murpheelee/cve-deep-dives

# CVE 深度解析 ## 为什么选择这个仓库 CVE 是一个四个字符的代码。一个“深度解析”不仅仅是知道 *CVE-2021-44228 是什么*，而是能够解释 *为什么你的 JDK 版本很重要，为什么 WAF 签名不足，如何在日志中检测利用行为，以及一个合理的 7 天修复方案是什么样的*。 对于漏洞管理从业者来说，阅读安全公告、在实验室中重现漏洞、构建检测机制并指导大规模修复的能力，是区分“任务关闭者”和资深虚拟机（VM）工程师的关键。本仓库记录了高影响 CVE 的这一工作流程。 ## 写作模板 为了便于快速阅读，每篇写稿遵循一致的结构： 1. **执行摘要** — 针对管理层的简要说明 2. **漏洞分析** — CWE、受影响的版本、根本原因解释 3. **利用机制** — 攻击者如何实际武器化漏洞 4. **检测** — KQL（Microsoft Sentinel）+ Sigma 规则，并注明数据源要求 5. **历史妥协排查** — 用于追溯性检测的查询 6. **修复** — 补丁指导、版本矩阵、验证步骤 7. **缓解控制措施** — 何时无法立即打补丁 8. **经验教训** — 虚拟机（VM）项目总结、更广泛的模式 ## 写稿列表 | CVE | 漏洞 | 年份 | 严重性 | 状态 | |-----|---------------|------|----------|--------| | [CVE-2021-44228](writeups/CVE-2021-44228-Log4Shell.md) | Apache Log4j JNDI RCE（Log4Shell） | 2021 | 10.0 严重 | KEV | | [CVE-2023-4966](writeups/CVE-2023-4966-CitrixBleed.md) | Citrix NetScaler ADC / Gateway 会话劫持（Citrix Bleed） | 2023 | 9.4 严重 | KEV | ## 方法论 每篇写稿的构建过程如下： 1. 阅读原始安全公告、CVE 条目和供应商安全公告 2. 审查至少两份来自 reputable 安全研究（Mandiant、Rapid7、SentinelLabs、Volexity、GreyNoise 等）的独立技术分析 3. 在安全可行的情况下进行实验室复现 4. 编写已在已知利用遥测数据上测试过的检测查询 5. 针对供应商支持的升级路径验证修复步骤 6. 交叉引用 CISA KEV 和 FIRST.org EPSS 以了解真实世界的利用上下文 ## 贡献 发现错误？找到更好的检测查询？请打开 Issue 或 PR。

标签：AMSI绕过, CVE-2021-44228, CVE分析, GPT, JNDI注入, KQL查询, Log4Shell, Microsoft Sentinel, Sigma规则, WAF绕过, 威胁检测, 安全写稿, 安全运营, 扫描框架, 技术文档, 日志检测, 根因分析, 漏洞修复, 漏洞复现, 漏洞深度分析, 漏洞管理, 狩猎, 目标导入, 端点安全, 缓解控制, 网络安全培训, 补丁管理, 防御加固