OWASPtop101、失效的访问控制（越权）2、加密失败3、注入4、不安全的设计5、安全配置错误6、易受攻击和过时的组件7、认证和授权失败8、软件和数据完整性故障9、安全日志记录和监控失效10、服务端请求伪造ssrf和csrfCSRF：跨站请求攻击（XSRF）发生条件：当用户在安全网站A登录后保持登录的状态，并在此时浏览了保存有恶意代码的另一个网站B。此时B站劫持用户的浏览器并以用户以登录的状态对A站发送非用户本人的操作。当服务端没有对这次请求验证的情况下，将这次操作作为可信任的用户的操作。防御：增加验证码、怎加refer字段、使用token、SSRF：服务端请求伪造由攻击者构造的攻击链接传

Windows应急响应应急响应的重要性开机启动项temp文件分析浏览器信息分析文件时间属性分析最近打开文件分析进程分析计划任务隐藏账户的发现添加与删除恶意进程发现及关闭补丁信息webshell查杀应急响应的重要性近年来信息安全事件频发，信息安全的技能、人才需求大增。现在，不管是普通的企业，还是专业的安全厂商，都不可避免的需要掌握和运用好信息安全的知识、技能，以便在需要的时候，能够御敌千里。所谓养兵千日，用兵一时，拥有一支完善的团队或完整的流程，可以保障企业在出现重大安全事件时，能有条不紊的进行处置，及时把破坏范围缩小。且在即将开始的护网中，应急响应也是其中非常重要的一环，学好应急响应能让你在面

本文首发于【2022HVV系列】蓝队手册更新版（建议收藏）综合篇青藤云安全出品：倒计时！你需要这份《2022攻防演练蓝队防守指南》攻防演练合集|3个阶段，4大要点，蓝队防守全流程纲要解读网络安全实战攻防演练丨防守方案经验分享https://网络安全实战攻防演练丨防守方案经验分享-知乎认知篇神秘的HW到底是做什么的？红蓝对抗浅谈关于HW护网行动的一些知识对红队的认知：攻防演练中常见的8种攻击方式及应对指南从攻击者角度解读防护思路HW红队作战手册【护网行动专题】红队攻击指南自我排查篇资产收集安全护网前信息收集企业安全之做好这三点，护网没在怕攻防演练之战前扫雷：漏洞管理的5大措施全流程信息收集方法总

0x00背景记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后，逐步更新ing)0x01linux查询所有用户计划任务cat/etc/passwd|cut-f1-d:|xargs-I{}crontab-l-u{}0x02排查linux记录密码后门strace监听ssh来源流量记录密码后门(本机输入的密码记录不到)，需要提前安装strace (strace-f-F-p`psaux|grep"sshd-D"|grep-vgrep|awk{'print$2'}`-t-etrace=read,write-s322>/tmp/sshd.log&)grep-E'read\(6,".+\\0\\0

重新认识蓝队体系背景随着近几年复杂国际形势的大背景和国内护网活动的锤炼，传统的安全运维/服务类解决方案在面临新的挑战和要求下显得捉襟见肘，日渐吃力。越来越多的组织开始引入红队服务来寻求对信息系统的更接近实战的威胁评估。与此同时，如何建立应对真实威胁且能够迅速反应的行之有效的防御体系，也激发出各行各业对蓝队建设的迫切需求。基本概念蓝队一般是以现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。企业蓝队建设能够在高级威胁对抗场景下提供涵盖人员、技术、流程、服务全维度的安全防御体系。以IPDRO自适应保护模型为核心，包含暴露面监测（识别阶段-I）、防御强化（防护阶段-P）、威胁狩猎（监测

蓝队面试知识点整理整理自网络1.应急响应基本思路流程收集信息：收集客户信息和中毒主机信息，包括样本判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS等等抑制范围：隔离使受害⾯不继续扩⼤深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产产出报告：整理并输出完整的安全事件报告2.Windows入侵排查思路检查系统账号安全1.1查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat-ano命令、或者问服务器管理员）1.2lusrmgr.msc命令查看服务器

护网行动是提高国家网络安全防御能力的一种有效手段，而蓝队作为攻防演习中的防守方，也是护网行动的重要一份子。在这篇文章中，我们将汇总多篇有关护网行动蓝队初级人员面试题的资料，对这些资料进行整合和分析，为准备参加面试的蓝队初级人员提供参考，为读者提供一些实用的技巧和建议，帮助大家更好地应对蓝队初级人员面试。基础篇题目Q讲一下TOP10有哪些？A1.失效的访问控制2.加密机制失效3.注入（包括跨站脚本攻击XSS和SQL注入等）4.不安全设计5.安全配置错误6.自带缺陷和过时的组件7.身份识别和身份验证错误8.软件和数据完整性故障9.安全日志和监控故障10.服务端请求伪造SSRFQ常见的端口和相关的服

蓝队常用的攻击手段在实战过程中，蓝队专家根据实战攻防演练的任务特点逐渐总结出一套成熟的做法：外网纵向突破重点寻找薄弱点，围绕薄弱点，利用各种攻击手段实现突破；内网横向拓展以突破点为支点，利用各种攻击手段在内网以点带面实现横向拓展，遍地开花。实战攻防演练中，各种攻击手段的运用往往不是孤立的，而是相互交叉配合的，某一渗透拓展步骤很难只通过一种手段实现，通常需要同时运用两种或两种以上的手段才能成功。外网纵向突破和内网横向拓展使用的攻击手段大多类似，区别只在于因为目标外网、内网安全防护特点不同而侧重不同的攻击手段（见图3-1）。总体来说，蓝队在攻防演练中常用的攻击手段有以下几类。漏洞利用漏洞是网络硬件

声明：作者所发布的文章及工具只限交流学习，不承担任何责任！如有侵权，请告知我立即删除。一、前言对于攻防演练蓝军的伙伴们来说，最难的技术难题可能就是溯源，尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程，一个是只溯源到公司，一个是溯源到个人。二、溯源实例2.1IP反查域名2.1.1态势感知发现攻击截图2.1.2对尝试弱口令进行详细研判，确实为弱口令尝试 2.1.3对IP进行威胁情报中心查询，发现风险评估为高，IP反查到域名 2.1.4将域名进行备案查询，发现为北京某某科技有限公司。2.2社交账户追查到个人2.2.1事件描述129.226.xxx.xxx在5月

目录蓝队及发展趋势        基本概念​​​        发展趋势攻击阶段        准备阶段        情报搜集        建立据点        横向移动攻击战术    利用弱口令及通用口令        利用互联网边界渗透内网        利用通用产品组件漏洞        利用安全产品0Day漏洞        利用人性弱点社工钓鱼        利用供应链攻击        利用下属单位迂回攻击        秘密渗透        多点潜伏防守弱点        资产混乱，隔离不严格        通用中间件未修复漏洞多        边界设备成为内网缺口