本文将介绍如何使用cyberchef的json操作功能,根据自己的需求处理常见的json问题。
在网络安全日常的运营,护网行动,重保活动的过程中,经常需要查看多种平台的json格式日志,如下:
- 以json格式存储的防火墙日志
- 以json格式存储的流量日志
- 以json格式存储的eventlog日志
- 以json格式存储的proxy日志
- 以json格式存储的SIEM日志
有的设备和平台并没有提供json格式的解析和美化功能,因此往往需要第三方的json解析和美化工具。对于json的格式字符串和文件的解析通常具备如下几种方式,JQ命令,在线网站,以及cyberchef等。
本文将详细的介绍将json操作的方法,作为我的专栏《Cyberchef 从入门到精通教程》中的一篇,详见这里,这些操作能够满足日常的大部分分析任务。
jq 命令
在之前的文章中,介绍了使用j命令的方式,详见这里。JQ命令十分的强大,能够对于json格式的文件进行增删改查等多种操作。
在线网站
使用搜索引擎搜索此类的网站,会出现很多。在线json解析网站的最大问题在于广告多,担心数据会被泄露以及未知的安全性问题。因此在很多情况下并不推荐使用在线的json解析网站。
cyberchef
cyberchef的json功能主要定位为轻量级的json解析器,功能上来说没有jq命令复杂,但是提供的json beautify ,json minify,json和csv的互转功能均是日常使用频率最高的功能,而且支持本地化的部署方式,能够满足日常的大部分分析任务。
以Linux平台下firefox目录下的containers.json文件为例进行说明,对应的内容如下:
xml
{"version":4,"lastUserContextId":5,"identities":[{"userContextId":1,"public":true,"icon":"fingerprint","color":"blue","l10nID":"userContextPersonal.label","accessKey":"userContextPersonal.accesskey","telemetryId":1},{"userContextId":2,"public":true,"icon":"briefcase","color":"orange","l10nID":"userContextWork.label","accessKey":"userContextWork.accesskey","telemetryId":2},{"userContextId":3,"public":true,"icon":"dollar","color":"green","l10nID":"userContextBanking.label","accessKey":"userContextBanking.accesskey","telemetryId":3},{"userContextId":4,"public":true,"icon":"cart","color":"pink","l10nID":"userContextShopping.label","accessKey":"userContextShopping.accesskey","telemetryId":4},{"userContextId":5,"public":false,"icon":"","color":"","name":"userContextIdInternal.thumbnail","accessKey":""},{"userContextId":4294967295,"public":false,"icon":"","color":"","name":"userContextIdInternal.webextStorageLocal","accessKey":""}]}json beautify
json beautify操作的主要功能就是解析json字符串,并按照指定的方式进行输出,例如该操作提供了指定缩进字符串以及按照键值排序的功能,如下图:
可以看到对应的输出,对于不同类型的值,例如字符串,数字以及布尔值都进行了不同颜色的着色,阅读起来比较方便。将该功能和diff操作进行结合,比较不同的日志内容是最常见的使用场景。
json minify
可以看到json beautify 的作用在于将不利于阅读的单行json字符创进行解析展开,json minify则是json beautify 的逆操作。由于json beautify在将单行字符串进行转换后,使用大量的缩进以及换行符,因此json minify会去除这些间隔符,如下:
json字符本身的存储是不需要这些间隔符的,因此在需要将json字符进行存储以及传输时,可以使用该操作。
json to csv
不同文件格式的相互转换,cyberchef提供了json和csv文件的互相转换功能,如下:
可以该操作会将json文件的不同键抽取形成csv格式的列,然后对应的值形成具体的内容。
在后续我的专栏《Cyberchef 从入门到精通教程》详见这里,将会介绍更多的利用cyberchef的实用小功能解决复杂问题的示例。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。