SOC工具包v3.0：从Bug Hunter到事件响应的实用指南

SOC工具包v3.0：BugHunter的事件响应建议

作者：Alican Kiraz
阅读时间：3分钟
发布日期：2020年4月3日
分享数：271

大家好，我尊敬的同事们以及未来将成为我同事的伙伴们。在本文中，我将以我初入行业时获得的“Bug Hunter”头衔以及近年来塑造我职业生涯的“蓝队成员”身份，来探讨我们应如何处理Web安全事件。我建议您先查看我之前分享的关于处理Web事件的思维导图；

我将通过解释这个思维导图与大家分享我在Web领域的知识。在此，我要衷心感谢为完善此思维导图提供宝贵反馈的Okan Hazırcı、Emrah Savaş、Ömer Sefa Umay、Caner Ertem、Taylan Barışık、Caner Hamze Canbaz、Hilal Ateş、Halis Baş、Esra Nur Soylu、Burak Özdörtdivanlı、Semra Durna、Onur Can。现在，让我们逐步展开以下步骤：

1. 检查SIEM中的查询
第一步，假设SIEM中反映在列（Column）中或查询的注释部分出现的、您无法理解的变量需要进行解码。该值通常可能包含主要的攻击向量。您应解码此值，并将其纳入后续调查阶段。

2. 目标路径分析
此步骤的关键在于确定所检查查询中的目标单元是一个变量（参数），如?alican，还是一个目录，如..\alican\…。如果目标是参数，这可能引导我们考虑XSS、SQL注入或基于参数的Web攻击。对于基于路径的尝试，警报要么是误报，要么源于基于路径的攻击警报。

按回车键或点击查看完整图片
图片来源：https://portswigger.net/web

3. 状态码检查
需要检查目标请求在服务器端返回的响应，并处理这些响应。从这些响应（如2xx、3xx系列）可以判断攻击步骤是否仍在继续，事件调查是否需要深入。

按回车键或点击查看完整图片
图片来源：https://www.steveschoger.com/status-code-poster/

4. HTTP请求类型检查
在后续步骤中，应对初始目标请求之后持续的HTTP请求类型进行检查，并跟踪可能引发问题的请求，如Post、Options、Delete等。

按回车键或点击查看完整图片
图片来源：https://www.computing.dcu.ie/~humphrys/Notes/Networks/tanenbaum/7-41.jpg

同样地，即使是通过GET方法传输，也应检查是否存在敏感信息或唯一哈希值的分享，并将任何可能的哈希值分享通知软件开发团队。

例如：…./?auth=123123321…

5. 解码后的表达式分析
当您解码URL中相关的表达式时，如果遇到如<、>、"、(、)等字符，以及JavaScript的基本命令表达式（如script、onload），或类似ononloadload这样的不完整片段，那么您所面对的攻击极有可能是XSS。此时，您应特别关注存储型（Stored）和反射型（Reflected）XSS变体。如果目标区域是类似?search=…这样的参数，则很可能是反射型XSS；如果结构涉及类似?form=..的表达，具有表单填充性质并能创建存储型攻击条件，则不应忽视存储型XSS。

图片来源：imperva.com

如果查询中包含SELECT、UNION或各种可能表示等式的标识符，如'1=1'=1'，则SQL注入的可能性会增大。如果遇到包含复杂SQL注入、XSS或命令注入表达式的查询，您可以假设这是由类似SQLMap的工具发起的复杂攻击尝试。

如果攻击向量中包含../../../之类的目录表示，则可以推测存在路径遍历（Path Traversal）或本地文件包含（LFI）攻击尝试。在这种情况下，您可以基于查询和路径，使用自己的Web浏览器进行测试来确认。

6. 基本SQL注入的目标通常是管理面板和登录面板，而高级攻击向量则针对具有搜索功能的参数。例如?as=123..，如果针对此类参数的尝试在SQL查询时未进行适当的输入净化（sanitization），则可能在后台产生影响并绕过防御。这里重要的是状态码可能并不显著。不应忽视返回500或400系列状态码的情况，因为这些响应在盲注SQL（Blind SQLi）和基于错误的SQL注入（Error Based SQL）中可能被利用。同样，基于时间的SQL注入（Time Based）和基于错误的SQL注入尝试也不应被忽视。FINISHED
CSD0tFqvECLokhw9aBeRqgHtVfxALMxIGu/BizQjt0lOIFFQQuuLkgn5bGHJlgguRM1bCSufyOBRkz4vW/QZ24hbFNDiE1lvD8AEripBEdOLEUYEwtg894FmWPoSaoJfn9WW2z7qSIfzoySAG/ZTEQ==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）