应急响应基本思路和流程
收集信息:收集客户信息和中毒主机信息,包括样本
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
抑制范围:隔离使受害⾯不继续扩⼤
深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
产出报告:整理并输出完整的安全事件报告
Windows入侵排查思路
检查系统账号安全
查看服务器是否有弱口令,远程管理端口是否对公网开放(使用
netstat -ano命令、或者问服务器管理员)lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号
结合日志,查看管理员登录时间、用户名是否存在异常
检查方法:Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”,导出 Windows 日志--安全,利用 Log Parser 进行分析
检查异常端口、进程
netstat -ano检查端口连接情况,是否有远程连接、可疑连接任务管理器-进程
检查启动项、计划任务、服务
检查系统相关信息
查看系统版本以及补丁信息
查找可疑目录及文件
日志分析
安全设备
1.你对市面上安全设备了解多少,具体是哪几种类型?
奇安信:椒图,鹰图
IPS,IDS,WAF,APT检测,态势感知,蜜罐,防篡改等等具体情况根据面试而定
2.如何使用帮我介绍一下?
Sql注入
1、sql注入漏洞原理
开发者没有在网页传参点做好过滤,导致恶意 sql 语句拼接到数据库进行执行
2、sql注入分类
联合注入 、布尔盲注 、时间盲注 、堆叠注入 、宽字节注入 、报错注入
3、堆叠注入原理
在 mysql 中,分号 代表一个查询语句的结束,所以我们可以用分号在一行里拼接多个查询语句
4、宽字节注入原理
a 数据库使用 gbk 编码
b 使用反斜杠进行转义
5、报错注入原理:
a 报错注入函数,例如:floor() 、group by 、exp() 、updatexml() 、extractvalue()
6、Dnslog注入原理
a 利用 load_file() 函数读取共享文件
b共享文件形式:\hex(user()).dnslog.cn/ 或者 \host\
c 利用 mysql 的 load_file() 函数解析拼接过的 dnslog 域名,进而带出数据
7、联合注入的步骤
a 找传参点
b 判断闭合符
c 判断列数
d 判断显示位
e 查询database()
f 查表
g 数据
8、盲注分类
a 布尔盲注(页面回显 长度 :burp 里的 Content-Length )
b 时间盲注(页面回显 时间 :burp 包的 右下角 )、Dnslog
9、盲注函数
if() 、sleep(
