师傅们 ~ HW来了

公众号后台回复：     2024HW

1. SQL注入2. 失效的身份认证3. 敏感数据泄露4. XML外部实体（XXE）5. 失效的访问控制6. 安全配置错误7. 跨站脚本（XSS）8. 不安全的反序列化9. 使用含有已知漏洞的组件10. 不足的日志记录和监控

CSRF：跨站请求伪造脚本攻击；SSRF：服务器请求伪造攻击。CSRF是服务器端没有对用户提交的数据进行随机值校验且对http请求包内的refer字段校验不严，导致攻击者可以 利用用户的Cookie信息伪造用户请求发送至服务器。SSRF是服务器对用户提供的可控URL过于信任，没有对攻击者提供的RUL进行地址限制和足够的检测，导致攻击者可以以此为跳板攻击内网或其他服务器。

预防csrf攻击简单可行的方法就是在客户端网页上再次添加一个cookie，保存一个随机数，而用户访问的时候，先读取这个cookie的值，hash一下这个cookie值并发送给服务器，服务器接收到用户的hash之后的值，同时取出之前设置在用户端的cookie的值，用同样的算法hash这个cookie值，比较这两个hash值，相同则是合法。（如果用户访问了病毒网站，也想带这个cookie去访问的时候，此时，因为病毒网站无法获取第三方cookie的值，所以他也就无法hash这个随机数，所以也就会被服务器校验的过滤掉）

种类：存储型，反射型，DOM型区别：存储型:常出现在信息修改添加等地方，导致恶意代码被存储在数据库中，每当被攻击者访问到后就会触发执行；反射型：常出现在url中，一般需要攻击者提前构造好恶意链接，欺骗用户点击，触发攻击代码；DOM型：攻击代码在url中，然后输出在了浏览器的DOM节点中。简单比较会发现，存储和反射都经过服务器，而DOM是纯前端。

原理：在数据交互中，前端的数据传入到后台处理时，由于后端没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。种类：字符，数字，布尔，报错，延迟，联合，堆叠，宽字节，XFF等

1.floor()2.extractvalue()3.updatexml()4.exp()5.GeometryCollection()6.polygon()7.multipoint()8.multilinestring()9.linestring()10.multipolygon()

看user-agent 日志里面的。

1. 系统内核溢出提权；2. 数据库提权；3. 错误的系统配置提权；4. DLL劫持提权；5. 特权第三方软件or服务提权；微信公众号不知名安全团队6. 令牌窃取提权；7. web中间件漏洞提权；8. AT，SC，PS提权等等；1.系统内核溢出提权；2.SUID和GUID提权；3.不安全的环境变量提权；4.定时任务提权；5.数据库提权等

看进程。先找到进程。看看文件在哪。把挖矿病毒文件删了。然后干掉程序。在排查计划任务。看/etc/crontab还有/var/spool/的cron里面在等几分钟。如果挖矿木马没有重新出现在进程里。如果重新出现。说明失败。继续排查。

1. SQL注入2. 失效的身份认证3. 敏感数据泄露4. XML外部实体（XXE）5. 失效的访问控制6. 安全配置错误7. 跨站脚本（XSS）8. 不安全的反序列化9. 使用含有已知漏洞的组件10. 不足的日志记录和监控0