
SSRF(服务器端请求伪造):利用一个可以发起网络请求的服务,利用服务背后的服务器当跳板,实现各种攻击
XXE(XML 外部实体注入)
文件上传毛病
SQL注入的类型
连合,堆叠,宽字节,cookie,XFF,UA,Referer,二次,base64注入,全能密码,文件读写
盲注类型:
基于时间,布尔,报错的盲注
防范SQL注入:预编译,PDO预处理 ,正则表达式过滤
SQL注入绕过:大小写,双写,编码,联注释绕过注入
XSS的绕过方法:大小写转换;引号的利用;利用 / 代替空格****;编码,双写绕过等
XSS类型:反射型;DOM型/剖析的地方是浏览器;存储型是服务器:
XSS的防范:对用户的输入进行过滤;cookie中设置了HttpOnly属性;设置XSS保护属性
CSRF类型:GET OST
CSRF防范:验证码;请求地址中添加 token 并验证;验证 HTTP头的Referer 字段
SSRF绕过:利用@****绕过限定白名单域名;绕过限定白名单内网IP;绕过限定请求http协议
SSRF防范:禁止跳转;过滤返回的信息;同一错误信息;限定请求的端口;禁止除HTTP和HTTPS外的协议
文件上传绕过:前端JS禁用绕过;简单修改后缀名绕过;后缀名大小写绕过;后缀名双写绕过
文件上传防范:文件上传的目录设置为不可执行;严酷判断文件类型;单独设置文件服务器的域名;采用WAF等安全防护设备
中间件常见毛病
IIS:PUT毛病(文件上传) 短文件名猜解 远程代码执行 剖析毛病
Apache:剖析毛病 目录遍历 未授权
Nginx:文件剖析(1.jpg/.php) 目录遍历 CRLF注入 目录穿越(../../)
Tomcat 远程代码执行 war后门文件摆设
jBoss:反序列化毛病 war后门文件摆设
WebLogic:反序列化毛病 SSRF 任意文件上传 war后门文件摆设
告警流量的分析及安全设备
(1)告警怎么筛选:
(1)常看中危和高危的告警,但是低危也要看
(2)基于攻击ip筛选
(3)基于时间筛选
(2)对告警流量进行简单的分析:岂论什么流量你都可以从(恶意函数、恶意代码看回显看日记)等角度分析,再加一个(可以筛选一下前几个月的流量看看有没有一样的,这个ip这几天有没有其他攻击行为)
详细:告警流量特征分析
一、流量特征
1、SQL注入
2、XSS
3、挖矿行为
二、webshell流量特征
1、中国菜刀
2、蚁剑
3、冰蝎:流量动态加密
三、对告警流量分析
1、信息泄露
2、SQL注入
3、文件上传
4、XSS
5、代码执行
一、流量特征
1、SQL注入
(1)对sqlmap的判断:若攻击者利用sqlmap且未加 --random-agent参数,则可以通过捕捉请求包的user-agent字段来判断攻击者是否在利用sqlmap进行攻击;sqlmap在进行初识监测时会进行一些预检测,第一条语句是对数据库类型和XSS毛病进行监测,且这句话几乎每次注入都不变,即我们可以通过XSS测试语句判断。
(2)出现一些特殊字符:好比单引号括号'(
(3)出现SQL命令或语句:增加、删除、修改、查询
(4)出现注释符号:好比连续两个减号--
(5)url上出现全能密码字段:'or'1'='1
2、XSS
payload包含<script></script>标签;
标签的一些事件:好比onclick、ondbclick,onload;
标签的超链接属性:好比href、src。
3、挖矿行为
若存在连续几个数据包中都符合stratum协议的json载荷特征,那么主机存在挖矿,stratum协议是现在主流的矿机和矿池间的TCP通讯协议,也可通过CPU利用率来判断,找到CPU占用高的历程获取PID信息。
二、webshell流量特征
1、中国菜刀
请求体中存在eval、base64等特征字符;
连接过程中利用base64编码对发送的指令进行加密;
还有一段以QG开头,7J末端的固定代码。
2、蚁剑
默认的user-agent请求头是antsword XXX(不过可以修改)
一般将payload进行分段,分别进行base64编码;
一般具有像eval这样的关键字和@ini_set("display","0");这段代码。
3、冰蝎
PHP代码中大概存在eval、assert等关键词;
jsp代码中大概会有get class(),get class loader()等字符特征。
三、对告警流量分析
1、信息泄露
看访问路径中是否存在特殊文件或路径(访问备份文件,访问默认文件)
2、SQL注入
看请求参数、请求头、请求体中是否包含SQL语句或关键字(好比union select)
3、文件上传
看请求体中是否包含代码内容(如果响应体中有success等上传成功的字样,或者有该文件的访问记录,则说明webshell上传成功)
4、XSS
看请求参数或请求体中是否包含JavaScript代码,将响应体的数据复制到文件中执行,如果弹窗,说明攻击成功。
5、代码执行
看请求参数、请求头、请求体中是否包含恶意代码(好比请求体中包含PHP代码,fastjson反序列化攻击,thinkph5远程代码执行)
(3) 设备误报怎样处理?
来自外网的误报说明安全设备需要进行计谋升级,不需要处理。
如果是来自内网的误报可以和负责人协商一下看能不能解决,有必要的话添加白名单处理。
(4)网站被上传webshell怎样处理?
1.首先关闭网站,下线服务。有必要的话将服务器断网隔离。
2.手工连合工具进行检测。
工具方面好比利用D盾webshellkill,河马webshell查杀,百度在线webshell查杀等工具对网站目录进行排查查杀,如果是在护网期间可以将样本备份再进行查杀。
3.手工方面临比未上传webshell前的备份文件,从文件乃至代码层面进行对比,检查有无后门程序或者其他异常文件,实在不行就直接用备份文件替换了。
4.加强安全计谋,好比定期备份网站配置文件,实时安装服务器补丁,定期更新组件以及安全防护软件,定期修改密码等等步伐。
三.如果不是误报,该怎么处理?
监控组分析安全设备的告警,确定是攻击就提交给处理组封禁IP;分析不出来就提交给研判组分析。
(5)护网中常见的安全设备:奇安信的天眼和椒图,天眼负责流量分析,摆设在旁路,对交换机镜像过来的流量进行监测、分析和溯源。椒图负责服务器的系统防护,通过在服务器上安装的客户端,将网络到的主机信息发送到控制中央集中分析。360的态势感知、防病毒、入侵防御系统IPS、终端检测上网行为管理、网间、日记审计、数据库审计、入侵检测系统,IDS、毛病扫描、堡垒机、VPN全流量、蜜罐(探针)WAF.
有没有安全设备的利用履历?
态势感知:开源项目OSSIM。
IPS:安全洋葱
防火墙:TinyWall和火绒,腾讯安全管家等一些常规的防护软件。
WAF:网站安全狗以及宝塔。
威胁情报方面MISP和OpenCTI。
毛病扫描方面OpenVAS,针对web站点的毛病扫描工具利用过AWVS,Nessus
堡垒机方面JumpServer(linux系统安装,但可以添加windows主机作为资产)。
蜜罐方面T-Pot(基于Linux系统安装)和微步的Hfish。
应急响应和安全加固
应急响应根本流程?
1.首先通过分析报警,流量分析,日记来网络所发生事故的信息,判断是什么病毒什么样的事故
2.按优先级别给事故分级
3.然后克制攻击范围,阻止受害面扩大,封ip、接洽厂商能否下线、关系统
4.检查启动项 服务 历程 敏感文件 违规账号 连合everything 看新增加的文件新更改的文件
5.放到设备里扫一下有没有后门 修补毛病 打补丁 增加安全计谋
6.规复业务系统
7.溯源
8.写报告
【Linux加固】:
1.修改ssh的配置文件,禁止root直接登录
2. 修改密码配置计谋文件,确保密码的最小长度为8位
3.确保错误登录3次,锁定此账户5分钟
4.禁止su非法提权,只答应root和wheel组用户su到root
5.不响应ICMP请求
6.设置登录超时时间为10分钟
7.结束非法登任命户
【Windows加固】:
1.修改3389端口
2.设置安全计谋,不答应SAM账户的匿名枚举,不答应SAM账户和共享的匿名枚举。
3.在组计谋中设置:阻止访问注册表编辑工具
4.开启审核对象访问,成功与失败;开启审核目录服务访问,成功与失败;开启审核系统事件,成功与失败
5. 禁止445端口毛病
6.设置屏幕保护在规复时利用密码保护
7. 设置windows密码计谋:使密码必须满足复杂性,设置密码长度最小值为8位,设置密码最长存留期为30天
8.开启Windows防火墙,关闭ping服务,打开3389、80等服务
9. 关闭系统默认共享
之后未完待续。。。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
