以下は、現在人気のあるA面面接/筆記試験問題の一部(部分的な管理と運用)の要約と考察であり、A面面接の準備をしているあなたの助けになることを願っています;
障害を乗り越え、途中のすべての景色を楽しみましょう
1. 現在主流のプログラミング言語に関連する脆弱性を簡単に説明してください
回答: この質問の関連する考えは、現在の主流言語の抜け穴について話すことです. 2 つの側面から説明できます:
関連する Java、Python、PHP の脆弱性 (大きな脆弱性) は、実際にはこれらの脆弱性です;
Apache Foundation フレームワーク、PHPAdmin、Python の主流の Web アーキテクチャ (jinjia2、Django など) など、あなたが知っているフレームワークについて話してください。
Python の脆弱性:
インジェクション: Django 2022 の新しい SQL インジェクションの脆弱性、Django がパラメーター化されたクエリと ORM を使用して SQL インジェクションを防いでいる場合でも、辞書インジェクションの方法があります.2022 年の最新の CVE 脆弱性は、QuerySet.annotate()、aggregate()、および extra() を使用しますメソッド インジェクション;
XML: XML 読み取りは DoS 攻撃を引き起こす可能性があります; XXE 攻撃の利用;
assert ステートメント: assert ステートメントを使用して、ユーザーが特定のコード セグメントにアクセスできないようにしないでください。デフォルトでは、Python は debug を true に設定してスクリプトを実行しますが、実際の環境では、ユーザーが is_admin であるかどうかに関係なく、assert ステートメントをスキップして直接セキュア コードに移動する最適化を使用して実行するのが一般的です。
site-package: コード インジェクションとコード偽造のための Forge 公式ライブラリ。
Java の脆弱性:
Java は、WebLogic や JBoss などの一般的な Web コンテナに見られるデシリアライゼーションの脆弱性で最も有名です;
Structs2 は任意のコード実行です
Log4j2 も非常に一般的な脆弱性です
Shiro 認証バイパス、リモート コード実行;
PHP の脆弱性: たくさんキャッチ
ThinkPHP のリモート コード実行
PHP のデシリアライゼーション
ThinkPHP ファイルには、
PHP の安全でない関数が含まれています: chroot、exec、ワンワード トロイの木馬、proc_open など。
2. 現在実行中の関連システムが DDoS 攻撃を受けていることを確認する方法は?
回答: 質問の背景:
まず第一に、ほとんどの企業は DoS 対策関連の防御機器を購入したり、単に DoS トラフィック防御機器システムを導入したりしません。企業が DoS 攻撃に苦しむと、インターネット出口の D 対策機器が需要を満たせなくなるためです。インターネットの入口と出口でトラフィックがピークになると、デバイスは直接ハングアップするため、デバイスのトラフィックはバイパスされ、トラフィックのクリーニングと DoS 関連の防御は達成できません。
この種の攻撃に対する効果的な防御方法はありません. 最良の方法は、オペレーターのトラフィック クリーニングとトラフィック ブラック ホールを適切に実行して、より効果的に防止することです. したがって、最もトラブルのない効果的な方法オペレーターの交通清掃サービスを購入することです。
実際、CDN は DoS 攻撃を防ぐ非常に効果的な方法でもあり、問題を解決する低コストの方法でもあります。
システムが攻撃を受けていることを確認する方法は?
まず、トラフィック監視システムまたはトラフィック監査システムをライブ ネットワークに展開して、ビジネス トラフィックを監視し、通常のビジネス トラフィックと IP アドレスを追跡および観察し、独自のビジネス トラフィック セキュリティ関連モデルを形成し、イントラネット サーバーを指定することができます。または独自のサービストラフィックの上限について、アプリケーションシステムは関連する警告しきい値を設定し、このしきい値を超えた場合、DoS による攻撃を受けているかどうかを考慮する必要があります。
分散型マルチコア ハードウェア テクノロジを利用し、ディープ パケット インスペクション テクノロジ (DPI) に基づいてネットワーク トラフィック データを監視および分析し、バックグラウンド トラフィックに隠された攻撃パケットを迅速に識別して、正確なトラフィックの識別とクリーニングを実現します。悪意のあるトラフィックには、主に DoS/DDoS 攻撃、同期ストーム (SYN Flood)、UDP ストーム (UDPFlood)、ICMP ストーム (ICMP Flood)、DNS クエリ要求ストーム (DNS Query Flood)、HTTP Get ストーム (HTTP Get Flood)、CC 攻撃が含まれます。およびその他のネットワーク攻撃トラフィック。
次に、Linux サーバーには、CC 攻撃と DoS 攻撃に関する独自のログ レコードがあります. dmesg とメッセージ ログには、関連する Flood ログ レコードがあります. このログ レコードは、net.ipv4.tcp_max_syn_backlog パラメータ設定によるものです. DoS 攻撃を防ぐための主なアイデアは、接続数を制御することです。
net.ipv4.tcp_max_syn_backlog = 4096 ``#表示SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数
net.ipv4.tcp_syncookies = 1 ``#表示开启SYN Cookies功能。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭,1表示打开;
net.ipv4.tcp_synack_retries = 2 ``#下面这两行表示定义SYN重试次数
net.ipv4.tcp_syn_retries = 2
#提高TCP连接能力
net.ipv4.tcp_rmem = 32768
net.ipv4.tcp_wmem = 32768
net.ipv4.tcp_sack = 0 ``#打开tcp_sack功能,1表示"关闭",0表示"打开"
DDoS deflate は、netstat と iptables を制御するための効果的なツールでもあります. netstat を介して多数のネットワーク接続を作成する IP アドレスを監視および追跡します. ノードが事前に設定された制限を超えていることを検出すると、プログラムはこれらの IP を禁止またはブロックしますAPF または IPTABLES ;
Apache の Web フレームワークなどの一部のフレームワークでは、以下を記録します。アクセスを記録するアクセス ログ。
さらに、Linux サーバーの関連プロセスのリソース使用状況を確認したり、top コマンドを使用して監視システム プロセスのリソース使用状況を確認したり、ホスト監視の関連技術を含むシステムのリソース使用状況を監視したりできます。 netstat を使用して、現在のシステム ステータスの接続数を確認します。
netstat -npt | awk '{print $5}' | カット -d: -f1 | ソート | ユニーク -c | 並べ替え -n
また、分析のためにネットワーク トラフィックを直接キャプチャすることもできます.使用される関連ツールは次のとおりです:
3. TLSの暗号化処理を簡単に説明してください (10点)
回答: まず最初に、TLS の現在のバージョンが 1.0 から 1.3 に変更され、現在普及しているバージョンが 1.2 であることを明確にする必要があります. TLS 操作の OSI モデルはトランスポート層にあります. SSL/TLS は包括的に対称暗号を使用します.コード、公開鍵暗号、デジタル署名、疑似乱数ジェネレーターなどは、暗号のマスターと言えます。
ハンドシェイク プロトコル;
ハンドシェイク プロトコルは、クライアントとサーバー間の暗号化アルゴリズムと共有キーについて合意する役割を担い、証明書の認証を含め、4 つのプロトコルの中で最も複雑な部分です。
パスワード仕様変更同意書;
パスワード仕様変更プロトコルは、パスワード方式を変更する信号を通信オブジェクトに伝える責任があります。
警告プロトコル;
警告プロトコルは、エラーが発生したときに相手にエラーを伝える責任があります。
アプリケーション データ プロトコル。
アプリケーション データ プロトコルは、TLS によって運ばれるアプリケーション データを通信オブジェクトに伝達する役割を果たします。
TLS レコード プロトコル。
TLS 暗号化の原則
- TCP は両端で接続を確立します。TCP 接続に基づいて、TLS は複数のハンドシェイクを通じてアプリケーション層でのデータの安全な送信も保証します。
- データのセキュリティを確保するには、送信されるメッセージを両端で暗号化し、中間者攻撃による解読を防ぐ必要があります。
- TLS は暗号化に非対称暗号化を使用します.もちろん、この暗号化方法によって引き起こされる問題は、非常に時間がかかることと、暗号化された送信データが効率に影響を与えることです。
- TLS の鍵交換規則は次のとおりです。
サーバーは非対称鍵ペアを生成し、秘密鍵自体を保存し、公開鍵を平文でクライアントに送信します。クライアントは、対称鍵を自分で生成し、対称鍵を
公開鍵で暗号化し、暗号化された鍵をサーバーに送信します。サーバー、サーバーは自身が保存した秘密鍵を使用して復号化し、クライアントが指定した対称鍵を取得します;
現在、この鍵交換の方法にも問題があります。デジタル証明書と CA の概念を導入する必要があります。
- TLS の CA およびデジタル証明書 (この領域の質問に必ず回答してください):
デジタル証明書は、特定のサービス サイトの名前と公開鍵を含むファイルで、CA によって発行され、サービス サイトの信頼性を証明できます。
サーバー自体が CA 証明書からのデジタル証明書を申請し、CA 組織はどのようにして関連する信頼を取得しますか? この時点で、ルート認証局が関与します. ルート認証局は世界にわずかしかないため、CA機関はルートCA機関に申請します. CA信頼チェーン全体も段階的なチェーン認証プロセスです. 、ここでは詳しく説明しません。
- TLS で使用される暗号化プロトコル:
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256"
DHE-DSS-AES256-SHA256
TLS_DHE_DSS_AES_256_CBC_SHA256
最終的な詳細なプロセスは次のとおりです。
- ステップ 1: クライアントは乱数を決定し、サポートされている暗号化アルゴリズムをサーバーが選択できるように TLS プロトコルに送信します。サーバーは、クライアントから送信された乱数 1 を保存します。
- ステップ 2: サーバーはクライアントとの暗号化アルゴリズムを決定し、平文でクライアントに送信される乱数 2 を決定し、クライアントは乱数 2 を保存します。
- パート 3: サーバーはデジタル証明書 (公開鍵、署名、およびサーバー サブジェクト情報を含む) をサーバーに送信します. このとき、サーバーは公開鍵に対応する復号化秘密鍵も決定します. クライアントはデジタル証明書かどうかを検証します.証明書は受け取った後に有効である. , 乱数 3 を決定する;
- ステップ 4: クライアントは公開鍵で暗号化された乱数 3 を送信し、サーバーはそれを受信して、保存されている秘密鍵で復号化します。
- ステップ 5: これで、サーバーとクライアントの両方が対称鍵によって生成された 3 つの乱数を持ちます: 乱数 1、乱数 2、および乱数 3、DH (現在はより一般的なもの: ECDH アルゴリズム) 秘密鍵を使用します。対称鍵を使用し、対称鍵を使用して送信用のデータを暗号化します。
4.非対称暗号の運用効率を上げる方法(10点)
答え:
独立したハードウェア暗号化モジュールの形で実行することができます. 非対称対称暗号化で使用されるアルゴリズムは、大数の乗算、大因数分解、および大数の剰余演算を考慮する必要があります. コンピュータでは、加算と減算は簡単なので、乗算第二に、アルゴリズムは秘密鍵の保管にスペースとアルゴリズムの複雑さを必要とし、非対称暗号化の動作効率にも影響します。
暗号化に量子コンピューティングと楕円曲線アルゴリズムを使用すると、楕円曲線アルゴリズムには幾何学が含まれるため、大規模な乗算、大規模な因数分解、および大規模なアナログ操作よりも複雑ではありません。
5. 企業のセキュリティ運用とは何か/企業内でセキュリティ運用構築をどのように実施するかを簡単に説明してください (20 点 + 20 点)
答え:
この問題は非常に掘り下げが難しく、システムに関する強力な知識と企業での実務経験が必要であり、さらに企業システムと組織構造についてある程度の理解が必要であるため、20 点の大きな問題です。
企業のセキュリティ運用とは何か、セキュリティ運用の概念:
セキュリティ運用は次のように定義されます: 資産をコアとし、セキュリティ イベント管理を主要なプロセスとし、セキュリティ ドメインを分割するという考え方を採用し、一連のリアルタイムの資産リスク モデルを確立し、イベント分析、リスク分析において管理者を支援します。 、早期警報管理と緊急対応処理のための集中セキュリティ管理システム。
セキュリティ運用は、ユーザーネットワークの究極のセキュリティを目指し、運用プロセスの全体管理を実現します。
セキュリティ リスクとは、現在のインターネット技術やコンピュータ サイエンスおよびテクノロジだけでなく、コンプライアンス セキュリティ (規制機関、業界規範)、運用リスク管理 (実際には、金融業界のリスク管理部門など、ビジネス、製品などに関連する運用中のすべてのリスク);
セキュリティ運用は基本的に、テクノロジー、プロセス、および人を組み合わせた複雑で体系的なプロセスであり、次のものが含まれます。
製品、サービス、運用と保守、研究開発など、既存のセキュリティ ツールやセキュリティ サービスによって生成されたデータを効果的に分析して、価値を継続的に出力し、セキュリティ リスクを解決できます。
そのモデル: 「サービス モデル」を使用して連携を実行し、「安全機能」を使用して権限を与え、「安全データ」を使用して意思決定を提供し、「運用機能」を配信として使用し、運用モデルを使用して発見、検証、問題を分析して対応し、問題を処理して解決し、最適化を続けます。
企業のセキュリティ運用における問題:
基盤となるセキュリティ機能が未熟であり、セキュリティの目標が明確ではなく、セキュリティ運用ツールがサードパーティ ベンダーに依存しており、合理的なセキュリティ システムが形成されておらず、セキュリティの人材が選択されていません。
企業のセキュリティ操作の構築方向と一般的な内容:
コンプライアンス構築と企業独自のセキュリティシステム構築:
まず第一に、企業にとって、コンプライアンスと合法性は企業存続の生命線であり、これを念頭に置いておく必要があります.関連する安全規制については、GB/TまたはISOの関連する概念と規則および規制を参照するか、または公開されています電子政府のデータ、安全基準、およびガイダンス 法律および規制は、建設の参考資料として大きな意味を持ちます。
階層的な保護とリスク評価プロセス、コンプライアンス検査と評価のガイダンス、コンプライアンス是正の内容を実行します。
社内の安全管理要件、安全技術基準および運用基準を明確にする。
企業の組織構造の構築方向:
現状の明確化と組織体制の確立
セキュリティ運用のサービス体制構築方向:
セキュリティ ベースラインの評価と強化
ネットワーク デバイスのセキュリティ構成ベースライン - ARP 汚染およびその他の一般的な攻撃方法 セキュリティ デバイスのセキュリティ
構成ベースライン
オペレーティング システムのセキュリティ構成ベースライン
データベースとミドルウェアのセキュリティ ベースライン
セキュリティ構成の検証システムと検査スクリプト ツール
運用および保守管理とセキュリティ監査
セキュリティの運用と保守管理: ID、アクセス、および権限の制御。
役割と権限 RBAC モデルなど
セキュリティ監査ログの監査と分析: 運用と保守の操作により、ネットワーク アクセス ログ、セキュリティ運用と保守のログ、運用ログ、製品の運用ログ、およびネットワーク トラフィック データが生成されます。これらのログは、ネットワーク攻撃または未発見の関連する攻撃を隠します。これらを通じて監査と発掘を行います。関連する攻撃行動の特徴を発見するための情報;
サービス成果物の監査
システムオンラインチェック
セキュリティインシデント分析
重要な時期における攻撃的および防御的な訓練。
セキュリティ インシデントと状況の監視、セキュリティ インシデントの緊急対応
エキスパートによる緊急対応、セキュリティ インシデントの検出、セキュリティ インシデントの抑制、セキュリティ インシデントの根絶、セキュリティ インシデントの回復、セキュリティ インシデントの概要。
インターネット資産発見
侵害された資産の検出のアプリケーション
セキュリティ ポリシー最適化サービス
運用、セキュリティ、セキュリティ製品の運用・保守
外部脅威のリアルタイム監視
脆弱性の完全なライフサイクル管理
主要な期間中のセキュリティ チェック
重大なセキュリティ インシデントの通知
セキュリティ管理サービスの構築:
- 管理組織構築:
「ネットワーク保安法」等の法令及びその他のセキュリティ要求事項に従い、各業務システムの情報セキュリティ設計及びセキュリティオペレーションセンターの構築を実施し、組織体制の構築については審査に合格し、明確化する必要があり
ます
。セキュリティ責任マトリックス;
- セキュリティ システム管理:
情報セキュリティの基本方針、セキュリティ戦略を明確にし、組織のセキュリティ業務の全体的な目標、範囲、ガイドライン、原則を説明し、セキュリティに関する管理システムを改善し、日常の管理および運用システムとマニュアルを確立し、セキュリティ システムを定期的
に
見直し
ます情報セキュリティリーダーシップグループと委員会を設立し
、情報セキュリティチームが責任を負い、関係者を組織して情報セキュリティ管理システムを指定します。
- セキュリティ プロセス管理:
セキュリティ インシデント処理プロセス、セキュリティ リスク コンテンツ評価プロセス、セキュリティ インシデント緊急対応プロセス、セキュリティ インシデントのトレーサビリティと証拠収集プロセス、セキュリティ機器のオンライン呼び出しプロセス、変更プロセス リリース プロセス要員の安全管理 安全建設管理システムの格付け、安全
計画
の
関与
、
安全製品調達、独立ソフトウェア開発、外部委託ソフトウェア開発、プロジェクトの実施、テストの受け入れ、システムの提供、システムのファイリング、グレードの評価、セキュリティ サービス プロバイダーの選択。
- セキュリティ運用保守管理
環境管理 - 設定管理エリア
アセット管理
メディア管理
デバイス管理
セキュリティ監視
システム セキュリティ管理
悪意のあるコードの防止 サプライ
チェーンのセキュリティ管理
パスワード管理
変更管理
バックアップとリカバリの管理
セキュリティ インシデントの処理
緊急計画の管理
- 安全教育管理
- セキュリティ運用管理
「ネットワーク保安法」と第 3 レベルの保護を分析し、セキュリティ管理システムを徐々に確立および改善して、
役割/権限管理、セキュリティ システム管理、リスク管理、制御実行、パフォーマンス評価、脅威評価、脅威インテリジェンス、および作業プロセスの管理
- セキュリティコンサルティング管理
6. 企業データのセキュリティを強化する方法を簡単に説明してください (20 点)
(スペースの関係で全部は表示されていません)
注: このリストを作成する目的はあまり包括的ではありません。インタビューのすべての質問をカバーすることは不可能であり、より多くの人々が、観点から表面に到達し、省略を確認し、ギャップを埋めることを望んでいるからです。
TODOリスト
- 侵入テスト
- ウェブセキュリティ
- PHP セキュリティ
- Java セキュリティ
- Linux関連
- Windows関連
- イントラネット浸透
- セキュリティ研究開発
- 当事者Aの安全な操作
侵入テスト
CDN をバイパスして実際の IP を見つける方法を 5 つ挙げてください (★★★)
redis の不正アクセスの使用方法、使用するための前提条件は何ですか? (★★★)
mysqlの権限昇格の方法とは? 利用条件は? (★)
windows+mysql、sqlインジェクションはありますが、マシンに外部ネットワーク権限がありません、悪用できますか? (★)
一般的に使用される情報収集方法は何ですか? パス スキャンやサブドメイン名ブラストなどの一般的な方法以外に、企業情報を収集するための悲惨な方法はありますか? (★★)
SRC マイニングとペネトレーション テストの違いは何ですか? この 2 つの異なる目標に対して、実装プロセスの違いは何ですか (★★)
xss を純粋なイントラネット環境に保存するには? (★★)
mssqlで、sa権限を前提に、xp_cmdshellを使わずにシステムコマンドを実行する方法(★★)
Webサイトにwafがあることを前提に、ポジティブバイパスを考慮せずにバイパスする方法(状況に応じてクラウドwaf/物理wafを検討)(★)
PHP セキュリティ
PHP で phar:// 疑似プロトコルを使用して逆シリアル化をトリガーする方法、使用シナリオと前提条件は何ですか? (★★)
php.ini の disable_function の制限を回避する方法、どのような方法があるか、どの方法が最も成功率が高く、その理由は? (★★★)
ファイル アップロードでの %00 切り捨ての原則とは何ですか? また、公式はどのように修復ソリューションを設計しましたか? (★★)
1 文の webshell の実装、RASP をバイパスする方法、機械学習検出をバイパスする方法、AST-Tree をバイパスする方法 (★★)
PHP 疑似プロトコルの攻撃シナリオとは? (★★)
メール機能の攻撃対象は? (★)
数字や文字を使わずに webshell を構築する方法、その原理、およびそのような機能が引き起こすセキュリティ上の問題は何ですか? (★)
ネットワーク セキュリティ インタビューの質問パッケージを受け取る必要がある場合は、以下のコードをスキャンできます!
