防蓝队溯源tips

防蓝队tips

• 使用 干净 的浏览器 (没有任何 cookie), 或者隐身模式

• 修改系统默认浏览器, 或者就改成 burp 自带的浏览器, burp 要挂好代理, 测试方法, bp 自带浏览器访问 cip.cc 或 ifconfig.me

• burp 用新一点的版本, 老版本自带的浏览器可能会被蓝队蜜罐用浏览器的 0day/1day 反制

• 交流传输域名或者 ip 需要加字符(防止聊天工具有预加载暴露出口 ip, 或者队友误点)

• 例如: www.bai【】du.com

• mysql 连接用云服务器的命令行连接, 防止 mysql 蜜罐

• mysql 蜜罐读你的本机微信信息

• mysql 蜜罐读你的cs配置

• java 反序列化工具尽量放到单独的云服务器上，这个云服务器上面不要存敏感数据，属于即用即消的。因为开源的很多都是可以被反制的

• 或者说用 go 去实现

• java 命令行工具 (jar) 要挂代理，或者走 proxifer

• clash 工具要设置不允许局域网连接(看情况)

• 成果不要发在钉钉、qq 群、腾讯文档、语雀、石墨文档、trello 等在线文档，最好放在内网自建服务上, 随项目随用随销

• 微信、钉钉传文件加密压缩, 敏感信息先 base64 一遍

• 及时清理微信、钉钉聊天记录、设备缓存

• 清理本地浏览器记录、缓存、保存密码

• 重要文档本地加密压缩

• 如果是 mac，虚拟机运行的时候注意下共享目录，防止泄漏文件

• goland、vscode 等 IDE 打开源码要小心, 优先用 notepad++、sublime 这种打开看, 防止 IDE 反制