HW蓝队:天眼告警监测分析之Web攻击

最新推荐文章于 2026-06-20 15:29:41 发布
原创 最新推荐文章于 2026-06-20 15:29:41 发布 · 1.4k 阅读 · 26
标签
#安全 #web安全 #网络 #HW #天眼
#安全设备

Web攻击

信息泄露

敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等,在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据

信息收集方法

漏洞分类

备份文件泄露
天眼告警

可能存在备份文件泄露

漏洞影响

可能导致网站敏感信息泄露,被利用来进一步攻击等危害

URI中 "1.zip" 触发规则告警,访问URI地址,下载备份文件,分析备份文件,判断漏洞影响

修复建议

删除该网站目录下的备份文件

自动目录列表
天眼告警

发现目录启用了自动目录列表功能

漏洞影响

任何人可以访问该路下的文件,可能造成敏感信息泄露

响应体中 "Directory" 触发规则告警,访问URI地址下目录文件,分析目录信息,判断漏洞影响

修复建议

修改配置文件,禁止目录列表列出

目录穿越
天眼告警

目录穿越漏洞(成功)(机器学习)

漏洞影响

利用此漏洞,黑客可以发现一些敏感信息,包括读取服务器敏感文件等

请求头 ../../ 触发规则告警,

修复建议

禁止目录遍历,对输入参数过滤 ../ 等字符

.svn源码泄露
天眼告警

漏洞影响

攻击利用该漏洞,可以获取到服务器源码、svn服务器账号密码等信息

URI "/.svn/entries" 与响应体svn信息触发规则告警

修复建议

禁止或删除 .svn 文件浏览

弱口令

密码过于简单,不满足复杂度要求,攻击者通过穷举方法尝试web登录的帐号名与密码

密码复杂度要求:口令长度不得小于8位,且为数字、字母、字符混合组合,用户名和口令不得相同, 且无明显规律

漏洞分类

字典

常见的弱口令字典有 默认型弱口令字典社工型弱口令字典

默认型的弱口令包括

  • 系统服务弱口令
  • 应用组件弱口令
  • 设备弱口令

web弱口令
天眼告警

漏洞影响

弱口令容易被人猜解,造成个人信息等数据丢失严重者可导致网站被攻陷

请求体中"password=123456"弱口令,服务器返回"success"

修复建议

整改为强密码

中间件tomcat弱口令
天眼告警

中间件弱口令登录

最低0.47元/天 解锁文章
Njrat免杀实例2
04-23
Njrat免杀实例2
网络安全 log4j漏洞复现
jazzz98的博客
06-19 4000
log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。
对njrat的初步了解 远控实验及流量分析
m0_46377671的博客
07-11 7472
有不对的地方请指正 1.njart介绍 njRAT,也称为Bladabindi,[1]是一种远程访问工具(RAT) 或木马,它允许程序的持有者控制最终用户的计算机。它于 2013 年 6 月首次被发现,其中一些变体可追溯到 2012 年 11 月。它是由来自不同国家的名为 Sparclyheason 的黑客组织制作的,经常用于攻击中东的目标。它可以通过网络钓鱼和受感染的驱动器传播。 RedPacket Security 将 NJRat 描述为“远程访问木马 (RAT) 具有记录击键、访问受害者的相机、窃
njRAT远程访问木马协议分析
kevin_bobolkevin的博客
11-30 9355
第一节    简介 njRAT在2013年第一次出现,主要盛行于中东地区,在世界其他国家和地区也有广泛传播。njRAT 程序完美支持阿拉伯字符,有证据表明极端组织ISIS使用njRAT作为重要的网络武器。njRAT使用微软的 .NET框架开发,并像其他许多木马一样为远程攻击者提供了对被感 染系统的完全控制功能。我们已经看到攻击者利用被污染的流行游戏、破解软件及注册机来进行污染传播。njRAT木马
警惕:新型蠕虫病毒通过可移动驱动器传播,并安装BLADABINDI后门
weixin_34256074的博客
11-30 1606
BLADABINDI,也被称为njRAT或Njw0rm,是一种远程访问***(RAT),具有众多后门功能——从键盘记录到执行分布式拒绝服务(DDoS)。自首次出现以来,该***就已经在各种网络间谍活动中被重新编译和使用。事实上,BLADABINDI的可定制性以及可以在暗网地下黑市购买到的特性使得它成为一个广泛存在的威胁。举个例子:在上周,趋势科技就遇到了一种蠕虫病毒(由趋势科...
2024蓝队HW面试题收集(持续更新)
qq_65165505的博客
05-20 6814
24年hw面试题收集汇总,持续更新
网络安全实战:从海量Web攻击告警中精准定位真实威胁
最新发布
weixin_33895695的博客
06-20 354
网络安全领域,告警分析是威胁检测与响应的核心环节。其基本原理是通过对网络流量、系统日志等数据进行实时监控和模式匹配,识别潜在的恶意行为。这项技术的核心价值在于,它能帮助安全团队在海量数据噪音中,快速筛选出真正具有威胁的安全事件,从而将有限的防御资源集中在最关键的风险上。在实际应用场景中,尤其在HW网络安全攻防演练)或日常安全运营中,面对如SQL注入、命令执行等Web攻击产生的大量告警,构建一套高效的研判框架至关重要。这涉及到对告警上下文(如五元组、响应状态码)的抓取、攻击有效性的初步研判,以及对攻击者行
HW岗位大揭秘:监控研判与应急溯源,到底干些啥?
weixin_51725318的博客
01-09 702
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。结合攻击IP、恶意文件样本等线索,还原攻击路径,分析攻击手法(如SQL注入、内网渗透),并输出溯源报告。
蓝队监测组工作
qq_44796739的博客
07-29 2652
蓝队监测组工作
2026HVV护网蓝队面试题大全
专注于分享安全知识、渗透测试、SRC、CTF、红蓝对抗、欢迎各位大佬交流!
04-13 766
涵盖了初级到高级的各类安全防护知识。初级部分包括基础概念(如蓝队核心工作、OWASP Top 10)、漏洞识别(SQL注入/XSS/SSRF特征)、流量分析技巧(WebShell识别、Wireshark语法)以及应急响应流程(Windows/Linux排查命令)。中级部分深入漏洞原理(反序列化、Fastjson等)、高级应急响应(黄金票据溯源、日志恢复)和攻击分析。高级部分聚焦溯源反制手段(IP/域名溯源、蜜罐反制)和Rootkit检测。该题库全面覆盖了护网行动中蓝队需要掌握的核心技能!
2025年网络安全HW面试经典收藏_网络安全蓝队护网面试
Cairo_A的博客
11-11 896
2025年网络安全HW面试经典收藏
网络安全之史上最全的njRAT通信协议分析
WSN_IPv6的博客
04-07 3025
网址:http://www.freebuf.com/articles/network/122244.html
网络安全:njRAT远控工具及下载
weixin_74245209的博客
08-27 2347
剩下的不说了值得一提:这个程序是rookit病毒很强力直接到内核杀毒软件在其运行之前可查杀,但在成功双击之后很难再次清除。受害者的设备,记录击键、访问摄像头、窃取浏览器中存储的凭据、上传/下载文件、操作注册表等。1.在一开始,我们要先将木马主程序,控制端安装在有公网地址(注意:一定保证外网可以访问)远控在渗透实战中的维权操作相当重要,今天为大家介绍一款工具:njrat。2.点击下面的builder并在红圈处输入自己的外网地址和开放端口。,可以下发相应的指令触发恶意软件的功能,也能获取目标的各种数据。
njRAT 简单使用案例
Myu_wzy的博客
11-26 3625
目录 一、njRAT 介绍 二、实验案例 1. 实验环境 2. 实验过程 (1)获取临时权限 (2)使用 njRAT 生成远控程序 (3)使用 Kali 上传该远控程序到靶机 (4)远程运行该远控程序 (5)靶机在服务端上线,成功远控靶机 三、参考资料 一、njRAT 介绍 njRAT,也称为Bladabindi,[1]是一种远程访问工具(RAT) 或木马,它允许程序的持有者控制最终用户的计算机。它于 2013 年 6 月首次被发现,其中一些变体可追溯到 201...
JNDIExploit使用方法
qq_50854662的博客
02-28 6596
JNDIExploit使用方法
网络安全-记录web漏洞修复
孙霸天的专栏
07-05 4853
最近政府部门都在组织网络系统安全检测,我们公司开发的某一个系统前端也被检出了漏洞,需要解决一下前端使用vue框架开发,使用nginx进行部署如图所示总共被扫描出了八个漏洞,其中两个中度危险可能造成用户信息被窃取,攻击者可以构造其他站点,通过跨域资源访问的形式,读取用户在本站点上的任意信息;攻击者可以通过一连串的跨域资源访问请求,伪造用户的身份私自操作本站点的内容。漏洞未修复前,请求响应如下这里是由于我nginx配置了允许跨域请求,默认nginx是不允许错误配置如下 修改配置如下 修改后如下这是因为我们在vu
应急响应入门之Linux分析排查
m0_59598029的博客
02-22 344
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。本文主要总结了在遇到了Linux系统时,应急响应先从对敏感文件分析、敏感文件信息、网络连接分析、进程分析、异常登录记录进行分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neolock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值