本文介绍了运维的基础流程,包括SSH爆破、木马脚本、命令执行、SQL注入、XSS漏洞等常见安全问题的判断与应对。还讨论了工单要素、IPS和IDS系统的作用,以及应急响应的核心内容,全面探讨运维安全。
一、简述运维流程:
1、接手平台、管理资产(增删)、设置平台对资产是扫描策略。
2、每天按照规定的巡检周期对资产进行巡检,巡检过程中检测资产的目前状态做记录,查看是否有新增告警事件。将发现的新增告警事件按照规定输出详细的事件工单。工单内要求详细描述整个告警事件的过程。
3、亦可尝试验证告警事件,或扫描到的漏洞,验证事件攻击成功,或者漏洞属实,再输出安全事件工单,并提交验证报告,并给出修复方案和加固方案。
二、发现一起境外的ssh爆破事件,如何判断是否爆破成功?
1、是否发生异常登录
2、被爆破的账号在爆破结束后是否有异常操作
3、被爆破的账号使用的什么登陆形式,私钥登录则无需理会
三、发现有木马脚本攻击事件,并给出了疑似木马文件的文件名,如何判断?
1、木马文件和当前服务器所配置的代码环境是否一致
2、和服务器管理人员核对文件是否为异常文件
3、木马文件是否可以正常访问
4、登录服务器查看对应目录下是否真实存在该文件
四、发现有命令执行攻击存在,怎样验证是否攻击成功?
1、判断执行攻击的命令和服务器环境是否一致
2、仿照攻击形式尝试进行命令执行攻击验证,查看是否能成功
3、查看服务器日志,是否有异常操作存在
五、发现存在SQL注入漏洞
1、使用平台给出的payload验证一遍
2、使用SQLmap工具尝试攻击
3、尝试用手工注入的方式进行攻击
六、发现存在XSS漏洞
1、使用平台给出的payload验证一遍
2、分别构造闭合形式、鼠标事件形式、和构造新的标签进行验证
七、发现存在后台登录页面泄露
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
