红日安全59期 - Web及移动安全综合教学文档

一、安全动态专题

1.1 应急响应流程

Windows应急响应

流程步骤：
1. 系统信息收集（网络连接、进程、服务、用户账户）
2. 日志分析（事件查看器、安全日志、系统日志）
3. 恶意文件检测（MD5校验、数字签名验证）
4. 内存取证（使用Volatility等工具）
5. 后门检测（启动项、计划任务、WMI持久化）

Linux应急响应

关键检查点：
- 检查异常进程（ps auxf）
- 分析网络连接（netstat -antp）
- 检查系统日志（/var/log/目录）
- 检查用户账户（/etc/passwd、/etc/shadow）
- 检查crontab任务（crontab -l）

1.2 网络安全管理

政策制定步骤：
1. 风险评估
2. 安全需求分析
3. 策略文档编写
4. 实施与培训
5. 持续监控与更新

1.3 网络欺骗攻击

常见类型：
- ARP欺骗
- DNS欺骗
- DHCP欺骗
- 中间人攻击(MITM)
防御措施：
- 启用端口安全
- DHCP监听
- 动态ARP检测

二、Web安全专题

2.1 SQL注入技术

基于整数的SQL注入：
- 识别注入点（数字型参数）
- 使用布尔盲注技术
- 利用时间延迟确认注入
- 数据提取技术

2.2 Webshell进阶

无字母数字Webshell：
- 利用PHP异或运算
- 使用非字母数字字符构造代码
- 通过编码转换绕过过滤

2.3 漏洞分析

Tomcat PUT上传漏洞(CVE-2017-12615)

漏洞原理：
- 当readonly设置为false时
- 可通过PUT方法上传JSP文件

利用方式：

PUT /test.jsp/ HTTP/1.1
Host: target:8080
Content-Length: 10

<% out.println("test"); %>

Oracle WebLogic远程代码执行

影响版本：10.3.6.0, 12.1.3.0等
漏洞组件：WLS核心组件
修复建议：及时安装补丁

三、渗透测试专题

3.1 内网渗透

代理技术：
- SOCKS代理搭建
- SSH端口转发
- HTTP隧道技术
内网信息收集：
- 网络拓扑探测
- 域环境分析
- 敏感数据定位

3.2 命令注入漏洞

常见注入点：
- 系统命令调用函数
- 反序列化操作
- 文件操作函数
检测方法：
- 输入特殊字符测试
- 时间延迟检测
- 带外数据检测

四、安全工具专题

4.1 YASAT安全审计工具

功能特点：
- 自动化安全检查
- 系统配置审计
- 漏洞扫描
使用场景：
- 系统基线检查
- 合规性审计

4.2 Nmap高级扫描

Ping扫描技术：
- ICMP Echo扫描（-PE）
- TCP SYN Ping扫描（-PS）
- UDP Ping扫描（-PU）
- ARP Ping扫描（-PR）

4.3 Wireshark使用

关键功能：
- 流量捕获与过滤
- 协议分析
- 异常流量检测
常用过滤表达式：
- http.request.method == "POST"
- tcp.port == 3389
- dns.qry.name contains "example.com"

五、移动安全专题

5.1 安卓应用渗透测试

测试要点：
1. 静态分析（反编译APK）
2. 动态分析（运行时监控）
3. 数据存储安全检测
4. 网络通信安全
5. 组件暴露检查

六、代码审计专题

6.1 XSS漏洞审计

常见漏洞点：
- 未过滤的输出点
- DOM操作点
- 反射型XSS
- 存储型XSS
审计方法：
- 跟踪用户输入流向
- 检查输出编码情况
- 测试边界条件

七、安全加固实践

7.1 SSH安全加固

等保要求下的配置：
- 修改默认端口
- 禁用root登录
- 使用密钥认证
- 启用失败锁定
- 限制访问IP

7.2 系统安全基线

检查项目：
- 密码策略
- 用户权限
- 服务配置
- 日志设置
- 防火墙规则

八、实战演练案例

8.1 MS12-020漏洞利用

漏洞描述：RDP协议漏洞
利用步骤：
1. 识别开放3389端口的主机
2. 检查系统补丁情况
3. 使用MSF模块攻击
4. 获取系统权限

8.2 博彩网站检测

特征分析：
- 特定关键词
- 支付接口
- 代理IP使用
- 快速更新机制
检测技术：
- 内容分析
- 行为分析
- 关联分析

附录：安全资源

FreeBuf安全周报获取方式
常见漏洞数据库：
- CVE数据库
- CNVD
- CNNVD
安全工具集合：
- Kali Linux工具集
- Metasploit框架
- Burp Suite套件

本教学文档基于红日安全59期内容整理，涵盖了Web安全、移动安全、渗透测试、代码审计等多个领域的关键知识点，可作为安全学习和实践的参考指南。

红日安全59期 - Web及移动安全综合教学文档一、安全动态专题 1.1 应急响应流程 Windows应急响应流程步骤：系统信息收集（网络连接、进程、服务、用户账户）日志分析（事件查看器、安全日志、系统日志）恶意文件检测（MD5校验、数字签名验证）内存取证（使用Volatility等工具）后门检测（启动项、计划任务、WMI持久化） Linux应急响应关键检查点：检查异常进程（ ps auxf ）分析网络连接（ netstat -antp ）检查系统日志（ /var/log/ 目录）检查用户账户（ /etc/passwd 、 /etc/shadow ）检查crontab任务（ crontab -l ） 1.2 网络安全管理政策制定步骤：风险评估安全需求分析策略文档编写实施与培训持续监控与更新 1.3 网络欺骗攻击常见类型： ARP欺骗 DNS欺骗 DHCP欺骗中间人攻击(MITM) 防御措施：启用端口安全 DHCP监听动态ARP检测二、Web安全专题 2.1 SQL注入技术基于整数的SQL注入：识别注入点（数字型参数）使用布尔盲注技术利用时间延迟确认注入数据提取技术 2.2 Webshell进阶无字母数字Webshell：利用PHP异或运算使用非字母数字字符构造代码通过编码转换绕过过滤 2.3 漏洞分析 Tomcat PUT上传漏洞(CVE-2017-12615) 漏洞原理：当readonly设置为false时可通过PUT方法上传JSP文件利用方式： Oracle WebLogic远程代码执行影响版本：10.3.6.0, 12.1.3.0等漏洞组件：WLS核心组件修复建议：及时安装补丁三、渗透测试专题 3.1 内网渗透代理技术： SOCKS代理搭建 SSH端口转发 HTTP隧道技术内网信息收集：网络拓扑探测域环境分析敏感数据定位 3.2 命令注入漏洞常见注入点：系统命令调用函数反序列化操作文件操作函数检测方法：输入特殊字符测试时间延迟检测带外数据检测四、安全工具专题 4.1 YASAT安全审计工具功能特点：自动化安全检查系统配置审计漏洞扫描使用场景：系统基线检查合规性审计 4.2 Nmap高级扫描 Ping扫描技术： ICMP Echo扫描（ -PE ） TCP SYN Ping扫描（ -PS ） UDP Ping扫描（ -PU ） ARP Ping扫描（ -PR ） 4.3 Wireshark使用关键功能：流量捕获与过滤协议分析异常流量检测常用过滤表达式： http.request.method == "POST" tcp.port == 3389 dns.qry.name contains "example.com" 五、移动安全专题 5.1 安卓应用渗透测试测试要点：静态分析（反编译APK）动态分析（运行时监控）数据存储安全检测网络通信安全组件暴露检查六、代码审计专题 6.1 XSS漏洞审计常见漏洞点：未过滤的输出点 DOM操作点反射型XSS 存储型XSS 审计方法：跟踪用户输入流向检查输出编码情况测试边界条件七、安全加固实践 7.1 SSH安全加固等保要求下的配置：修改默认端口禁用root登录使用密钥认证启用失败锁定限制访问IP 7.2 系统安全基线检查项目：密码策略用户权限服务配置日志设置防火墙规则八、实战演练案例 8.1 MS12-020漏洞利用漏洞描述：RDP协议漏洞利用步骤：识别开放3389端口的主机检查系统补丁情况使用MSF模块攻击获取系统权限 8.2 博彩网站检测特征分析：特定关键词支付接口代理IP使用快速更新机制检测技术：内容分析行为分析关联分析附录：安全资源 FreeBuf安全周报获取方式常见漏洞数据库： CVE数据库 CNVD CNNVD 安全工具集合： Kali Linux工具集 Metasploit框架 Burp Suite套件本教学文档基于红日安全59期内容整理，涵盖了Web安全、移动安全、渗透测试、代码审计等多个领域的关键知识点，可作为安全学习和实践的参考指南。