网络***总会留下痕迹的,web日志分析总是不可避免的。下面是收集到的正则,如果日志中发现相关访问,且是200的,那就要注意了。SQL注入***(/w+)'|(/w+)%20and%20(/S+)|(
.
网络***总会留下痕迹的,web日志分析总是不可避免的。
下面是收集到的正则,如果日志中发现相关访问,且是200的,那就要注意了。
SQL注入***
(/w+)'|(/w+)%20and%20(/S+)|(/w+)%20or%20(/S+)|(/w+)=(/d+)-(/d+)|(/d+)>(/d+)|(/d+)<(/d+)|(/S)waitfor(/W+)delay(/S)|(/S)having(/W)|(/S)sleep(/W)|(/w)/+(/w)|(/w)/#|(/w)--|(/w)///*(/S)|(/w)/&/&(/W)|(/S)select(/W)|(/S)insert(/S+)into(/W)|(/S)delete(/W)|(/S)update(/W)|(/S)create(/W)|(/S)drop(/W)|(/S)exists(/W)|(/S)backup(/W)|(/S)order(/S+)by(/W)|(/S)group(/S+)by(/W)|(/S)exec(/S)|(/S)truncate(/S)|(/S)declare(/S)|(/S)@@version(/S)
跨站脚本(XSS)***
(/S)%3C(/S+)%3E|(/S)%3C(/S+)%2F%3E|(/S+)<(/S+)>|(/S+)<(/S+)//>|onerror||/"|alert|document/.|prompt
文件包含或路径遍历***
/etc/passwd|//%c0%ae%c0%ae|//%2E%2E|boot/.ini|win/.ini|/././/|access/.log|httpd/.conf|nginx/.conf|/proc/self/environ
WebShell
//cmd/.asp|//diy/.asp|/.asp;|//(/w+)/.(/w+)//(/w+)/.php|/.php/.|eval/(|%eval|/.jsp?action=|fsaction=
服务器敏感文件访问
//WEB-INF//web/.
为了准确的计算web访问量,需要排除一些网络蜘蛛,常见的关键字有:谷歌(googlebot),百度(baiduspider),搜搜(soso),雅虎,msn(msnbot),必应(bingbot),搜狗(sogou),宜搜(EasouSpider),有道等
egrep -i -v "soso|bot|spider" access.log.
