面试会遇到的问题
[TOC]
遇到sql注入告警怎么分析
流程:
确认与甄别(是不是真的?)——》调查与评估(到底有多严重)——》响应与处置(马上需要做什么?)——》复盘与改进(如何避免下次再发生)【关键】
如果我收到一条SQL注入告警,我不会立即把它当成一次确凿的攻击,而是把它作为一个线索,启动一个标准的分析流程:
“当我在SIEM或WAF上看到一条SQL注入告警时,我会在1-3分钟内做一个初步研判,核心是判断这是‘噪音’还是‘真正的威胁’。我的方法主要是四看:
1. 看频率和范围:我会立刻拉取这个源IP在过去一段时间内的所有请求日志。如果它在短时间内对全站无数个端点进行了海量、多样的攻击测试,我会优先将其判定为自动化扫描,风险等级调低。但如果它的请求非常集中、频率很低,这时就需要提高警惕。
2. 看Payload的复杂程度:首先需要检查Payload本身。如果它使用的是那种教科书式的、未经混淆的经典语句,这像是自动化工具干的。但如果Payload充满了各种编码、注释符、使用了非常冷门的函数或针对特定数据库的语法,这强烈暗示背后有一个真
