2021年度网络安全攻防演练日报（奇安信20210318）_20230311203132.pdfVIP

总行系统事业部网络安全攻防实战演练日

报

（3月18日）

一、演练情况

1.攻击简况：

今日发现明确的攻击事件，攻击成功的事件为跨站脚

本攻击事件以及DNSlog渗透事件。

2.防守简况：

（1）安排人员进行现场值守，监控奇安信天眼系统，及时

对告警事件进行监测和分析。发现确定的攻击事件。

（2）奇安信天眼系统今日主要安全事件：

奇安信天眼系统上报46条成功告警：

1)33条【弱口令】告警，经查是因正常用户弱口令登

录触发此告警，属于【误报】，已进行【操作】；

2)1条【SQL注入】告警，经查是总参的漏洞设备触发

的告警，属于【误报】，已进行【操作】；

3)10条【DNSlog渗透】告警，经查是攻击者修改HOST

头部而触发此告警，属于【攻击成功】事件，已进行【操

作】。

4)2条【跨站脚本攻击】告警，经查是攻击者利用XSS

1

攻击触发告警，属于【攻击成功】事件，已进行【操作】。

3.存在的主要问题及解决方案：

1、跨站脚本攻击

（1）、验证所有输入数据的合法性，包括但不限于

类型、长度、内容以及业务规则（E-mail地址、IP地址等

格式）。

（2）、对输出到前端的数据进行编码转换，如HTML

实体编码、JS编码等。

（3）、对客户端提交的数据中包含的特殊字符进行过

滤或实体转换。

建议过滤的关键字：

[1]|（竖线符号）

[2]（符号）

[3];（分号）

[4]$（美元符号）

[5]%（百分比符号）

[6]@（at符号）

[7]（单引号）

[8]（引号）

[9]\（反斜杠转义单引号）

[10]\（反斜杠转义引号）

2

[11]（尖括号）

[12]()（括号）

[13]+（加号）

[14]CR（回车符，ASCII0x0d）

[15]LF（换行，ASCII0x0a）

[16],（逗号）

[17]\（反斜杠）

[18]/（斜杠）

[17][（中括号）

常见特殊字符的实体编码：

[1]“（双引号）：quot

[2]’（单引号）：apos

[3]（符号）：amp

[4]（左尖括号）：lt

[5]（右尖括号）：gt

（4）、建议在不影响正常业务的前提下，将cookie

设置HttpOnly属性以保护用户的cookie，同时禁用TRACE

方法。

2、DNSlog渗透事件

（1）在WAF层面拦截HOST头为

、、ceye.io的请求。

（2）设置请求头只能为白名单列表中的HOST头。

3

二、每日重要内容记录：

1、跨站脚本攻击

今日发现DNSlog渗透事件10次

时间：2021-03-1813:33:26

源地址：

21、01、04等

目的地址：8、3、5

告警详情：

IOC为

查看数据包发现攻击者将HOST头部修改为

触发告警：

4

2、跨站脚本攻击

今日发现跨站脚本攻击2次，均成功。

时间：2021-03-1810:22:56

源地址：47

目的地址：8

告警详情：

请求体中payload为简单的弹窗：