面试题
【汇总】2024HW面试题
各种攻击工具/漏洞流量特征
面试怎么做自我介绍?
如何排查JAVA内存马
如何判断被搭建了什么隧道
如何识别web网站是否使用了Spring Boot框架
CSRF、SSRF和重放攻击有什么区别?
蜜罐的识别
关于分析研判的一些问题回答(仅供参考)
2024hvv1
2024hvv2
2024hvv3
本文档使用 MrDoc 发布
-
+
首页
关于分析研判的一些问题回答(仅供参考)
1、100台机器如何判断哪台被log4j攻击成功 看响应包和响应码确实不可靠,因为规则库的检测是比较死板的,首先你和客户确认一下资产属性,哪部分使用了log4j的相关组件,哪部分资产是正常业务行为,排除部分无关联资产,然后再检索攻击成功事件里的日志,查看响应体里的内容是否命令执行了,带有敏感数据等等。 2、只能看web的日志,注入的sql注入的攻击,网站响应都是200,怎么判断是否攻击成功 这个存在正常业务误报的可能,首先确认资产属性,哪些是业务哪些是外部流量这个和客户确认,其次再看外部流量的返回包是否有数据,检索一段时间内的日志,看是否是短期的攻击流量。 3、拿到了一个攻击IP,但是在全流量设备上未告警,怎么确定攻击,是什么攻击? 接上一个问题:全流量设备没有告警,没有样本,那你怎么找到攻击样本(在失陷主机上)? 未告警不代表没有对应的日志记录,同样的需要在设备上检索日志,根据数据包来判断攻击类型,如果检索不到对应日志,那么就是流量不全或者设备规则库未覆盖到相关的资产。第二个问题,如果它就是没有落地文件的,那就找不到攻击样本。全流量设备上找不到的日志可以在其他设备上查看,比如防火墙,如果还没有,那就有误报的可能了。
邱宇
2023年6月23日 21:14
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码