一、基础知识
1.SQL注入:一种攻击手段,通过在数据库查询中注入恶意SQL代码,获取、篡改或删除数据库数据。
(1)危害:数据库增删改查、敏感数据窃取、提权/写入shell。
(2)类型:按注入点(字符型、数字型、搜索型)、提交方式(get、post、cookie)、执行效果(联合、报错、布尔、时间)分类。
(3)注入方式:包括information_schema注入、基于函数报错注入(如updatexml和extractvalue函数)、floor函数注入、布尔盲注和时间盲注。
(4)防御:对关键函数或字符过滤、使用预编译语句、输入验证、最小数据库权限、增加WAF等。
(5)工具:SQLmap是一款自动化的SQL注入工具,它能够检测和利用大多数的SQL注入漏洞,支持广泛的数据库服务器。使用时,可以通过各种参数指定测试的URL、方法、风险等级等。
二、TOP10漏洞
1.SQL注入:数据库权限过大和输入过滤不足导致。
2.跨站脚本攻击(XSS):网站未能充分过滤用户输入,允许恶意脚本在其他用户浏览器上执行。
3.CSRF攻击:利用用户的登录状态发起恶意请求。
4.安全配置错误:如不安全的默认配置、错误的HTTP标头配置。
5.敏感信息泄露:未加密的敏感数据传输和存储。
6.缺少功能级访问控制:权限设置不当导致未授权访问。
7.使用含有已知漏洞的组件:过时的软件组件带漏洞。
8.未验证的重定向和转发:可能导致钓鱼攻击。
9.Log4j漏洞:Java日志框架的远程代码执行漏洞。
10.Apache Shiro漏洞:身份验证和会话管理缺陷。
三、应急响应
1.入侵排查:检查弱口令、异常端口、进程和连接,分析日志,查找入侵迹象。
2.系统加固:更新系统补丁,修复已知漏洞,加强账户安全。
3.数据备份:定期备份重要数据,确保数据安全。
四、设备知识
1.奇安信天眼:全流量监测设备,能自动发现恶意IP,帮助溯源分析。
2.青藤云HIDS:主机入侵检测系统,直接发现暴力破解行为。
3.明御安全网关:网络安全网关,提供入侵检测和防御。
五、挖矿总结
1.挖矿特征:CPU使用率异常增高,可能表明挖矿活动。
2.Linux挖矿确认流程:使用top命令、ps、kill等工具识别和终止挖矿进程。
3.Windows挖矿确认流程:通过任务管理器识别高CPU使用率进程,结束进程并删除相关文件。
六、内网知识
1.金银票据:攻击者利用Kerberos协议中的黄金和白银票据进行权限提升。
2.黄金票据:伪造任意用户的TGT,获得对所有服务的访问。
3.白银票据:伪造针对特定服务的ST,访问受限但更隐蔽。
4.防御措施:限制域管理员权限,定期更改KRBTGT账户密码,监控异常票据活动。
别忘了关注我们的公众号!后续我们将持续更新更多护网内容
公众号“河北镌远网络科技有限公司”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,小编会第一时间删除处理)
