freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

轻量web日志扫描工具 - xlog
2018-01-31 11:44:43

一、介绍

用过二进制扫描工具yara的安全人,都喜欢其简洁的语法,其规则由字符串和布尔型表达式组成,可用于标示某一类家族。外面也由很多web日志扫描工具,我比较喜欢这种语法,且新添加语法简单,方便小白使用,所以空闲的时间把这种语法扩展到web access 日志中,xlog代码简单,规则仿照yara的规则,大牛们不喜勿喷,awk勿喷~~~~~~

web 访问日志格式正常情况为:

11.11.11.11 - - [18/Sep/2013:14:19:18 +0000] "GET /admin.php HTTP/1.0" 404 25 "-" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
rule yara_attackAdmin {
meta:
description = "attack admin"
strings:
$str="admin.php" url
$str1="feed"  url
condition:
$str and (GET or POST) and status=404 and not $str1
}

以上规则说明请求url种含有$str,不含有$str1 且 请求为post 或者get方法,且返回请求为404 都会识别为 yara_attackAdmin 家族

二、语法

具体使用方式和yara相同,目前支持语法:agent、正则匹配url、refer、请求类型,返回状态的匹配。

图片.png

三、xlog使用

1、下载源码后,可直接make可生产scanner程序

2、执行:./scanner   规则文件路径  web访问日志

即:

图片.png

3、输出命中的结果:

图片.png

可根据命令行定制化输出

-a                       输出全部结果(默认)

-ip                       输出ip

-refer                  输出ip

-request              输出url

....

-st 参数time       输出访问时间大于time的结果

-et 参数time       输出访问时间小雨time的结果                  

四、github开源

xlog github         可直接在上面fork和反馈问题

* 本文作者zyvsfx,转载注明来自FreeBuf.COM 轻量web日志扫描工具 - xlog

# xlog
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者