面试题
【汇总】2024HW面试题
各种攻击工具/漏洞流量特征
面试怎么做自我介绍?
如何排查JAVA内存马
如何判断被搭建了什么隧道
如何识别web网站是否使用了Spring Boot框架
CSRF、SSRF和重放攻击有什么区别?
蜜罐的识别
关于分析研判的一些问题回答(仅供参考)
2024hvv1
2024hvv2
2024hvv3
本文档使用 MrDoc 发布
-
+
首页
如何排查JAVA内存马
内存马排查思路如下: 1、先查看检查服务器web日志,查看是否有可疑的web访问日志,比如说filter或者listener类型的内存马,会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的请求。 2、如在web日志中并未发现异常,可以排查是否为中间件漏洞导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。 3、查看是否有类似哥斯拉、冰蝎特征的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。 4、通过查找返回200的url路径对比web目录下是否真实存在文件,如不存在大概率为内存马。 内存马特征: 1、内存马的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。但servlet 3.0引入了@WebFilter标签方便开发这动态注册Filter。这种情况也存在没有在web.xml中显式声明,这个特征可以作为较强的特征。 2、内存马就是代码驻留内存中,本地无对应的class文件。所以我们只要检测Filter对应的ClassLoader目录下是否存在class文件。
万里
2023年5月29日 13:35
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码