Zufan-wabe/SOC-Lab-Project

# 🛡️ SOC 事件响应 — 跨站脚本攻击 (XSS) # 事件摘要 | 字段 | 详情 | |-------|---------| | **Offense ID** | 55645 | | **告警类型** | URI 中的 Script 标签 — 疑似跨站脚本攻击 (XSS) 尝试 | | **目标 (受害者)** | `38.242.128.144` — `http://oldsystem.cydeosec.com` | | **攻击者 IP** | `79.106.66.54` | | **攻击向量** | 通过搜索参数注入的 HTTP GET 请求 | | **日志总量** | Splunk 中识别出 105,729 条日志 | | **状态** | 已调查 & 已归档 | # 什么是跨站脚本攻击 (XSS)？ 跨站脚本攻击 (XSS) 是一种 Web 应用程序漏洞，攻击者将恶意脚本注入到其他用户查看的网页中。一旦攻击成功，XSS 攻击可以： - 窃取会话 cookies 并劫持用户账户 - 将用户重定向到恶意网站 - 捕获击键记录和凭证 - 篡改网页或传播恶意软件 在本次事件中，攻击者试图通过应用程序的搜索功能注入 JavaScript payloads。 ## 检测 — QRadar SIEM 告警 QRadar 基于与 URI 模式匹配的规则检测到了此次 Offense，这些规则会标记 HTTP 请求参数中出现的 `&search= /search.php?searchdata=&search= ``` ### 分析师关于 Payloads 的备注 - **Payload 1** — 基础的 XSS 测试，注入了 ``。这是一种常见的首次探测，用于测试是否存在输入过滤机制。 - **Payload 2** — 更复杂的 payload，使用制表符 (`\x09`) 来绕过拦截 ` [2] Application does not block request (possible lack of input validation) └─► Attacker confirms injection point exists [3] Attacker sends second, obfuscated payload └─► Uses \x09 tab character to bypass naive script filters └─► Tests javascript:alert(1) for execution [4] Attacker pivots to /js/easing.js └─► Attempts to target a shared JavaScript resource └─► Potential stored XSS attempt for wider impact [5] ModSecurity WAF logs capture all activity [6] QRadar generates Offense 55645 [7] Splunk correlates 105,729 associated log entries [8] SOC Analyst investigates and documents incident ``` ## 本次调查使用的工具 | 工具 | 用途 | |------|---------| | **IBM QRadar** | 初始 Offense 检测和告警分类 | | **Splunk** | 日志关联、日志量分析、WAF 日志审查 | | **VirusTotal** | IP 信誉和威胁情报查询 | | **Talos Intelligence** | IP 信誉评分和黑名单检查 | | **Shodan** | 攻击者 IP 开放端口和基础设施侦察 | | **URL Decoder** | 手动解码百分比编码的攻击 payloads | ## 建议 基于本次调查，建议采取以下修复步骤： 1. **输入验证与输出编码** — 对所有搜索参数实施严格的服务器端输入验证。在将所有用户提供的输出渲染到 HTML 之前进行编码。 2. **内容安全策略 (CSP)** — 部署 CSP 标头以限制允许执行的脚本，从而降低任何成功进行 XSS 注入所造成的影响。 3. **WAF 规则调优** — 审查并加强 ModSecurity WAF 规则，以拦截混淆的 XSS payloads，包括制表符和 unicode 绕过技术。 4. **封锁攻击者 IP** — 鉴于已确认的恶意活动，将 `79.106.66.54` 添加到防火墙黑名单中，无论其威胁情报评分是否中立。 5. **修补遗留系统** — 目标名称 `oldsystem.cydeosec.com` 表明这可能是一个遗留应用程序。遗留应用通常缺乏现代安全控制——应优先考虑修补或退役。 6. **监控 `/js/` 目录** — 对 JavaScript 资源实施文件完整性监控，以检测未经授权的篡改尝试。 7. **针对存储型 XSS 的威胁狩猎** — 审计 `/js/easing.js` 文件及相关 JavaScript 资源，排查因先前成功攻击而注入的任何恶意代码。 ## 工件 | 工件 | 描述 | |----------|-------------| | QRadar Offense 55645 | 原始 SIEM 告警 | | Splunk 搜索结果 | 105,729 条关联日志记录 | | ModSecurity WAF 日志 | XSS payloads 的独立确认 | | VirusTotal 报告 | 针对 79.106.66.54 的 IP 信誉检查 | | Talos Intelligence 报告 | Sender 和 Web 信誉评分 | | Shodan 报告 | 攻击者 IP 的开放端口枚举 | ## 分析师 **Zufan Wabe** 初级安全分析师 | CYDEO Cybersecurity CompTIA Security+ 认证 [LinkedIn](https://www.linkedin.com/in/zufan-wabe-3bb171294)

标签：AMSI绕过, CISA项目, CrowdStrike, QRadar, SOC实验, Web安全, Wireshark, XSS攻击, 句柄查看, 威胁检测, 安全教育, 安全运营中心, 攻击模拟, 漏洞分析, 网络安全, 网络映射, 蓝队分析, 跨站脚本攻击, 路径探测, 防御加固, 隐私保护, 驱动签名利用