SOC工具包v3.0:从Bug Hunter到事件响应的实用指南
SOC工具包v3.0BugHunter的事件响应建议作者Alican Kiraz阅读时间3分钟发布日期2020年4月3日分享数271大家好我尊敬的同事们以及未来将成为我同事的伙伴们。在本文中我将以我初入行业时获得的“Bug Hunter”头衔以及近年来塑造我职业生涯的“蓝队成员”身份来探讨我们应如何处理Web安全事件。我建议您先查看我之前分享的关于处理Web事件的思维导图我将通过解释这个思维导图与大家分享我在Web领域的知识。在此我要衷心感谢为完善此思维导图提供宝贵反馈的Okan Hazırcı、Emrah Savaş、Ömer Sefa Umay、Caner Ertem、Taylan Barışık、Caner Hamze Canbaz、Hilal Ateş、Halis Baş、Esra Nur Soylu、Burak Özdörtdivanlı、Semra Durna、Onur Can。现在让我们逐步展开以下步骤1. 检查SIEM中的查询第一步假设SIEM中反映在列Column中或查询的注释部分出现的、您无法理解的变量需要进行解码。该值通常可能包含主要的攻击向量。您应解码此值并将其纳入后续调查阶段。2. 目标路径分析此步骤的关键在于确定所检查查询中的目标单元是一个变量参数如?alican还是一个目录如..\alican\…。如果目标是参数这可能引导我们考虑XSS、SQL注入或基于参数的Web攻击。对于基于路径的尝试警报要么是误报要么源于基于路径的攻击警报。按回车键或点击查看完整图片图片来源https://portswigger.net/web3. 状态码检查需要检查目标请求在服务器端返回的响应并处理这些响应。从这些响应如2xx、3xx系列可以判断攻击步骤是否仍在继续事件调查是否需要深入。按回车键或点击查看完整图片图片来源https://www.steveschoger.com/status-code-poster/4. HTTP请求类型检查在后续步骤中应对初始目标请求之后持续的HTTP请求类型进行检查并跟踪可能引发问题的请求如Post、Options、Delete等。按回车键或点击查看完整图片图片来源https://www.computing.dcu.ie/~humphrys/Notes/Networks/tanenbaum/7-41.jpg同样地即使是通过GET方法传输也应检查是否存在敏感信息或唯一哈希值的分享并将任何可能的哈希值分享通知软件开发团队。例如…./?auth123123321…5. 解码后的表达式分析当您解码URL中相关的表达式时如果遇到如、、、(、)等字符以及JavaScript的基本命令表达式如script、onload或类似ononloadload这样的不完整片段那么您所面对的攻击极有可能是XSS。此时您应特别关注存储型Stored和反射型ReflectedXSS变体。如果目标区域是类似?search…这样的参数则很可能是反射型XSS如果结构涉及类似?form..的表达具有表单填充性质并能创建存储型攻击条件则不应忽视存储型XSS。图片来源imperva.com如果查询中包含SELECT、UNION或各种可能表示等式的标识符如111则SQL注入的可能性会增大。如果遇到包含复杂SQL注入、XSS或命令注入表达式的查询您可以假设这是由类似SQLMap的工具发起的复杂攻击尝试。如果攻击向量中包含../../../之类的目录表示则可以推测存在路径遍历Path Traversal或本地文件包含LFI攻击尝试。在这种情况下您可以基于查询和路径使用自己的Web浏览器进行测试来确认。6. 基本SQL注入的目标通常是管理面板和登录面板而高级攻击向量则针对具有搜索功能的参数。例如?as123..如果针对此类参数的尝试在SQL查询时未进行适当的输入净化sanitization则可能在后台产生影响并绕过防御。这里重要的是状态码可能并不显著。不应忽视返回500或400系列状态码的情况因为这些响应在盲注SQLBlind SQLi和基于错误的SQL注入Error Based SQL中可能被利用。同样基于时间的SQL注入Time Based和基于错误的SQL注入尝试也不应被忽视。FINISHEDCSD0tFqvECLokhw9aBeRqgHtVfxALMxIGu/BizQjt0lOIFFQQuuLkgn5bGHJlgguRM1bCSufyOBRkz4vW/QZ24hbFNDiE1lvD8AEripBEdOLEUYEwtg894FmWPoSaoJfn9WW2z7qSIfzoySAG/ZTEQ更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享

相关新闻

微信通话时,是如何判断“当前/对方网络不佳”的?以及我们自己怎么实现?

微信通话时,是如何判断“当前/对方网络不佳”的?以及我们自己怎么实现?

前阵子跟客户微信语音聊需求,说着说着突然没声了,屏幕立马弹出“对方网络不佳”的提示,或者自己这边提示"当前网络不佳",反复切WiFi、开流量都没用,最后只能换电话沟通。其实这件事我想了很久了,…

2026/7/3 15:25:42 阅读更多 →
2026年网站建设的六大核心原则体系

2026年网站建设的六大核心原则体系

网站建设是一个集战略规划、视觉传达、技术实现、内容构建与运营管理于一体的综合性系统工程。它不仅仅是创建一个在线展示页面,更是构建一个能够支持业务目标、满足用户需求、承载品牌价值的数字生态系统。现代网站已从早期的静态信息发布平台,演进为支…

2026/7/3 15:25:43 阅读更多 →
青岛银行:激进的“扩张主义者”

青岛银行:激进的“扩张主义者”

对于大多数的银行来说,当前正面临越来越严峻的挑战,一个是银行的净息差在不断收窄,另一个就是银行整体的营收增长都开始出现了乏力。不过,在这样的大环境下,青岛银行却出现了逆势增长。2026年1月28日,青岛银…

2026/7/3 15:25:47 阅读更多 →

最新新闻

如何用嘎嘎降AI处理英语专业论文:英语专业毕业论文降AI知网4.8元完整操作教程

如何用嘎嘎降AI处理英语专业论文:英语专业毕业论文降AI知网4.8元完整操作教程

如何用嘎嘎降AI处理英语专业论文:英语专业毕业论文降AI知网4.8元完整操作教程 处理英语专业论文降AI教程时最怕两件事:降不下来,和改完不知道对不对。 这篇把整个流程梳理清楚,用嘎嘎降AI(www.aigcleaner.com&#x…

2026/7/5 4:51:21 阅读更多 →
为庆祝《终结者 2》上映 35 周年,工业光魔创始人探讨 T-1000 特效技术挑战

为庆祝《终结者 2》上映 35 周年,工业光魔创始人探讨 T-1000 特效技术挑战

【导语:为庆祝《终结者 2》上映 35 周年,工业光魔计算机图形部门几位创始人聚在一起,探讨打造液态金属 T - 1000 角色面临的技术挑战,想了解电影特效可看迪士尼纪录片。】《终结者 2》35 周年:特效技术探讨重聚在《终结…

2026/7/5 4:51:21 阅读更多 →
GESP2026年6月认证C++二级( 第一部分选择题(1-7))精讲

GESP2026年6月认证C++二级( 第一部分选择题(1-7))精讲

第一题 未来农场的神奇传感器(答案:C)1、📖故事开始(1)今天,小明来到了未来智慧农场。农场里没有农民拿着水壶浇地,而是有一个小机器人不停地说:"土地有点干了&…

2026/7/5 4:49:20 阅读更多 →
Sketch批量重命名插件终极指南:告别手动命名,提升设计效率10倍

Sketch批量重命名插件终极指南:告别手动命名,提升设计效率10倍

Sketch批量重命名插件终极指南:告别手动命名,提升设计效率10倍 【免费下载链接】RenameIt Keep your Sketch files organized, batch rename layers and artboards. 项目地址: https://gitcode.com/gh_mirrors/re/RenameIt 你是否曾因Sketch文件中…

2026/7/5 4:49:20 阅读更多 →
图像频域滤波实战:3步实现基于2D-FFT的高斯低通与高通滤波

图像频域滤波实战:3步实现基于2D-FFT的高斯低通与高通滤波

图像频域滤波实战:3步实现基于2D-FFT的高斯低通与高通滤波 1. 频域滤波的核心原理 当你第一次看到图像的频域表示时,可能会觉得那些对称的亮斑和条纹像某种抽象艺术。但正是这些看似神秘的图案,蕴含着图像处理的强大力量。频域滤波的核心思想…

2026/7/5 4:45:18 阅读更多 →
DeepSeek-R1本地部署指南:消费级硬件运行高效AI推理模型

DeepSeek-R1本地部署指南:消费级硬件运行高效AI推理模型

🚀 30款热门AI模型一站整合,DeepSeek/GLM/Qwen 随心用,限时 5 折。 👉 点击领海量免费额度 如果你是一名开发者,最近在尝试构建自己的AI应用,或者正在为团队寻找一个高效、低成本的本地AI解决方案&#…

2026/7/5 4:43:18 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻