网络攻防学习笔记 Day59

一般来说，没有无缘无故的攻击，攻击总是伴随着相关的目的性和攻击现象。

1．常见的主流 Web 攻击目的分类

（1）数据窃取 （2）网页篡改 （3）商业攻击 （4）恶意软件

2．常见主流 Web 攻击现象

（1）数据异常 （2）系统异常 （3）系统 CPU （4）流量异常 （5）设备/日志告警异常

针对 Web 入侵攻击，常见的攻击方式可分为两大类：一类是利用典型漏洞进行攻击以获取服务器权限；另一类是利用容器相关的漏洞进行攻击以获取服务器权限。

其中利用典型的漏洞获取服务器权限进行攻击可分为以下常见类型：注入漏洞获取服务器权限、上传漏洞获取服务器权限、命令执行漏洞获取服务器权限、文件包含漏洞获取服务器权限、代码执行漏洞获取服务器权限、编辑器漏洞获取服务器权限、后台管理漏洞获取服务器权限、数据库操作漏洞获取服务器权限。

利用容器相关的漏洞获取服务器权限进行攻击的方式可分为以下几种：Tomcat 漏洞、Axis2 漏洞、WebLogic 等中间件弱口令上传 war 包方式、Websphere 漏洞、Weblogic 漏洞、jboss 反序列化漏洞、Struts2 代码执行漏洞、Spring 命令执行漏洞等。

Webshell 后门：Webshell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门。

js 后门：一种利用 js 脚本文件调用的原理进行的网页木马隐蔽挂马技术。例如，黑客先制作一个.js 文件，然后利用 js 代码调用到挂马的网页，通常分为远控后门等。

事件检测分析包含以下步骤，首先定性攻击事件类型，接着确定攻击时间：根据异常点发现点、日志等信息进行前后推导。然后登录涉事服务器查找攻击线索，如异常状态、异常文件、进程、账号等信息。根据前面发现的攻击线索进行攻击流程梳理，即根据确定的攻击时间、攻击线索进行推理，梳理大致的攻击流程。最后定位攻击者，即综合分析后定位攻击者并进行相关的溯源工作。