常見的類型有如下:SQL注入、XSS跨站腳本攻擊、惡意文件上傳、一句話木馬鏈接等。javascript
SQL注入:php
漏洞特徵:存在SQL注入語句 常見的SQL注入語句有:java
●經過報錯注入、布爾盲注、時間盲注判斷是否存在注入:web
⊙字符型sql
■ 參數後加單引號,報錯:sql1.php?name=admin'shell
■ 參數後加' and '1'='2和' and '1'='2,訪問正常:sql1.php?name=admin' and '1'='1 /sql1.php?name=admin' and '1'='2數據庫
■ 參數後加' and sleep(3) --,是否延遲3秒打開:sql1.php?name=admin' and/or sleep(3)--express
⊙數字型apache
■ 參數後加單引號,報錯:sql2.php?id=1'服務器
■ 參數後加and 1=1和and 1=2,訪問正常:sql2.php?id=1 and 1=1/sql2.php?id=1 and 1=2
■ 參數後加and sleep(5),是否延遲3秒打開:sql2.php?id=1 and sleep(5)
● 經過各類注入語句進行SQL注入攻擊:
☉聯合查詢注入
■ union select
■ order by
☉報錯注入(常見報錯注入函數)
■ floor()
■ extractvalue()
■ updatexml()
■ geometrycollection()
■ multipoint()
■ polygon()
■ multipolygon()
■ linestring()
■ multilinestring()
■ exp()
⊙常見數據庫類型判斷
■ ACCESS
and (select count (*) from sysobjects)>0返回異常
and (select count (*) from msysobjects)>0返回異常
■ SQLSERVER
and (select count (*) from sysobjects)>0返回正常
and (select count (*) from msysobjects)>0返回異常
and left(version(),1)=5%23參數5也多是4
■ MYSQL
id=2 and version()>0返回正常
id=2 and length(user())>0返回正常
id=2 CHAR(97, 110, 100, 32, 49, 61, 49)返回正常
■ Oracle
and length (select user from dual)>0返回正常
因爲文章長度有限,只列舉部分,通常出現有上述內容,則可判斷此處可能存在SQL注入。
如圖,能夠很明顯地發現紅色框中有很明顯的SQL注入語句,如布爾盲注、union select聯合注入。
XSS跨站腳本攻擊:
漏洞特徵:明顯的js惡意執行代碼 常見的XSS跨站腳本攻擊中存在的一些代碼:
● 標籤
■ <script>
■<body>
■<input>
■<img>
■<a>
■<svg>
■<BGSOUND>
■<LINK>
■<META>
■<TABLE>
■<DIV>
■<IFRAME>
■<FRAMESET>
■<STYLE>
■<OBJECT>
■ ......
● 經常使用觸發事件
■ oninput
■ onload
■ oncut
■ onclick
■ onerror
■ onmouseover
■ onfocus
■ onblur
■ poster
■ onscroll
■......
● 經常使用惡意代碼
■ prompt
■ confirm
■ alert
■ javascript
■ eval
■ expression
■ window.location
■......
鬥哥只給出部分常見的js代碼,有興趣的同窗,自行查閱資料,將其補全,由於比賽是瞬息萬變的,偶爾也會出現一些比較偏門的也不必定。
如圖,能夠很明顯地發現紅色框中有很明顯的js惡意執行代碼,如<script>標籤、alert語句,可是因爲apache日誌的特性,若是是經過Post請求,則沒法準確判斷出是否存在XSS跨站腳本攻擊
惡意文件上傳:
一般存在於upload、file等出現相似字樣的文件,都可能存在惡意文件上傳,具體還需結合日誌進行判斷,通常是判斷後續是否有出現Webshell等一些能夠的web操做,可經過查看下圖,發如今file.php頁面的先後日誌中,有存在一個帶着日期的php頁面,極可能就是利用file.php上傳的文件,服務器自動生成名字,所以判斷此處可能存在惡意文件上傳。
通常地,若是Post請求的數據未被顯示出來,則須要咱們經過訪問的連接以及上下文的訪問詳情確認此處是否存在惡意文件上傳
一句話木馬(Webshell):
通常名字可疑的文件,如帶日期字樣的頁面(.php、.asp、.aspx、.ash、.jsp等)、一串隨機值的頁面等,而且是經過Post請求,同時會返回必定的數據,此時可判斷可能存在一句話木馬、webshell等惡意文件,有些日誌可能還有post請求參數,可結合參數,更準確地判斷出是否存在一句話木馬、webshell等惡意文件。
訪問頻率分析
訪問頻率分析:不難理解,就是經過查看攻擊者訪問的頻率來判斷攻擊者使用的是哪種攻擊。
常見的類型有有如下:SQL盲注、敏感目錄爆破、帳號爆破、Web掃描
SQL盲注:
通常訪問比較有規律,基本都包含SQL語句,而且大致都類似,有個別字符不一樣,具體狀況可參考下圖:
不難發現,上圖中語句中除了包含SQL語句外,而且最後幾個字符不一樣,其餘都是一致的,所以可推測出此處爲SQL盲注
敏感目錄爆破:
通常會有大量的探測目錄,通常以Head方法爲主進行探測,具體狀況可參考下圖:
發如今上圖中,存在大量的HEAD請求方法,而且基本訪問的頁面返回的狀態碼爲404
帳號爆破:
一般都是對一個登陸頁面進行大量post請求,而且返回值基本類似,具體狀況可參考下圖:
從上圖能夠很容易看出,明顯是個登陸頁面,而且訪問頻率較高,都是經過post方法進行請求,訪問值均同樣,幸運的是此處出現了一個302狀態碼,說明攻擊者已經爆破到帳號密碼了,故可判斷此處應該爲帳號爆破。
參照:https://cloud.tencent.com/developer/article/1424498