网站内容更新用什么,长治个人做网站,WordPress大前端设置背景,建筑装饰工程先查看ip#xff0c;10.12.13.232模拟的外网ip#xff0c;其他的模拟内网ip#xff0c;服务里面搭建好的漏洞环境。
#第一个测试项目#xff0c;web风险发现
新建#xff0c;下发任务#xff0c;点威胁检测#xff0c;webshell#xff0c;点扫描任务#xff0c;点新… 先查看ip10.12.13.232模拟的外网ip其他的模拟内网ip服务里面搭建好的漏洞环境。
#第一个测试项目web风险发现
新建下发任务点威胁检测webshell点扫描任务点新建 配置好之后直接执行。
#弱口令扫描
网络分析-发现发现-账户扫描这块有弱口令扫描然后新建下发任务和上面差不多。
口令复用扫描也差不多。
#软件漏洞扫描
分扫描和漏洞补丁检测发现发现-软件漏洞-新建下发任务
#控制台查杀
目的是否能发现病毒的样本。网络发现-病毒查杀-控制台查杀然后差不多的流程不过他是重新扫描
#虚拟补丁
开启虚拟补丁开关发现发现软件漏洞找到一个漏洞然后点影响机数点进去之后就要开启主机的虚拟补丁了
再去测试一下失败之后在虚拟补丁里面是会有一个告警还可以信息查看命中的虚拟补丁
#本地查杀 先切换为本地查杀的模式
相当于机器运行之后会进行一个自动的检测
#端口白名单禁止外围暴露i 这个测试目的某些违规或者不必要的外围端口比如数据库端口不对外开放。
要自己开启禁止外网暴露。在微隔离-端口白名单选择指定端口开启。
一建封堵外内网都不允许访问。
#进程外联检测
测试外联行为
#外联白名单-ip端口限制
指定此端口可以访问那些东西添加百度白名单就可以访问百度没添加的都不可以访问。
访问别的就会告警。
#应用白名单-非法应用管控
行为管理-应用白名单自己新建策略管理之后学习完就有信息展示出来
#防火墙规则-入方向开启和阻止
测目目的确认能否组织入方向的流量。前提条件管理中心-agent管理-功能设置-全局设置-防护开关开启ip层流量过滤开关,dns解析监控开关asp模型流量过滤开关。
防火墙-新建策略-规则列表新建选择阻止入方向的流量。保存之后在点防火墙-服务器规则配置-选择服务器-应用策略好选择那个新建的规则。就下发任务了
触发规则就会告警。
#防火墙规则-出方向开启和阻止
和上面一样只是选择为出方向。
#防火墙规则-域名控制禁止域名
前提条件管理中心-agent管理-功能设置-全局设置-防护开关开启ip层流量过滤开关,dns解析监控开关asp模型流量过滤开关。
目的能否阻止访问域名
#web中间件漏洞利用检测
常见java美中间件漏洞有 weblogic,反序列化、java反序列化等这类漏洞椒图同的检测信息对java 类应用调用过程中针对内存堆找进行险制。检制用到组件执行系统命令和文件上传。 本地测试以weblogic反序列化漏洞为例进行测试。
目的检测利用weblogic反序列化漏洞执行命令执行和webshell上传
在web应用部署rasp插件。
之后产生攻击就会有告警。
防护agent管理-功能设置-应用防护-高级防护开关设置为开启反序列化漏洞为防护状态。
在告警里面就显示已经被拦截。
#web应用框架漏洞利用检测
常见的框架漏洞有struts2反序列化漏洞apache shiro反序列化漏洞
这类漏洞的椒图检测原理是对java类应用调用过程中对内存堆进行检测检测组件执行系统命令和文件上传。
对struts2反序列化漏洞进行测试远程命令执行和webshell上传。
whoami
防御开启struts2反序列化漏洞防护。
#任意文件上传漏洞检测
检测任意文件上传国家
在web应用上部署好
防护未知上传漏洞防护开启
#远程命令执行漏洞检测
检测远程命令执行
防护对应漏洞的防护开启
#虚拟补丁-web应用检测
基于waf还一中保护waf包目的就是不修改或升级软件下监控攻击者利用
部署web插件
这个告警是基于waf的检测
防护禁止使用php//input开启
#加密流量漏洞检测
目的检测https加密协议发起的sql注入漏洞。条件部署waf插件
#任意文件目录检测
目的检测攻击者是否可以上传病毒样本危险目录webshell等等对文件目录的权限控制
防护就在功能设置-用户防护-文件监控与防护设置为防护模式。
#对外服务进程更改系统配置检测
目的检测攻击者是否可以利用对外服务修改linux系统配置文件。
防护功能设置-系统防护-操作系统加固开关设置开启禁止对外访问进程更改系统配置文件开启。
#对外服务进程添加定时任务检查
就是写一个计划任务看能不能检测到
防护功能设置-系统防护-对外服务进程添加定时任务检查开启防护
#对外服务进程修改账户信息检测
#对外服务进程修改系统日志信息
都是用系统去检测防护就是开启对应的防护项。
#webshell实时检测
基于文件创建的检测基于文件浏览的检测基于文件行为分析的检测
测试是否会触发告警
防护开启对应的防护模式
#端口扫描检测
目的是否可以检测到网络扫描工具
防护功能设置-网络防护-方端口扫描开启防护
#自动屏蔽扫描器
屏蔽awvsxray等等基于atp流量的扫描攻击
威胁检测-恶意扫描-设置-屏蔽扫描器功能。
触发告警在威胁总览里面就会显示
防御就是开启防护模式
#暴力破解检测
是否能检测爆破攻击
防护功能设置-入侵检测-暴力破解-开启自动封停。对ip拉黑。
#异常登录检测 威胁检测-异常登录-登录规则设置上面就是一个规则。不是允许访问ip就会触发告警。
#反弹shell检测
检测反弹shell告警告警
反弹shell都是默认开启的
防护威胁检测-反弹shell,支持手段进行封停封停后就杀掉进程自动断开连接。
#本地提权检测
检测本地提权的行为
防护威胁检测-本地提权信息通过进程阻断地该行为进行阻断。
#蜜罐诱捕检测
测试是否可以欺骗攻击者的恶意行为
功能设置-网络防护-微蜜罐生成微蜜罐的功能 #病毒实时检测
功能设置-系统防护-入侵检测-杀毒实时监控开关设置为开启一般默认为开启
通过风险发现病毒查杀就可以显示出来
病毒实时防护的原理打开发现发现-病毒查杀-设备管理批量设置自处理设置选择会进行一个自动隔离。
#无文件攻击检测
仅使用Windows操作系统
#rce利用检测
之前演示过
#oob的黑域名检测
目的测试是否可以自动检测agent链接oob黑域名带外攻击发现带外攻击行为带外攻击能够使攻击者在没有任何回显或者表现的漏洞中通过另一种方式来确认漏洞存在如通过dns请求返回攻击数据
agent就是通过dns数据源进行检测从而进行黑域名的匹配。
把dnslog这些设置成一个黑域名通过dns解析方式触发黑域名就会告警
#代理隧道检测
检测一些代理隧道的脚本二进制程序等等。
会进行告警 ss
