最近的学习记录和总结

最近又回到公司继续实习了,除了面试笔试中会学习到很多,在工作中也能学到新东西和值得思考的内容。 在这里记录一下最近面试笔试的感受和与学弟一同参与的应急响应。 应急响应(数据已脱敏) 有客户联系公司说他们的服务器宕机了,疑似是由内部部门AWVS扫描造成的,并且在完成修复后登陆服务器发现passwd文件被清,并且发现在/abc/images目录下存在一个写入文件的木马webshell,可以定义任意路径写入文件,可通过此木马写入任意文件。让我们去做一次调查取证。 有同事过去到手8个G的Web日志,那就先从Web日志入手。 第一部分的攻击手段的回溯是学弟做的,通过对日志和机器上文件的产生日期、文件名等调查,发现确实是由于AWVS引起的服务器宕机,根源是在扫描shell文件的时候,构造了passwd文件的路径和文件内容payload进行扫描,服务器中间件又是root权限,直接覆盖了passwd文件。 客户在得知原因之后,让我们继续对通过shell上传的大马进行分析,看能不能找到确定攻击者。 之后找学弟要了日志文件,一份涉及到log.jsp的所有记录,一份是上传的大马tmp.jsp的访问日志...»

kafkatao kafkatao 分类:默认分类 标签:none

代码审计

补充一个,之前在说XSS的输入检查的时候,这种方式是有局限性的,因为输入的XSSfilter无法理解输出的语境,对一些符号的处理可能会改变用户数据的原意,并且,针对一些特定输出点可能起不到正确的防御作用。然后这篇的内容是想把代码审计的一个大体思路和一些注意的地方记录一下。 目录 代码审计思路 首先,我们在对一个系统进行审计过程之前,最好在本地搭建一个应用,然后对功能有个大体上的了解。然后接下来会描述一下几种不同的审计思路。 从功能方向上的审计思路 从index、webxml等入口页面开始 寻找加载的配置文件,如conf、inc、ini、敏感xml文件等 寻找功能实现点 从功能点中找到参与实现的函数 函数中是否含有敏感方法的调用 调用过程中参数是否可控,参数是否通过安全函数,以及安全函数对应此功能点是否合适 数据有无二次使用,在二次使用中是否做了相应的安全措施 从数据流向上的审计思路 用户可控变量在应用的什么位置被获取 该变量参与了什么功能的实现,将涉及变量的所有函数找全 参与的函数中是否含有敏感方法 如为敏感方法对应数据是否做了安全措施 注意普遍验证过程中参数的...»