我是去年开始投护网面试,但去年简历做的太垃圾了,根本没有人打电话来面试我,好在今年我有小五姐帮我,感谢小五姐,等我有钱的一定报你的CISP-PTE班,给你加业绩(画饼bushi),也是顺利拿到四家外包的面试,有中龙,天融信,安徽数安宝(公安部三所),奇安信。
护网的流程是你的简历,中介老师->外包公司->厂商,然后外包很简单,稍微准备都能过。他们就是确定你懂不懂网安知识,别把你简历投给厂商因为啥都不会被厂商骂了。厂商就稍微难点,毕竟要你上岗。问的更深入。外包公司一般都是电话面试,而厂商有两种,电话面试或腾讯会议面试,面完就可以上岗了。
#不想写,直接给你们看聊天记录吧:#
应该是两家寄了,两家通过初面了,第一面是我没做好准备好,我一开始有电面,我在地铁上被打了电话说是护网的我都懵了,傻乎乎的接了还说有时间面试,结果寄!后来小五姐说你当时没准备好可以说你现在没时间,之后在面,吃了老实人的亏(呜呜呜),最后一个是我技不如人,我以为我吃透了面试题飘了,结果不按常理出牌我就慌了,答是答上来了,但我觉得应该是寄了,所以人不能飘,飘了遭雷劈。我还需要继续学习才行。
#以下是我护网自己整理的笔记,希望对师傅们有帮助:#
1.护网蓝队初级监测要求
1.基本漏洞扫描和渗透能力 日志分析 安全设备告警分析 能看懂安全产品;
2.主要是会看各种攻击payload,注意常见的payload,练习各种漏洞的利用方法,学会看利用漏洞的请求长什么样,payload长什么样,payload长什么样
给个请求包,能不能认出来是攻击流量,是的话是什么漏洞的利用;
3.熟悉常见web漏洞原理和利用方法;
4.接触过护网场景的安全设备,可以对设备告警进行简单分析,判断是不是误报。
厂商必问:web基础漏洞,护网经验(包括设备,厂商,做了什么),应急响应。常问内网知识,框架漏洞。
常见web漏洞
TOP10都有哪些
1.失效的访问控制
2.加密机制失效
3.注入(包括跨站脚本攻击XSS和SQL注入等)
4.不安全设计
5.安全配置错误攻击者向Web应用提交包含恶意SQL代码的数据输入,使得原本预期执行的SQL查询被篡改
6.自带缺陷和过时的组件
7.身份识别和身份验证错误
8.软件和数据完整性故障
9.安全日志和监控故障
10.服务端请求伪造SSRF
常见web漏洞
sql注入:将恶意的sql代码添加到输入参数中,然后传递到sql服务器使其解析并执行
XSS(跨站脚本攻击):web对输入和输出没有严格的控制与校验,导致输入的脚本在输出到前端时可以被执行从而产生一些危害。
CSRF(跨站请求伪造):攻击者利用用户的登录状态,在用户不知情的情况下,向目标服务器发送恶意请求,执行非授权的操作
SSRF(服务器端请求伪造):利用一个可以发起网络请求的服务,利用服务背后的服务器当跳板,实现各种攻击
XXE(XML 外部实体注入)
文件上传漏洞
SQL注入的类型
联合,堆叠,宽字节,cookie,XFF,UA,Referer,二次,base64注入,万能密码,文件读写
盲注类型:
基于时间,布尔,报错的盲注
防范SQL注入:预编译,PDO预处理 ,正则表达式过滤
SQL注入绕过:大小写,双写,编码,联注释绕过注入
XSS的绕过方法:大小写转换;引号的使用;使用 / 代替空格****;编码,双写绕过等
XSS类型:反射型;DOM型/解析的地方是浏览器;存储型是服务器:
XSS的防范:对用户的输入进行过滤;cookie中设置了HttpOnly属性;设置XSS保护属性
CSRF类型:GET;POST
CSRF防范:验证码;请求地址中添加 token 并验证;验证 HTTP头的Referer 字段
SSRF绕过:利用@****绕过限制白名单域名;绕过限制白名单内网IP;绕过限制请求http协议
SSRF防范:禁止跳转;过滤返回的信息;统一错误信息;限制请求的端口;禁止除HTTP和HTTPS外的协议
文件上传绕过:前端JS禁用绕过;简单修改后缀名绕过;后缀名大小写绕过;后缀名双写绕过
文件上传防范:文件上传的目录设置为不可执行;严格判断文件类型;单独设置文件服务器的域名;采用WAF等安全防护设备
中间件常见漏洞
IIS:PUT漏洞(文件上传) 短文件名猜解 远程代码执行 解析漏洞
Apache:解析漏洞 目录遍历 未授权
Nginx:文件解析(1.jpg/.php) 目录遍历 CRLF注入 目录穿越(../../)
Tomcat 远程代码执行 war后门文件部署
jBoss:反序列化漏洞 war后门文件部署
WebLogic:反序列化漏洞 SSRF 任意文件上传 war后门文件部署
告警流量的分析及安全设备
(1)告警怎么筛选:
(1)常看中危和高危的告警,但是低危也要看
(2)基于攻击ip筛选
(3)基于时间筛选
(2)对告警流量进行简单的分析:不论什么流量你都可以从(恶意函数、恶意代码看回显看日志)等角度分析,再加一个(可以筛选一下前几个月的流量看看有没有一样的,这个ip这几天有没有其他攻击行为)
具体:告警流量特征分析
一、流量特征
1、SQL注入
2、XSS
3、挖矿行为
二、webshell流量特征
1、中国菜刀
2、蚁剑
3、冰蝎:流量动态加密
三、对告警流量分析
1、信息泄露
2、SQL注入
3、文件上传
4、XSS
5、代码执行
一、流量特征
1、SQL注入
(1)对sqlmap的判断:若攻击者使用sqlmap且未加 --random-agent参数,则可以通过捕获请求包的user-agent字段来判断攻击者是否在使用sqlmap进行攻击;sqlmap在进行初识监测时会进行一些预检测,第一条语句是对数据库类型和XSS漏洞进行监测,且这句话几乎每次注入都不变,即我们可以通过XSS测试语句判断。
(2)出现一些特殊字符:比如单引号括号'(
(3)出现SQL命令或语句:增加、删除、修改、查询
(4)出现注释符号:比如连续两个减号--
(5)url上出现万能密码字段:'or'1'='1
2、XSS
payload包含<script></script>标签;
标签的一些事件:比如onclick、ondbclick,onload;
标签的超链接属性:比如href、src。
3、挖矿行为
若存在连续几个数据包中都符合stratum协议的json载荷特征,那么主机存在挖矿,stratum协议是目前主流的矿机和矿池间的TCP通讯协议,也可通过CPU使用率来判断,找到CPU占用高的进程获取PID信息。
二、webshell流量特征
1、中国菜刀
请求体中存在eval、base64等特征字符;
连接过程中使用base64编码对发送的指令进行加密;
还有一段以QG开头,7J结尾的固定代码。
2、蚁剑
默认的user-agent请求头是antsword XXX(不过可以修改)
一般将payload进行分段,分别进行base64编码;
一般具有像eval这样的关键字和@ini_set("display","0");这段代码。
3、冰蝎
PHP代码中可能存在eval、assert等关键词;
jsp代码中可能会有get class(),get class loader()等字符特征。
三、对告警流量分析
1、信息泄露
看访问路径中是否存在特殊文件或路径(访问备份文件,访问默认文件)
2、SQL注入
看请求参数、请求头、请求体中是否包含SQL语句或关键字(比如union select)
3、文件上传
看请求体中是否包含代码内容(如果响应体中有success等上传成功的字样,或者有该文件的访问记录,则说明webshell上传成功)
4、XSS
看请求参数或请求体中是否包含JavaScript代码,将响应体的数据复制到文件中执行,如果弹窗,说明攻击成功。
5、代码执行
看请求参数、请求头、请求体中是否包含恶意代码(比如请求体中包含PHP代码,fastjson反序列化攻击,thinkph5远程代码执行)
(3) 设备误报如何处理?
来自外网的误报说明安全设备需要进行策略升级,不需要处置。
如果是来自内网的误报可以和负责人协商一下看能不能解决,有必要的话添加白名单处理。
(4)网站被上传webshell如何处理?
1.首先关闭网站,下线服务。有必要的话将服务器断网隔离。
2.手工结合工具进行检测。
工具方面比如使用D盾webshellkill,河马webshell查杀,百度在线webshell查杀等工具对网站目录进行排查查杀,如果是在护网期间可以将样本备份再进行查杀。
3.手工方面对比未上传webshell前的备份文件,从文件甚至代码层面进行对比,检查有无后门程序或者其他异常文件,实在不行就直接用备份文件替换了。
4.加强安全策略,比如定期备份网站配置文件,及时安装服务器补丁,定期更新组件以及安全防护软件,定期修改密码等等措施。
三.如果不是误报,该怎么处理?
监控组分析安全设备的告警,确定是攻击就提交给处置组封禁IP;分析不出来就提交给研判组分析。
(5)护网中常见的安全设备:奇安信的天眼和椒图,天眼负责流量分析,部署在旁路,对交换机镜像过来的流量进行监测、分析和溯源。椒图负责服务器的系统防护,通过在服务器上安装的客户端,将收集到的主机信息发送到控制中心集中分析。360的态势感知、防病毒、入侵防御系统IPS、终端检测上网行为管理、网间、日志审计、数据库审计、入侵检测系统,IDS、漏洞扫描、堡垒机、VPN全流量、蜜罐(探针)WAF.
有没有安全设备的使用经验?
态势感知:开源项目OSSIM。
IPS:安全洋葱
防火墙:TinyWall和火绒,腾讯安全管家等一些常规的防护软件。
WAF:网站安全狗以及宝塔。
威胁情报方面MISP和OpenCTI。
漏洞扫描方面OpenVAS,针对web站点的漏洞扫描工具使用过AWVS,Nessus
堡垒机方面JumpServer(linux系统安装,但可以添加windows主机作为资产)。
蜜罐方面T-Pot(基于Linux系统安装)和微步的Hfish。
应急响应和安全加固
应急响应基本流程?
1.首先通过分析报警,流量分析,日志来收集所发生事故的信息,判断是什么病毒什么样的事故
2.按优先级别给事故分级
3.然后抑制攻击范围,阻止受害面扩大,封ip、联系厂商能否下线、关系统
4.检查启动项 服务 进程 敏感文件 违规账号 结合everything 看新增加的文件新更改的文件
5.放到设备里扫一下有没有后门 修补漏洞 打补丁 增加安全策略
6.恢复业务系统
7.溯源
8.写报告
【Linux加固】:
1.修改ssh的配置文件,禁止root直接登录
2. 修改密码配置策略文件,确保密码的最小长度为8位
3.确保错误登录3次,锁定此账户5分钟
4.禁止su非法提权,只允许root和wheel组用户su到root
5.不响应ICMP请求
6.设置登录超时时间为10分钟
7.结束非法登录用户
【Windows加固】:
1.修改3389端口
2.设置安全策略,不允许SAM账户的匿名枚举,不允许SAM账户和共享的匿名枚举。
3.在组策略中设置:阻止访问注册表编辑工具
4.开启审核对象访问,成功与失败;开启审核目录服务访问,成功与失败;开启审核系统事件,成功与失败
5. 禁止445端口漏洞
6.设置屏幕保护在恢复时使用密码保护
7. 设置windows密码策略:使密码必须满足复杂性,设置密码长度最小值为8位,设置密码最长存留期为30天
8.开启Windows防火墙,关闭ping服务,打开3389、80等服务
9. 关闭系统默认共享
之后未完待续。。。
版权归原作者 听大 所有, 如有侵权,请联系我们删除。