El siguiente es un resumen y una reflexión sobre algunas de las preguntas de prueba escritas/entrevista A-side populares actuales (administración y operación parciales), con la esperanza de ayudarlo a usted que se está preparando para la entrevista A-side;
Que superemos los obstáculos y disfrutemos de cada paisaje a lo largo del camino.
1. Describa brevemente las vulnerabilidades relacionadas de los principales lenguajes de programación actuales
Respuesta: La idea relevante de esta pregunta es hablar de las lagunas del lenguaje dominante actual, puedes explicarlo desde dos aspectos:
Las vulnerabilidades relacionadas de Java, Python, PHP (gran vulnerabilidad) son en realidad esas:
hable sobre los marcos que conoce, como el marco de la fundación Apache, PHPAdmin, la arquitectura web convencional de Python, jinjia2, Django, etc.;
Vulnerabilidades de Python:
Inyección: nueva vulnerabilidad de inyección SQL de Django 2022, incluso si Django usa consultas parametrizadas y ORM para evitar la inyección SQL, hay una forma de inyección de diccionario. La última vulnerabilidad CVE en 2022 usa QuerySet.annotate(), added() y extra() Inyección de métodos;
XML: la lectura de XML puede causar ataques DoS; utilización de ataques XXE;
declaración de afirmación: no use la declaración de afirmación para evitar que los usuarios accedan a segmentos de código específicos. De forma predeterminada, Python ejecuta secuencias de comandos con la depuración establecida en verdadero, pero en entornos reales es común ejecutar con optimizaciones, que omitirán las declaraciones de afirmación e irán directamente al código seguro, independientemente de si el usuario es is_admin o no.
paquete de sitio: forje bibliotecas oficiales para inyección de código y falsificación de código;
Vulnerabilidades de Java:
Java es más famoso por las vulnerabilidades de deserialización, que aparecen en contenedores web comunes como WebLogic y JBoss,
Structs2 es la ejecución de código arbitrario
Log4j2 también es una vulnerabilidad muy popular
Bypass de autenticación Shiro, ejecución remota de código;
Vulnerabilidades de PHP: captura mucho
Ejecución remota de código
de ThinkPHP Deserialización de PHP
El archivo ThinkPHP contiene
funciones no seguras de PHP: chroot, exec, caballo de Troya de una palabra, proc_open, etc.
2. ¿Cómo averiguar que el sistema relevante que se está ejecutando actualmente está bajo un ataque DDoS?
Respuesta: Antecedentes de la pregunta:
En primer lugar, la mayoría de las empresas no compran equipos de defensa relacionados con anti-DoS, o simplemente implementan sistemas de equipos de defensa de tráfico DoS, porque si la empresa sufre ataques DoS, el equipo anti-D en la salida de Internet ya no puede satisfacer la demanda. Cuando hay un pico de tráfico en la entrada y salida de Internet, el dispositivo se colgará directamente, de modo que se omita el tráfico del dispositivo y no se puedan lograr la limpieza del tráfico y las defensas relacionadas con DoS;
No existe un método de defensa efectivo para este tipo de ataque. La mejor manera es hacer un buen trabajo de limpieza de tráfico y agujero negro de tráfico en el operador, para prevenirlo de manera más efectiva. Por lo tanto, la forma más efectiva y sin problemas es contratar el servicio de limpieza de tráfico del operador;
De hecho, CDN también es una forma muy efectiva de prevenir ataques DoS, y también es una forma económica de resolver el problema;
¿Cómo saber que el sistema está bajo ataque?
En primer lugar, se puede implementar un sistema de monitoreo de tráfico o un sistema de auditoría de tráfico en la red en vivo para monitorear el tráfico comercial, rastrear y observar el tráfico comercial normal y las direcciones IP, formar su propio modelo relacionado con la seguridad del tráfico comercial y especificar el servidor de intranet. o el propio Para el límite superior del tráfico del servicio, el sistema de la aplicación establece un umbral de advertencia relevante y, si supera este umbral, debe considerar si es atacado por DoS;
Utiliza tecnología de hardware multinúcleo distribuido, monitorea y analiza datos de tráfico de red basados en tecnología de inspección profunda de paquetes (DPI) e identifica rápidamente paquetes de ataque ocultos en el tráfico de fondo para lograr una identificación y limpieza precisas del tráfico. El tráfico malicioso incluye principalmente ataque DoS/DDoS, tormenta de sincronización (SYN Flood), tormenta UDP (UDPFlood), tormenta ICMP (ICMP Flood), tormenta de solicitud de consulta DNS (DNS Query Flood), tormenta HTTP Get (HTTP Get Flood), ataque CC y otro tráfico de ataque a la red.
En segundo lugar, el servidor Linux tiene sus propios registros para ataques CC y DoS. Los registros dmesg y de mensajes tendrán registros de inundación relacionados. Este registro se debe a la configuración del parámetro net.ipv4.tcp_max_syn_backlog. Linux también tiene otros parámetros para Para prevenir ataques DoS, la idea principal es controlar la cantidad de conexiones;
net.ipv4.tcp_max_syn_backlog = 4096 ``#表示SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数
net.ipv4.tcp_syncookies = 1 ``#表示开启SYN Cookies功能。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭,1表示打开;
net.ipv4.tcp_synack_retries = 2 ``#下面这两行表示定义SYN重试次数
net.ipv4.tcp_syn_retries = 2
#提高TCP连接能力
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.tcp_sack = 0 ``#打开tcp_sack功能,1表示"关闭",0表示"打开"
DDoS deflate también es una herramienta efectiva para controlar netstat e iptables. Monitorea y rastrea las direcciones IP que crean una gran cantidad de conexiones de red a través de netstat. Cuando detecta que un nodo excede el límite preestablecido, el programa prohibirá o bloqueará estas IP a través de APF o IPTABLES;
Algunos marcos, como el marco web de Apache, registran: registro de acceso para registrar el acceso;
Además, puede verificar el uso de recursos del proceso relacionado del servidor Linux, verificar el uso de recursos del proceso del sistema de monitoreo a través del comando superior y monitorear el uso de recursos del sistema, lo que involucra tecnologías relacionadas de monitoreo de host; o use netstat para verificar el número de conexiones del estado actual del sistema;
netstat-npt | awk '{imprimir $5}' | cortar -d: -f1 | ordenar | uniq-c | ordenar -n
También es posible capturar directamente el tráfico de la red para su análisis.Las herramientas relacionadas utilizadas son: tcpdump y tshark pueden capturar el tráfico de la red para su análisis;
3. Describa brevemente el proceso de cifrado de TLS (10 puntos)
Respuesta: En primer lugar, debe quedar claro que la versión actual de TLS ha cambiado de 1.0 a 1.3, y la versión popular actual es 1.2. El modelo OSI de operación de TLS se encuentra en la capa de transporte. SSL/TLS utiliza de manera integral cifrados simétricos. en criptografía y autenticación de mensajes.Código, criptografía de clave pública, firma digital, generador de números pseudoaleatorios, etc., se puede decir que es un maestro en criptografía.
protocolo de apretón de manos;
El protocolo de negociación es responsable de acordar el algoritmo criptográfico y la clave compartida entre el cliente y el servidor, incluida la autenticación del certificado, y es la parte más compleja de los cuatro protocolos.
acuerdo de cambio de especificación de contraseña;
El protocolo de cambio de especificación de contraseña es responsable de transmitir la señal de cambio del método de contraseña al objeto de comunicación.
protocolo de alerta;
El protocolo de advertencia se encarga de comunicar el error a la otra parte cuando se produce un error.
protocolo de datos de aplicación;
El protocolo de datos de la aplicación es responsable de comunicar los datos de la aplicación transportados por TLS al objeto de comunicación.
protocolo de registro TLS;
Principios del cifrado TLS
- TCP establece una conexión en ambos extremos; basado en la conexión TCP, TLS también garantiza la transmisión segura de datos en la capa de aplicación a través de varios protocolos de enlace;
- Para garantizar la seguridad de los datos, es necesario cifrar los mensajes transmitidos en ambos extremos y evitar que sean descifrados por ataques de intermediarios.
- TLS usa cifrado asimétrico para el cifrado. Por supuesto, el problema causado por este método de cifrado es: consume mucho tiempo y los datos de transmisión cifrados afectarán la eficiencia, que es muy crítica;
- Las reglas de intercambio de claves para TLS son:
El servidor genera un par de claves asimétricas, guarda la clave privada y transmite la clave pública al cliente en texto sin formato; el
cliente genera una clave simétrica por sí mismo, cifra la clave simétrica con la clave pública y transmite la clave cifrada al El servidor, el servidor descifra a través de la clave privada guardada por él mismo, y obtiene la clave simétrica especificada por el cliente,
actualmente este método de intercambio de claves también tiene un problema, es decir, la clave pública transmitida en texto plano puede ser Se deben introducir los conceptos de certificados digitales y CAs;
- CA y certificados digitales para TLS (asegúrese de responder las preguntas en esta área):
Un certificado digital es un archivo que contiene el nombre y la clave pública de un determinado sitio de servicio, que es emitido por una CA y puede probar la autenticidad del sitio de servicio.
El propio servidor solicita un certificado digital del certificado de la CA, y ¿cómo obtiene la organización de la CA la confianza pertinente? En este momento, la autoridad de certificación raíz está involucrada. Solo hay unas pocas autoridades de certificación raíz en el mundo, por lo que la institución de CA se aplica a la institución de CA raíz. Toda la cadena de confianza de CA también es un proceso de certificación de cadena paso a paso. , que no se describirá en detalle aquí.
- Protocolos de cifrado utilizados por TLS:
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256"
DHE-DSS-AES256-SHA256
TLS_DHE_DSS_AES_256_CBC_SHA256
El proceso detallado final es el siguiente:
- Paso 1: el cliente determina el número aleatorio y envía el algoritmo criptográfico compatible al protocolo TLS para que el servidor lo elija; el servidor almacena el número aleatorio 1 enviado por el cliente;
- Paso 2: el servidor determina el algoritmo de cifrado con el cliente y determina un número aleatorio 2, que se envía al cliente en texto sin formato, y el cliente guarda el número aleatorio 2;
- Parte 3: El servidor envía un certificado digital (que incluye: clave pública, firma e información del asunto del servidor) al servidor. En este momento, el servidor también determina la clave privada de descifrado correspondiente a la clave pública; el cliente verifica si la clave digital el certificado es válido después de recibirlo, y determina el número aleatorio 3;
- Paso 4: El cliente envía el número aleatorio 3 encriptado con la clave pública, y el servidor lo recibe y lo desencripta con la clave privada guardada;
- Paso 5: ahora tanto el servidor como el cliente tienen tres números aleatorios generados por la clave simétrica: número aleatorio 1, número aleatorio 2 y número aleatorio 3, utilizando la clave secreta DH (ahora más popular: algoritmo ECDH). El algoritmo de generación genera un clave simétrica, y utiliza la clave simétrica para cifrar datos para la transmisión;
4. Cómo mejorar la eficiencia operativa del cifrado asimétrico (10 puntos)
respuesta:
Puede llevarse a cabo en forma de un módulo de cifrado de hardware independiente. El algoritmo utilizado en el cifrado simétrico asimétrico debe tener en cuenta la multiplicación de números grandes, la descomposición de factores grandes y las operaciones de módulo de números grandes. En las computadoras, la suma y la resta son simples, por lo que la multiplicación en sí mismo tiene pérdidas; en segundo lugar, el algoritmo requiere espacio y complejidad de algoritmo para el almacenamiento de la clave secreta, lo que también afectará la eficiencia operativa del cifrado asimétrico;
Usando la computación cuántica y el algoritmo de curva elíptica para el cifrado, el algoritmo de curva elíptica implica geometría, por lo que es menos complejo que la multiplicación de números grandes, la factorización grande y la operación analógica de números grandes;
5. Describa brevemente qué es la operación de seguridad empresarial / cómo implementar la construcción de operaciones de seguridad dentro de la empresa (20 puntos + 20 puntos)
respuesta:
Esta pregunta es realmente difícil de profundizar, requiere un sólido conocimiento del sistema y experiencia práctica en la empresa, e incluso tiene una cierta comprensión del sistema empresarial y la estructura organizativa, por lo que es una gran pregunta con 20 puntos: dividir el conocimiento;
¿Qué es la operación de seguridad empresarial, el concepto de operación de seguridad:
La operación de seguridad se define como: tomar los activos como el núcleo y la gestión de eventos de seguridad como el proceso clave, adoptar la idea de dividir los dominios de seguridad, establecer un conjunto de modelos de riesgo de activos en tiempo real y ayudar a los administradores en el análisis de eventos, análisis de riesgos , gestión de alerta temprana y respuesta de emergencia Sistema centralizado de gestión de seguridad para el procesamiento;
La operación de seguridad tiene como objetivo la máxima seguridad de la red del usuario y realiza la gestión general del proceso de operación;
Los riesgos de seguridad no solo se refieren a la tecnología actual de Internet y la informática y la tecnología, sino que incluyen la seguridad de todo el sistema de la empresa en la construcción de operaciones de seguridad, que incluyen: seguridad de cumplimiento (agencias reguladoras, normas de la industria), gestión de riesgos operativos ( en la práctica Todos los riesgos en operación, como el departamento de control de riesgos de la industria financiera, involucrando negocios, productos, etc.);
La operación de seguridad es esencialmente un proceso sistemático complejo que combina tecnología, procesos y personas, que incluye:
Productos, servicios, operación y mantenimiento, investigación y desarrollo, etc., los datos producidos por las herramientas de seguridad y los servicios de seguridad existentes se pueden analizar de manera efectiva para generar valor continuamente y resolver los riesgos de seguridad.
Su modelo: usar el "modelo de servicio" para llevar a cabo la cooperación, usar "capacidades de seguridad" para empoderar, usar "datos de seguridad" para tomar decisiones, usar "capacidades de operación" como entrega y usar modelos de operación para descubrir, verificar, analizar y responder a los problemas Procesar, resolver problemas y continuar optimizando;
Problemas en la operación de seguridad empresarial:
Las capacidades de seguridad subyacentes son inmaduras, los objetivos de seguridad no están claros, las herramientas de operaciones de seguridad dependen de proveedores externos, no se ha formado un sistema de seguridad razonable y no se seleccionan talentos de seguridad;
La dirección de construcción y el contenido general de la operación de seguridad empresarial:
Construcción de cumplimiento y construcción del sistema de seguridad propio de la empresa:
En primer lugar, para cualquier empresa, el cumplimiento y la legalidad son el sustento de la supervivencia de la empresa, y esto debe tenerse en cuenta. Para conocer las normas de seguridad pertinentes, puede consultar los conceptos y las reglas y normas pertinentes de GB/T o ISO, o publicar datos de gobierno electrónico, normas de seguridad y orientación Las leyes y reglamentos tienen una gran importancia como referencia para la construcción;
Llevar a cabo protección jerárquica y proceso de evaluación de riesgos, inspección de cumplimiento y guía de evaluación, contenido de rectificación de cumplimiento;
Aclarar los requisitos internos de gestión de la seguridad, las normas técnicas de seguridad y las normas operativas;
Dirección de construcción de la estructura organizativa de la empresa:
Aclarar el status quo y establecer la estructura organizativa
La dirección de construcción del sistema de servicio de la operación de seguridad:
Llevar a cabo una evaluación y refuerzo de la línea base de seguridad
Línea base de la configuración de seguridad del dispositivo de red: contaminación ARP y otros métodos de ataque comunes Línea
base de la configuración de seguridad del dispositivo de seguridad Línea base de
la configuración de seguridad del sistema operativo Línea base
de la seguridad del middleware y la base de datos
Sistema de verificación de la configuración de seguridad y herramientas de script de inspección
Administración de operación y mantenimiento y auditoría de seguridad
Gestión de operaciones y mantenimiento de seguridad: control de identidad, acceso y autoridad;
Roles y permisos modelo RBAC, etc.
Auditoría y análisis de registros de auditoría de seguridad: las operaciones de operación y mantenimiento generan registros de acceso a la red, registros de operación y mantenimiento de seguridad, registros de operación, registros de operación de productos y datos de tráfico de red; estos registros ocultan ataques a la red o ataques relacionados no descubiertos. información para descubrir características de comportamiento de ataque relevantes;
Auditoría de entregas de servicios
Comprobación en línea del sistema
Análisis de incidentes de seguridad
Ejercicios ofensivos y defensivos en períodos clave;
Monitoreo de incidentes y situaciones de seguridad, respuesta de emergencia de incidentes de seguridad Respuesta de emergencia
experta, detección de incidentes de seguridad, supresión de incidentes de seguridad, erradicación de incidentes de seguridad, recuperación de incidentes de seguridad, resumen de incidentes de seguridad;
Descubrimiento de activos de Internet
Aplicación de detección de activos comprometidos
Servicio de optimización de políticas de seguridad
Operación, seguridad, operación y mantenimiento de productos de seguridad.
Monitoreo en tiempo real de amenazas externas
Gestión completa del ciclo de vida de las vulnerabilidades
Controles de seguridad durante períodos importantes
Notificación de incidentes de seguridad importantes
Servicio de gestión de la seguridad de la construcción:
- Edificio de la organización de gestión:
De acuerdo con la "Ley de seguridad de la red" y otras leyes y reglamentos y otros requisitos de seguridad, lleve a cabo el diseño de seguridad de la información para cada sistema empresarial y la construcción de un centro de operaciones de seguridad; la construcción de la estructura
organizativa debe pasar la revisión;
aclarar la matriz de responsabilidad de seguridad;
- Gestión del sistema de seguridad:
Aclarar la política general de seguridad de la información, la estrategia de seguridad y explicar los objetivos generales, el alcance, las directrices y los principios del trabajo de seguridad de la organización; mejorar el sistema de
gestión en seguridad;
establecer sistemas y manuales de gestión y operación diarios;
revisar periódicamente el sistema de seguridad y
establecer un grupo de liderazgo de seguridad de la información y el comité, el equipo de seguridad de la información está a cargo y organiza al personal relevante para designar el sistema de gestión de seguridad de la información;
- Gestión de Procesos de Seguridad:
Proceso de manejo de incidentes de seguridad, proceso de evaluación del contenido de riesgos de seguridad, proceso de respuesta a emergencias de incidentes de seguridad, proceso de rastreo y recolección de evidencia de incidentes de seguridad, proceso de llamadas en línea de
equipos de seguridad ; Adquisición de productos, desarrollo de software independiente, desarrollo de software subcontratado, implementación de proyectos, aceptación de pruebas, entrega de sistemas, archivo de sistemas, evaluación de calificaciones, selección de proveedores de servicios de seguridad;
- Gerencia de Operación y Mantenimiento de Seguridad
Gestión del entorno - Área de gestión de
configuración Gestión de activos
Gestión de medios
Gestión de dispositivos Gestión de seguridad del sistema
de supervisión Prevención de código malicioso Gestión de seguridad de la cadena de suministro Gestión de contraseñas Gestión de cambios Gestión de copias de seguridad y recuperación Gestión de incidentes de seguridad Gestión de planes de emergencia
- Gestión de la formación en seguridad
- Gestión de Operaciones de Seguridad
Analizar la "Ley de Seguridad de Redes" y el tercer nivel de protección, y establecer y mejorar gradualmente el sistema de gestión de seguridad
para unificar la gestión de roles/autoridades, la gestión del sistema de seguridad, la gestión de riesgos, la ejecución de controles, la evaluación del desempeño, la evaluación de amenazas, la inteligencia de amenazas y gestionar procesos de trabajo
- Gerencia de Consultoría de Seguridad
6. Describa brevemente cómo mejorar la seguridad de los datos empresariales (20 puntos)
(Por razones de espacio, no se muestra completo)
Nota: El objetivo de hacer esta lista no es muy completo, porque de todos modos es imposible cubrir todas las preguntas de la entrevista, y más personas aún esperan llegar a la superficie desde el punto de vista, verificar las omisiones y llenar los espacios en blanco.
LISTA DE QUEHACERES
- pruebas de penetración
- seguridad web
- seguridad PHP
- seguridad java
- relacionado con Linux
- relacionado con Windows
- Penetración de intranet
- I+D de seguridad
- Operación segura de la Parte A
pruebas de penetración
Cómo omitir la CDN para encontrar la IP real, enumere cinco métodos (★★★)
¿Cómo usar redis acceso no autorizado, cuáles son los requisitos previos para usarlo? (★★★)
¿Cuáles son los métodos de escalada de privilegios de mysql? ¿Cuáles son las condiciones de uso? (★)
windows+mysql, hay inyección de sql, pero la máquina no tiene permisos de red externa, ¿puede ser explotado? (★)
¿Cuáles son los métodos comúnmente utilizados para recopilar información? Además de los métodos comunes, como el escaneo de rutas y la voladura de nombres de subdominios, ¿existen formas miserables de recopilar información empresarial? (★★)
¿Cuál es la diferencia entre la minería SRC y las pruebas de penetración? Para estos dos objetivos diferentes, ¿cuál será la diferencia en el proceso de implementación (★★)
¿Cómo almacenar xss en un entorno de intranet puro? (★★)
En mssql, asumiendo autoridad sa, cómo ejecutar comandos del sistema sin xp_cmdshell (★★)
Asumiendo que un sitio web tiene waf, cómo evitarlo sin considerar el bypass positivo (discutir el waf en la nube/waf físico según la situación) (★)
seguridad PHP
¿Cómo usar el pseudo-protocolo phar:// para desencadenar la deserialización en PHP, cuáles son los escenarios de uso y los requisitos previos? (★★)
¿Cómo eludir la limitación de disabled_function en php.ini, qué métodos hay, qué método tiene la mayor tasa de éxito y por qué? (★★★)
¿Cuál es el principio del truncamiento %00 en la carga de archivos y cómo diseñó el oficial la solución de reparación? (★★)
Implemente un webshell de una oración, cuáles son las formas de omitir RASP, cuáles son las formas de omitir la detección de aprendizaje automático y cuáles son las formas de omitir AST-Tree (★★)
¿Cuáles son los escenarios de ataque del pseudo-protocolo PHP? (★★)
¿Cuáles son las superficies de ataque de la función de correo? (★)
¿Cómo construir un webshell sin números ni caracteres, cuál es su principio y qué problemas de seguridad causarán tales características? (★)
Si necesita recibir un paquete de preguntas de entrevista de seguridad de la red, ¡puede escanear el código a continuación!
