常见漏洞及webshell工具的流量特征
-
常见攻击的流量特征
信息泄露 |
| ||||||||||||||||||||||||
弱口令爆破 |
| ||||||||||||||||||||||||
目录扫描 |
| ||||||||||||||||||||||||
SQL注入 |
| ||||||||||||||||||||||||
XSS | 请求包中会包含特殊符号(< >),JavaScript 标签(<script> <img> <svg> <h1> <src><img>) 和 HTML 事件(onclick,onload) | ||||||||||||||||||||||||
文件上传 |
| ||||||||||||||||||||||||
代码执行 |
|
-
Webshell 连接工具流量特征
| 蚁剑 | 1). 固有特征;@ini_set("display_errors","0");@set_time_limit(0)开头;2). 存在 Base64字符;3). 响应包返回结果格式为:随机数......结果......随机数; |
| 哥斯拉 | 1). cookie值后有分号;例:Cookie: PHPSESSID=erqjms95fqav97qa99euqiu1t6;2). 数据包特别长; |
| 冰蝎 | 1). cookie 格式为Cookie:PHPSESSID=xxxxx;path/ 例:Cookie:FlPSESS1=fc7n5u3t26uo3jimqoecags53; path=/2). 文件名纯大写或小写; 3). 响应包中包含 set-cookie;例:set-cookie:FlPSESS1=fc7n5u3t26uo3jimqoecags53; path=/ |
| 菜刀 | 1). 请求包中UA头为百度,火狐 2). 请求体中存在 eval,base64等特征字符; |
-
常见 Java 框架漏洞的流量特征
| 框架 | 特征 |
| Log4j2 | 请求包中包含类似 ${jndi:ldap://dnslog} 的语法 |
| Fastjson | 请求包中包含 @type 参数,json 数据 和 恶意文件内容 |
| Shiro | 响应包的 Cookie 字段中包含 rememberMe 字段 |
| Strust2 | 请求包中包含大量的 % 信息( POC 特征) |
-
结语
亲爱的网络安全同行和爱好者们,
在我分享的网络安全自学笔记中,我深感自己的知识和经验有限。为了更好地服务于这个领域,我真诚地希望各位能够指出我的错误和不足,以便我们共同进步,提升网络安全防护能力。
我深知,网络安全是一个不断发展的领域,需要我们持续学习和实践。我的笔记可能存在理解偏差、技术更新不及时或实践应用上的疏漏。因此,我非常欢迎各位专家和同好们提出宝贵意见,帮助我完善内容,确保信息的准确性和实用性。
请您在阅读过程中,如果发现任何问题,无论是小的笔误还是大的概念性错误,都能及时反馈给我。您的每一次指正都是我进步的阶梯,也是我们共同守护网络安全的责任所在。
感谢您的理解和支持,让我们一起努力,为网络安全领域的发展贡献力量!