这是管理员日志配置不当的问题,但好在我们可以通过浏览器指纹来定位不同的访问来源,还原攻击路径。
1、定位攻击源
首先访问图片木马的记录,只找到了一条,由于所有访问日志只记录了代理IP,并不能通过IP来还原攻击路径,这时候,可以利用浏览器指纹来定位。
浏览器指纹:
1 2 3 |
|
2、搜索相关日志记录
通过筛选与该浏览器指纹有关的日志记录,可以清晰地看到攻击者的攻击路径。
3、对找到的访问日志进行解读
攻击者大致的访问路径如下:
A、攻击者访问首页和登录页B、攻击者访问MsgSjlb.aspx和MsgSebd.aspxC、攻击者访问Xzuser.aspxD、攻击者多次POST(怀疑通过这个页面上传模块缺陷)E、攻击者访问了图片木马
打开网站,访问Xzuser.aspx,确认攻击者通过该页面的进行文件上传了图片木马,同时,发现网站了存在越权访问漏洞,攻击者访问特定URL,无需登录即可进入后台界面。通过日志分析找到网站的漏洞位置并进行修复。
0x04 日志统计分析技巧
统计爬虫:
统计浏览器:
IP 统计:
统计网段:
统计域名:
HTTP状态:
URL 统计:
文件流量统计:
URL访问量统计:
脚本运行速度:
查出运行速度最慢的脚本
IP, URL 抽取:
相关文章教程:web安全教程
以上就是如何对web日志进行安全分析的详细内容,更多文章请关注木庄网络博客!
相关阅读 >>
更多相关阅读请进入《web日志》频道 >>
