当前位置：首页 > news >正文

常见漏洞及webshell工具的流量特征

news 2025/12/27 9:39:35

常见攻击的流量特征

信息泄露

请求/路径中，包含特殊文件或路径；
响应包中，包含敏感信息（如，数据结构，用户信息，网络结构等）

弱口令爆破

非常规流量：短时间内大量数据；
错误响应：返回错误的响应，状态码，40X ；

目录扫描

非常规流量：短时间内大量数据；
错误响应：返回错误的响应（如404，500）；

SQL注入

SQL注入的流量特征：（非特长异错）
1）. 非常规流量：短时间内大量数据；
2）. 特殊字符：引号，分号，百分号，注释等等；
3）. 长度异常：参数长度异常；
4）. 异常请求： SQL语句；
5）. 错误响应：返回错误的响应；

SQLMap的流量特征：

流量特征特征

静态特征


UA头	包含sqlmap版本 `User-Agent: sqlmap/1.7.9.2#dev (https://sqlmap.org)`
关键字	包含`select`，`union`，`order by` --，#
payload	`payload` 语句具有相似性

动态特征


操作系统	会根据操作系统，制定攻击策略（ `@@version_compile_os`特征）
上传脚本文件	会上传脚本文件（ `tmpuwxuv.php`和`tempuhalq.php` ）
执行系统命令	会调用特定函数来执行系统命令；

XSS

请求包中会包含特殊符号（< >），JavaScript 标签(<script> <img> <svg> <h1> <src><img>) 和 HTML 事件（onclick，onload）

文件上传


请求包	请求方法为 POST 异常的文件后缀（文件后缀为php，asp和 jsp 等或是包含特殊的字符，如%00 和多后缀）文件类型（如，`Content-Type: text/html` ， `Content-Type: application/octet-stream` ，等）文件内容（包含恶意的语句或是可疑的代码片段）文件大小异常（`Content-Length` 字段异常或是超过了预期的大小）
响应包	响应状态码（200 成功，201 创建成功，403 拒绝执行，500 服务器遇到错误）包含文件上传的路径（如，`/uploads/file.txt` ）

代码执行

请求包中包含恶意的代码（如，PHP 代码和系统命令）
响应包中包含系统信息（攻击者最常执行的，whoami，id）

Webshell 连接工具流量特征


蚁剑	1）. 固有特征；`@ini_set("display_errors","0");@set_time_limit(0)`开头； 2）. 存在`Base64`字符； 3）. 响应包返回结果格式为：随机数......结果......随机数；
哥斯拉	1）. `cookie`值后有分号；`例：Cookie: PHPSESSID=erqjms95fqav97qa99euqiu1t6;` 2）. 数据包特别长；
冰蝎	1）. `cookie` 格式为`Cookie：PHPSESSID=xxxxx；path/` `例：Cookie:FlPSESS1=fc7n5u3t26uo3jimqoecags53; path=/` 2）. 文件名纯大写或小写； 3）. 响应包中包含`set-cookie`；`例：set-cookie:FlPSESS1=fc7n5u3t26uo3jimqoecags53; path=/`
菜刀	1）. 请求包中UA头为百度，火狐 2）. 请求体中存在`eval`，`base64`等特征字符；

常见 Java 框架漏洞的流量特征


框架	特征
Log4j2	请求包中包含类似 `${jndi:ldap://dnslog}` 的语法
Fastjson	请求包中包含 `@type` 参数，json 数据和恶意文件内容
Shiro	响应包的 `Cookie` 字段中包含 `rememberMe` 字段
Strust2	请求包中包含大量的 `%` 信息（ POC 特征）

结语

亲爱的网络安全同行和爱好者们，

在我分享的网络安全自学笔记中，我深感自己的知识和经验有限。为了更好地服务于这个领域，我真诚地希望各位能够指出我的错误和不足，以便我们共同进步，提升网络安全防护能力。

我深知，网络安全是一个不断发展的领域，需要我们持续学习和实践。我的笔记可能存在理解偏差、技术更新不及时或实践应用上的疏漏。因此，我非常欢迎各位专家和同好们提出宝贵意见，帮助我完善内容，确保信息的准确性和实用性。

请您在阅读过程中，如果发现任何问题，无论是小的笔误还是大的概念性错误，都能及时反馈给我。您的每一次指正都是我进步的阶梯，也是我们共同守护网络安全的责任所在。

感谢您的理解和支持，让我们一起努力，为网络安全领域的发展贡献力量！

常见漏洞及webshell工具的流量特征

常见攻击的流量特征信息泄露请求/路径中，包含特殊文件或路径；响应包中，包含敏感信息（如，数据结构，用户信息，网络结构等） 弱口令爆破非常规流量：短时间内大量数据…...

编程日记 2024/10/17 20:45:55

python学习-怎么在Pycharm写代码

打开Pycharm，点击文件-新建项目 2.选择pure python-点击箭头展开 3.选择 Existing interpreter 如果 Existing interpreter 下没有相关环境 （1）点击**…** （2）选择python的安装路径 4.可修改文件名称-点击创建 …...

编程日记 2024/10/17 20:44:54

牛客周赛63(C++实现)

🌈个人主页：Yui_ 🌈Linux专栏：Linux 🌈C语言笔记专栏：C语言笔记 🌈数据结构专栏：数据结构 🌈C专栏：C 文章目录 1.小红的好数1.1 题目描述1.2 思路1.3 代码 2.…...

编程日记 2024/10/17 20:42:49

高级英语1第四版教材全解pdf课后答案+课文翻译张汉熙

《高级英语1》是张汉熙教授编著的一本英语教材，广泛用于国内高校英语专业高年级学生的教学。这本书以提高学生的英语综合能力为目标，注重语言知识的系统性和实用性，同时强调跨文化交际能力的培养。书中选材丰富，涵盖了文学、历史、…...

编程日记 2024/10/17 20:41:48

视频去水印软件3款推荐：好用的去水印软件分享！

在处理视频素材时，水印往往是一个令人头疼的问题。幸运的是，市面上有许多优秀的视频编辑软件能够帮助我们快速、有效地去除水印。今天，我将为大家推荐三款功能强大的视频去水印软件：影忆、Final Cut Pro X以及Adobe Premiere Pro&…...

编程日记 2024/10/17 20:40:47

perl文件测试操作符及其意义

perl文件测试操作符及其意义文件测试操作符意义-r文件或目录，对目前（有效的）用户或组来说是可读的-w文件或目录，对目前（有效的）用户或组来说是可写的-x文件或目录，对目前（有效的&a…...

编程日记 2024/10/17 20:39:46

NC 单据模板自定义项设置参照（自定义参照）

NC 单据模板自定义项设置参照（自定义参照） 如图下图，NC 单据模板自定义项设置参照： 1、选择需要设置参照的自定义字段，选择高级属性页签，在类型设置中，数据类型选择参照信息，即bd…...

编程日记 2024/10/17 20:37:44

Element-ui官方示例（Popover 弹出框）

Element-ui官方示例（Popover 弹出框），好用的弹出框。使用 vue-cli3 我们为新版的 vue-cli 准备了相应的Element 插件，你可以用它们快速地搭建一个基于 Element 的项目。使用 Starter Kit 我们提供了通用的项目模版&#…...

编程日记 2024/10/17 20:36:43

Bootstrap 5 练习 - 显示工具提示

文章目录引言准备工作创建HTML文件导入Bootstrap 5框架编写页面代码编写JavaScript脚本浏览网页注意事项结束语引言大家好，今天我们将一起学习如何在Bootstrap 5中创建一个简单的工具提示（Tooltip）。工具提示是一个非常实用的用户界面元素…...

编程日记 2024/10/17 20:32:39

【p2p、分布式，区块链笔记 Torrent】: WebTorrent GitTorrent bittorrent-dht

bittorrent-dht模块 BitTorrent DHT 通过 DHT 网络广播值，允许其他用户通过 DHT 来发现和获取这些数据。 1. 导入依赖 var DHT require(bittorrent-dht)2. 创建实例 var dht new DHT({bootstrap: config.dht.bootstrap }) dht.listen(config.dht.listen)new D…...

编程日记 2024/10/17 20:31:38

【Next.js 项目实战系列】05-删除 Issue

原文链接 CSDN 的排版/样式可能有问题，去我的博客查看原文系列吧，觉得有用的话，给我的库点个star，关注一下吧上一篇【Next.js 项目实战系列】04-修改 Issue 删除 Issue 添加删除 Button 本节代码链接这里我们主要关注布局…...

编程日记 2024/10/17 20:30:36

Springboot api http并发测试请求

pom.xml <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId> </dependency> 线程发起请求 package com.example.demo;import org.springframework.http.HttpEntity; import org…...

编程日记 2024/10/17 20:29:35

Qt的websocket客户端和服务器测试(非安全版本)

测试内容： 客户端： 1 连接服务器 2 发送数据 3 处理错误信号 4 监听断开信号 5 接收服务器的数据服务器： 1 监听等待客户端连接 2 向指定的客户端发送数据 4 监听断开信号 5 接收客户端的数据测试界面工程文件.pro添加的内容：…...

编程日记 2024/10/17 20:27:33

Prometheus运维监控平台之监控指标注册到consul脚本开发、自定义监控项采集配置调试(三)

系列文章目录运维监控平台搭建运维监控平台监控标签 golang_Consul代码实现Prometheus监控目标的注册以及动态发现与配置V1版本文章目录系列文章目录目的一、监控指标注册到consul的golang脚本开发1、修改settings.yaml文件2、修改config/ocnsul,go文件3、修改core/consul…...

编程日记 2024/10/17 20:25:31

C语言——数组

1.数组的概念数组是一组相同类型元素的集合； 数组中可以存放1个或多个元素，但数组元素个数不能为0。同时数组可以分为一维数组和多维数组，多维数组一般常见是二维数组。 2.一维数组的创建和初始化一维数组的创建的基本语法： …...

编程日记 2024/10/17 20:23:29

MySQL-09.DDL-表结构操作-查询修改删除

一.查询二.修改三.删除 -- DDL：查看表结构 -- 查看：当前数据库下的表show tables ;-- 查看：查看指定的表结构 desc tb_emp;-- 查看：数据库的建表语句 show create table tb_emp;-- DDL:修改表结构 -- 修改：为表tb…...

编程日记 2024/10/17 20:21:27

WileyNJDv5_Template模板无法编译生成pdf文件

文章目录问题解决办法结果问题使用WileyNJDv5_Template模板时，修改tex文件里的内容，按F6编译后，并没有报错，但是编辑后的pdf文件没有生成，因为看文件夹里的pdf文件日期还是以前的日期，所以是旧版的pdf文…...

编程日记 2024/10/17 20:20:26

亿配芯城（ICGOODFIND)教你外贸（海外）推广电子元器件芯片的专用词语

在电子元器件行业，海外推广是企业拓展市场、提升竞争力的重要手段。而在海外推广过程中，恰当运用专用词语能够准确传达产品信息、吸引客户关注，提升推广效果。本文将详细介绍亿配芯城（ICGOODFIND）电子元器件海外推广中…...

编程日记 2024/10/17 20:19:25

windows和linux的一些使用问题一一记录

文章目录 windows 11 激活wsl文件共享命令互通wslg网络 Hyper-V双系统遇到再记录……… windows 11 激活然后执行 slmgr /skms kms.03k.org slmgr /atowsl 卡死打开任务管理关闭下就行了 wsl --list -v # 安装的 wsl --list --online #可以安装的wsl -d kali-linux # 启…...

编程日记 2024/10/17 20:18:24

排序算法上——插入，希尔，选择，堆排序

前言： 常见排序方法如下： 本篇将介绍4种排序方法，分别为插入排序，希尔排序，选择排序，堆排序，并分别举例与讲解。一. 插入排序 1.1 含义与动图分析插入排序的思想是在有序区间的下一个位置…...

编程日记 2024/10/17 20:17:21

docker详细操作--未完待续

docker介绍 docker官网: Docker：加速容器应用程序开发 harbor官网：Harbor - Harbor 中文使用docker加速器: Docker镜像极速下载服务 - 毫秒镜像是什么 Docker 是一种开源的容器化平台，用于将应用程序及其依赖项（如库、运行时环…...

编程新知 2025/12/22 14:52:54

React Native 开发环境搭建（全平台详解）

React Native 开发环境搭建（全平台详解） 在开始使用 React Native 开发移动应用之前，正确设置开发环境是至关重要的一步。本文将为你提供一份全面的指南，涵盖 macOS 和 Windows 平台的配置步骤，如何在 Android 和 iOS…...

编程新知 2025/10/7 2:47:54

2025年能源电力系统与流体力学国际会议 (EPSFD 2025)

2025年能源电力系统与流体力学国际会议（EPSFD 2025）将于本年度在美丽的杭州盛大召开。作为全球能源、电力系统以及流体力学领域的顶级盛会，EPSFD 2025旨在为来自世界各地的科学家、工程师和研究人员提供一个展示最新研究成果、分享实践经验及…...

编程新知 2025/12/21 21:20:38

遍历 Map 类型集合的方法汇总

1 方法一先用方法 keySet() 获取集合中的所有键。再通过 gey(key) 方法用对应键获取值 import java.util.HashMap; import java.util.Set;public class Test {public static void main(String[] args) {HashMap hashMap new HashMap();hashMap.put("语文",99);has…...

编程新知 2025/12/18 3:35:57

线程同步：确保多线程程序的安全与高效！

全文目录： 开篇语前序前言第一部分：线程同步的概念与问题1.1 线程同步的概念1.2 线程同步的问题1.3 线程同步的解决方案第二部分：synchronized关键字的使用2.1 使用 synchronized修饰方法2.2 使用 synchronized修饰代码块第三部分&#xff…...

编程新知 2025/9/24 16:02:40

macOS多出来了：Google云端硬盘、YouTube、表格、幻灯片、Gmail、Google文档等应用

文章目录问题现象问题原因解决办法问题现象 macOS启动台（Launchpad）多出来了：Google云端硬盘、YouTube、表格、幻灯片、Gmail、Google文档等应用。问题原因很明显，都是Google家的办公全家桶。这些应用并不是通过独立安装的…...

编程新知 2025/12/4 19:00:05

【android bluetooth 框架分析 04】【bt-framework 层详解 1】【BluetoothProperties介绍】

1. BluetoothProperties介绍 libsysprop/srcs/android/sysprop/BluetoothProperties.sysprop BluetoothProperties.sysprop 是 Android AOSP 中的一种系统属性定义文件（System Property Definition File），用于声明和管理 Bluetooth 模块相…...

编程新知 2025/11/22 12:02:51

（转）什么是DockerCompose?它有什么作用？

一、什么是DockerCompose? DockerCompose可以基于Compose文件帮我们快速的部署分布式应用，而无需手动一个个创建和运行容器。 Compose文件是一个文本文件，通过指令定义集群中的每个容器如何运行。 DockerCompose就是把DockerFile转换成指令去运行。 …...

编程新知 2025/12/14 16:13:40