当前位置: 首页 > news >正文

HVV注意事项(个人总结 非技术)

前言

本文基于个人经验分享,仅供参考,欢迎讨论但请勿喷。本文总结了一些非技术方面的“混子经验”,希望对大家有所帮助。

重要提醒:切勿在公共社交媒体上透露任何与项目相关的内容,保护项目信息安全!

面试

对于CTF Web方向选手,建议重点提升以下能力以应对HVV(红蓝对抗)相关面试:

  • 常见Nday漏洞复现:熟悉Weblogic、Fastjson、Shiro、Spring等漏洞的复现。
  • 内网渗透:了解基础知识,面试中占少量篇幅即可。
  • 应急响应:具备蓝队能力,如日志分析、入侵排查等。
  • 溯源能力:掌握基本的攻击溯源方法。
  • 业务与沟通能力:面试官非常看重业务能力,回答问题时需体现专业性。建议多阅读技术战法(技战法)文档,学习书面化表达,熟悉行业术语。例如:
    • 排查入侵期间是否攻击其他主机。
    • 分析入侵后的空白期内是否进行横向渗透。

面试经验

  • 有CTF比赛经验的选手在研判分析方面有一定基础,但需积累应对奇特问题的经验,客户现场可能出现各种情况。
  • 不建议网安新人直接参与HVV。缺乏经验的新人可能面临清退风险(项目失败还可能倒贴钱)。现场需要独立处理问题的能力,需扪心自问是否能自信面对客户。
  • 建议:首次参与可选择实习,积累经验,优先选择非北上广深地区(生活成本较低)。实习期间可接触监测/研判工作,熟悉设备操作,为下次面试增加亮点。例如:“去年我在XXX公司担任监测/研判工作,操作过XXX设备。”

如需更详细的面试建议,可私下联系沟通。

提前入场

提前入场的情况较少,通常在项目正式启动时才会通知进场。项目经理会提前告知对接注意事项。提前入场可能涉及以下任务:

资产暴露面梳理

  • 资产表不可完全依赖:客户提供的资产表可能未及时更新,需自行进行1-2次信息收集,再与客户资产表比对,整合成清单。清单内容建议包括:
    • 所属公司、域名、服务地址、IP、端口、协议、操作系统、应用信息、网页标题、ICP备案号、城市。
  • 0day排查:梳理资产时,务必询问客户每个端口对应的具体应用。废弃服务需及时关闭,避免0day漏洞风险。
  • 小规模企业:若客户仅提供一个IP,需自行完成信息收集。

渗透测试

  • 渗透测试报告需全面记录风险点,即使是低危漏洞(如XSS、明文密码、弱口令、暴力破解)也要写入。不能提交空白报告,需体现专业性。

其他准备

  • 网络拓扑图:尽量向客户索取网络拓扑图(部分企业可能因保密拒绝提供),了解网络架构和安全设备部署位置,确保设备正常运行并覆盖所有流量。
  • 白名单IP:明确客户的关键IP(如出口IP、外网业务服务器IP、DNS),记录白名单并使用蓝队工具(如希潭实验室的BlueTeamTools)筛除,避免误封。
  • 设备熟悉:提前入场有充足时间熟悉设备操作,通常一天即可掌握常规操作。长期使用后可积累误报/漏报经验。
  • 脚本开发:闲时可编写脚本优化工作。例如,某些设备无一键封禁功能,可写脚本提取告警IP并加入黑名单。

预监测

若无其他任务,可提前启动监测,防范红队提前打点。

项目期间

  • 保持冷静:项目开始后避免慌乱,勿频繁向客户反馈问题。研判确认问题后再向客户或高级人员报告。
  • 红队扫描:初期会有大量红队扫描流量告警,通常来自代理池。先封禁IP,待扫描结束后再进行研判。
  • 日报撰写:扫描结束后立即撰写日报,切勿拖延至下班前。

告警处理

多个设备情况下

  • 优先级:若有态势感知设备,优先查看其告警;但若其接入设备较少,仍需逐一检查所有原始设备,确保无遗漏。建议每5分钟检查一次所有设备告警。
  • 避免遗漏:某些设备可能漏报,但其他设备可能捕获,需全面检查。

XFF头

  • 重要性:XFF头用于区分内网和外网告警,部分设备支持直接显示XFF头,方便查看;其他设备需点开详情查看,较为繁琐。
  • XFF头解析:XFF头记录代理链,最左边为真实IP。环境中若流量多为转发,需特别注意XFF头,防止误封代理IP(需加入白名单)。

日常告警类型

  • 木马外联:常见于办公区,通常为广告软件或灰黑产木马(如假Chrome浏览器、激活工具)。处理流程:
    1. 确认是否为护网前已存在的告警。
    2. 检查办公区与内网是否隔离。
    3. 封禁外联地址。
    4. 若有EDR,可与客户沟通是否上机排查(事发前客户可能不愿配合)。
  • 明文密码/弱口令:提前入场可报送开发修复;若发现管理员弱口令(如admin/admin),项目期间也需上报。
  • 远控工具:如ToDesk、向日葵,部分企业可能在项目期间禁用。若有软件供应商团队,禁用可能较困难。
  • 其他告警
    • 开发错误(如请求中包含SQL语句、目录穿越的…/),可报送修复。
    • 误报处理:如Shiro反序列化误报(仅匹配rememberMe),若影响监测可加入白名单。告警详情显示匹配字段的设备较为便于分析。

常用工具/网站推荐

威胁情报

以下为常用威胁情报平台,推荐优先使用微步(查询速度快)和奇安信:

  • https://ti.qianxin.com/portal
  • https://sc.360.net/
  • https://ti.dbappsecurity.com.cn/
  • https://x.threatbook.com/
  • https://ti.sangfor.com.cn/
  • https://tix.qq.com/

其他工具

  • FOFA(https://fofa.info/):分析IP开放服务,可识别组织类型(如灰黑产网站的“bc”标题)。
  • 多地Ping(https://ping.chinaz.com/):检查是否有CDN。
  • SSL证书查询(https://myssl.com/):定位域名信息。
  • Wayback Machine(https://web.archive.org/):查询域名历史页面。例如:http://xianzhaoquan.com/ 历史为卖货平台,现为非法网站。
  • IP地址查询(https://ping0.cc/):信息全面,支持API查询。
  • IP反查域名(https://site.ip138.com/):查询IP关联域名。
  • 批量IP查询API(https://ip-api.com/docs/api:json):适合批量调用。

其他注意事项

  • 设备规则更新:每日检查设备规则库更新,护网期间可能一天更新2-3次。
  • 职业操守
    • 避免议论客户(如抱怨无零食、不包餐),否则可能面临清退风险。
    • 保持工作态度,12小时轮班难免摸鱼,但需确保告警及时处理,避免被攻破。
  • 总结:HVV需要综合技术与非技术能力,提前准备、熟悉流程、注重细节,才能在项目中表现专业。
http://www.dtcms.com/a/273170.html

相关文章:

  • 【HTTP服务端】Cookie?Session?Token?
  • React 自定义Hook——页面或元素滚动到底部监听 Hook
  • Java+Vue开发的资产设备全周期管理系统,移动端+后台管理,涵盖采购至报废全程,实现高效管理、成本可控与资源优化
  • Shell脚本一键部署KubeSphere前置环境
  • 04-ES6
  • 多线程 JAVA
  • Java :Optional容器类
  • python的保险业务管理与数据分析系统
  • AI 智能体:从辅助工具到自主决策者
  • 【YOLO脚本】对模型yaml文件测试
  • ZYNQ MPSOC PL端DDR4读写--仿真(3)
  • JDK的Closure闭包详解
  • 发现和发明浅谈
  • 2025年最新Dubbo-admin 部署
  • HTML初学者第四天
  • Android 应用常见安全问题
  • JavaScript基础(三)
  • 一文讲清楚React Hooks
  • 解决问题的“测地线”:关于第一性原理与其他系统思考框架
  • RocksDB 与 ZenFS:原理、特性及在科研与工程中的应用初步探索
  • 使用Arthas监听Spring代理对象
  • 从UI设计到数字孪生实战部署:构建智慧教育的在线学习分析平台
  • Java观察者模式实现方式与测试方法
  • Constants
  • SSM 框架整合教程:从环境搭建到 CRUD 实现
  • html页面,一个控件,可以粘贴图片和样式,一直按enter键会将下面内容推下去
  • OrCAD 24.1补丁005中文界面切换指南
  • QT Android 如何打包大文件到目录下?
  • 【Pandas】pandas DataFrame from_records
  • Android开发中几种scope的对比