護(hù)網(wǎng)行動(dòng)是提高國家網(wǎng)絡(luò)安全防御能力的一種有效手段，而藍(lán)隊(duì)作為攻防演習(xí)中的防守方，也是護(hù)網(wǎng)行動(dòng)的重要一份子。
在這篇文章中，我們將匯總多篇有關(guān)護(hù)網(wǎng)行動(dòng)藍(lán)隊(duì)初級人員面試題的資料，對這些資料進(jìn)行整合和分析，為準(zhǔn)備參加面試的藍(lán)隊(duì)初級人員提供參考，為讀者提供一些實(shí)用的技巧和建議，幫助大家更好地應(yīng)對藍(lán)隊(duì)初級人員面試。

基礎(chǔ)篇題目

Q

講一下TOP10有哪些？

A

1.失效的訪問控制

2.加密機(jī)制失效

3.注入（包括跨站腳本攻擊XSS和SQL注入等）

4.不安全設(shè)計(jì)

5.安全配置錯(cuò)誤

6.自帶缺陷和過時(shí)的組件

7.身份識別和身份驗(yàn)證錯(cuò)誤

8.軟件和數(shù)據(jù)完整性故障

9.安全日志和監(jiān)控故障

10.服務(wù)端請求偽造SSRF

Q

常見的端口和相關(guān)的服務(wù)？

A

服務(wù)

端口號

說明

FTP

20

FTP服務(wù)器真正傳輸所用的端口，用于上傳、下載

FTP

21

用于FTP的登陸認(rèn)證

SSH、SFTP

22

加密的遠(yuǎn)程登錄，文件傳輸

Telnet

23

遠(yuǎn)程登錄（在本地主機(jī)上使用此端口與遠(yuǎn)程服務(wù)器的22/3389端口連接）

SMTP

25

用于發(fā)送郵件

DNS

53

域名解析

HTTP

80

用于網(wǎng)頁瀏覽

POP3

110

SUN公司的RPC服務(wù)所有端口

Network News Transfer Protocol

119

NEWS新聞組傳輸協(xié)議，承載USENET通信

SMTP

161

Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議

SNMP Trap

160、162

SNMP陷阱

HTTPS

443

加密的網(wǎng)頁瀏覽端口

CIFS

445

公共Internet文件系統(tǒng)

sql server

1433

Microsoft的SQL服務(wù)開放的端口 數(shù)據(jù)庫

Oracle

1521

數(shù)據(jù)庫

NFS

2049

通過網(wǎng)絡(luò)，讓不同的機(jī)器、不同的操作系統(tǒng)實(shí)現(xiàn)文件共享

MySQL

3306

數(shù)據(jù)庫

WIN2003遠(yuǎn)程登錄

3389

Windows 2000(2003) Server遠(yuǎn)程桌面的服務(wù)端口，本地服務(wù)器開放此端口，去連接到遠(yuǎn)程的服務(wù)器

QQ·

4000

騰訊QQ客戶端開放此端口

redis·

6379

數(shù)據(jù)庫

WebLogic

7001

一個(gè)基于JAVAEE架構(gòu)的中間件，WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器

Wingate

8010

Wingate代理開放此端口

TOMCAT

8080

WWW代理開放此端口

Q

如何判斷目標(biāo)操作系統(tǒng)？

A

大小寫檢測：windows大小寫不敏感，而linux大小寫敏感。

PING指令：根據(jù)TTL值，winodws一般情況下>100,linux<100

Q

正向代理和反向代理的區(qū)別？

A

正向代理即是客戶端代理, 代理客戶端, 服務(wù)端不知道實(shí)際發(fā)起請求的客戶端

反向代理即是服務(wù)端代理, 代理服務(wù)端, 客戶端不知道實(shí)際提供服務(wù)的服務(wù)端

Q

正向shell和反向shell的區(qū)別？

A

正向Shell：攻擊者連接被攻擊者機(jī)器，可用于攻擊者處于內(nèi)網(wǎng)，被攻擊者處于公網(wǎng)的情況。

反向Shell：被攻擊者主動(dòng)連接攻擊者，可用于攻擊者處于外網(wǎng)，被攻擊者處于內(nèi)網(wǎng)的情況。

Q

序列化和反序列化的概念？

A

序列化：把對象轉(zhuǎn)化為可傳輸?shù)淖止?jié)序列過程稱為序列化。
反序列化：把字節(jié)序列還原為對象的過程稱為反序列化。

Q

信息收集具體收集什么信息？

A

1.服務(wù)器的相關(guān)信息

真實(shí)IP，服務(wù)器操作系統(tǒng)及其版本，數(shù)據(jù)庫類型及其版本，開放端口及其對應(yīng)服務(wù)（常用端口掃描工具Nmap，Zenmap，Masscan等），WAF探測

2.網(wǎng)站相關(guān)信息

CMS（內(nèi)容管理系統(tǒng)），web容器，web框架，CDN，web指紋識別（常用指紋識別工具潮汐指紋，云悉指紋，WhatWeb等），旁站和C段信息

3.域名相關(guān)信息

子域名，whois信息（查詢域名的IP以及所有者等信息的傳輸協(xié)議），公司名稱，注冊人或者機(jī)構(gòu)信息、公司或個(gè)人聯(lián)系方式（郵箱，手機(jī)號碼等信息），備案號

4.具體站點(diǎn)信息

漏洞掃描（常用漏掃工具Nessus，AppScan，AWVS，X-ray等），目錄爆破（常用目錄爆破工具dirsearch，dirb，dirbuster，ffuf等），robots.txt，

Q

怎么驗(yàn)證是否存在CDN？

A

使用多地ping的服務(wù)，查看對應(yīng)IP地址是否唯一，如果不唯一大概率就是存在CDN

使用nslookup命令檢測，查看返回域名解析對應(yīng)IP地址是否唯一，如果不唯一很可能存在CDN

Q

怎么繞過CDN尋找真實(shí)ip？

A

1.查詢歷史DNS記錄

查看IP和域名綁定的歷史記錄，利用站長工具，微步在線等網(wǎng)站說不定就能找到使用CDN之前的真實(shí)IP。
2.查詢子域名
收集子域名信息，如果子域名對應(yīng)的IP不存在CDN，就可以利用這些IP來輔助查找目標(biāo)網(wǎng)站的真實(shí)IP
3.查詢主域名

有些網(wǎng)站為了方便維護(hù)只讓W(xué)WW域名使用CDN，把目標(biāo)域名前面的WWW去掉ping一下說不定就是真實(shí)IP。
4.通過郵件服務(wù)器查找

一般郵件系統(tǒng)都在內(nèi)部，沒有經(jīng)過CDN的解析，通過用戶注冊、找回密碼以及RSS郵件訂閱等功能接收目標(biāo)網(wǎng)站發(fā)送的郵件，查看源碼（或者信息頭）就有可能得到目標(biāo)網(wǎng)站真實(shí)IP。

5.使用國外主機(jī)解析域名

國內(nèi)很多 CDN 廠商因?yàn)楦鞣N原因只做了國內(nèi)的線路，而針對國外的線路可能幾乎沒有，此時(shí)我們使用國外的主機(jī)直接訪問可能就能獲取到真實(shí)IP
6.網(wǎng)站漏洞查找

利用網(wǎng)站自身存在的漏洞，很多情況下會(huì)泄露服務(wù)器的真實(shí)IP地址
7.利用SSL證書尋找真實(shí)原始IP

證書頒發(fā)機(jī)構(gòu)(CA)必須將他們發(fā)布的每個(gè)SSL/TLS證書發(fā)布到公共日志中，SSL/TLS證書通常包含域名、子域名和電子郵件地址。使用Censys等工具搜索目標(biāo)網(wǎng)站信息。
8. F5 LTM解碼法

當(dāng)服務(wù)器使用F5 LTM做負(fù)載均衡時(shí)，通過對set-cookie關(guān)鍵字的解碼真實(shí)ip也可被獲取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節(jié)的十進(jìn)制數(shù)即487098378取出來，然后將其轉(zhuǎn)為十六進(jìn)制數(shù)1d08880a，接著從后至前，以此取四位數(shù)出來，也就是0a.88.08.1d，最后依次把他們轉(zhuǎn)為十進(jìn)制數(shù)10.136.8.29，也就是最后的ip。
9.網(wǎng)絡(luò)空間搜索引擎

根據(jù)網(wǎng)站特征或者響應(yīng)內(nèi)容特征等查找目標(biāo)網(wǎng)站信息，當(dāng)然也可以直接通過域名查找。

Q

怎么驗(yàn)證找到的ip是否為真實(shí)ip？

A

使用端口掃描工具掃描開了哪些端口，然后結(jié)合開放的端口直接訪問找到的IP，看看響應(yīng)的頁面是不是和訪問域名返回的一樣。

Q

怎么建立隱藏用戶？

A

net user test$ 123456 /add [建立隱藏用戶]

net localgroup administrators test$ /add[將隱藏用戶加入管理組]

Q

判斷網(wǎng)站的CMS有什么意義？

A

查找已曝光的漏洞。

如果開源，還能下載相應(yīng)的源碼進(jìn)行代碼審計(jì)。

根據(jù)CMS特征關(guān)聯(lián)同CMS框架站點(diǎn)，進(jìn)行敏感備份文件掃描，有可能獲得站點(diǎn)備份文件。

Q

數(shù)據(jù)包有哪些請求方式？

A

目前常用八種請求方式，分別是 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、 CONNECT，get 和 post 最常用

漏洞篇題目

Q

SQL注入的原理和產(chǎn)生原因？

A

SQL注入原理：

通過某種方式將惡意的sql代碼添加到輸入?yún)?shù)中，然后傳遞到sql服務(wù)器使其解析并執(zhí)行的一種攻擊手法

漏洞產(chǎn)生原因（實(shí)現(xiàn)條件）：

用戶對sql查詢語句參數(shù)可控

原本程序要執(zhí)行的SQL語句,拼接了用戶輸入的惡意數(shù)據(jù)

Q

SQL注入的類型？

A

1.聯(lián)合注入

2.堆疊注入
3.寬字節(jié)注入
4.cookie注入
5.XFF頭注入
6.UA注入（user-agent注入）

7.Referer注入
8.二次注入
9.base64注入

10.萬能密碼
1.文件讀寫

盲注類型：
1.基于時(shí)間的盲注 sleep() benchmark()
2.基于布爾的注入
3.基于報(bào)錯(cuò)的注入

updatexml() extractvalue() floor() exp()

Q

預(yù)防SQL注入的方法和原理？

A

1.預(yù)編譯（數(shù)據(jù)庫不會(huì)將參數(shù)的內(nèi)容視為SQL命令執(zhí)行，而是作為一個(gè)字段的屬性值來處理）

2.PDO預(yù)處理 (本地和Mysql服務(wù)端使用字符集對輸入進(jìn)行轉(zhuǎn)義)
3.正則表達(dá)式過濾 (如果用戶輸入了非法信息則利用正則表達(dá)式過濾)

Q

SQL注入有哪些繞過方法？

A

1.大小寫繞過注入

2.雙寫繞過注入

3.編碼繞過注入

4.內(nèi)聯(lián)注釋繞過注入

Q

SQL注入有哪些危害？

A

1.獲取數(shù)據(jù)庫數(shù)據(jù)

數(shù)據(jù)庫中存放的用戶的隱私信息的泄露，脫取數(shù)據(jù)庫中的數(shù)據(jù)內(nèi)容（脫庫），可獲取網(wǎng)站管理員帳號、密碼悄無聲息的進(jìn)行對網(wǎng)站后臺操作等。
2.網(wǎng)頁篡改

通過操作數(shù)據(jù)庫對特定網(wǎng)頁進(jìn)行篡改，嚴(yán)重影響正常業(yè)務(wù)進(jìn)行與受害者信譽(yù)。
3.網(wǎng)頁掛馬

將惡意文件或者木馬下載鏈接寫入數(shù)據(jù)庫，修改數(shù)據(jù)庫字段值，進(jìn)行掛馬攻擊。
4.篡改數(shù)據(jù)庫數(shù)據(jù)

攻擊數(shù)據(jù)庫服務(wù)器，篡改或者添加普通用戶或者管理員帳號。
5.獲取服務(wù)器權(quán)限

列取目錄、讀取、寫入shell文件獲取webshell，遠(yuǎn)程控制服務(wù)器，安裝后門，經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓攻擊者得以修改或控制操作系統(tǒng)。

Q

XSS的原理和類型？

A

原理：攻擊者在Web頁面中注入惡意的Script代碼，當(dāng)用戶瀏覽該網(wǎng)頁時(shí)，嵌入的Script代碼會(huì)被執(zhí)行，從而達(dá)到攻擊的目的。

類型：反射型XSS 存儲型XSS DOM型XSS

Q

XSS的繞過方法？

A

1. 大小寫轉(zhuǎn)換；

2. 引號的使用；

3. 使用 / 代替空格；

4. 編碼繞過(將字符進(jìn)行十進(jìn)制或者十六進(jìn)制轉(zhuǎn)碼)；

5.雙寫繞過；

6.使用制表符 換行符和回車符

7.使用 IMG 源

Q

XSS的危害？

A

竊取cookie

抓取屏幕截圖

獲取鍵盤記錄

重定向

植入廣告，惡意鏈接

網(wǎng)頁釣魚

網(wǎng)頁掛馬

結(jié)合網(wǎng)頁掛馬或者其他工具(Metasploit)獲取服務(wù)器或者操作系統(tǒng)權(quán)限

Q

XSS的防范措施？

A

對用戶的輸入進(jìn)行過濾

比如說添加黑名單或者白名單規(guī)則，比如說對& " ’ / javascript import等敏感字符進(jìn)行轉(zhuǎn)義
使用 HttpOnly Cookie

如果cookie中設(shè)置了HttpOnly屬性，那么通過js腳本將無法讀取到cookie信息，這樣能有效的防止XSS攻擊，竊取cookie內(nèi)容，這樣可以有效的防止XSS攻擊竊取cookie。
設(shè)置X-XSS-Protection屬性

該屬性被所有的主流瀏覽器默認(rèn)開啟。X-XSS-Protection，即XSS保護(hù)屬性，是設(shè)置在響應(yīng)頭中目的是用來防范XSS攻擊的。在檢查到XSS攻擊時(shí)，停止渲染頁面。
開啟CSP網(wǎng)頁安全策略

CSP是網(wǎng)頁安全策略(Content Security Policy)的縮寫。開啟策略后可以起到以下作用：禁止加載外域代碼，防止復(fù)雜的攻擊邏輯；禁止外域提交，網(wǎng)站被攻擊后，用戶的數(shù)據(jù)不會(huì)泄露到外域；禁止內(nèi)聯(lián)腳本執(zhí)行（規(guī)則較嚴(yán)格，目前發(fā)現(xiàn) GitHub 使用）；禁止未授權(quán)的腳本執(zhí)行（新特性，Google Map 移動(dòng)版在使用）。合理使用上報(bào)可以及時(shí)發(fā)現(xiàn) XSS，利于盡快修復(fù)問題。
避免內(nèi)聯(lián)事件

盡量不要使用 onLoad=“onload(’{{data}}’)”、onClick=“go(’{{action}}’)” 這種拼接內(nèi)聯(lián)事件的寫法。在 JavaScript 中通過 .addEventlistener() 事件綁定會(huì)更安全。
使用模板引擎

開啟模板引擎自帶的 HTML 轉(zhuǎn)義功能。例如： 在 ejs 中，盡量使用 而不是 ； 在 doT.js 中，盡量使用 {{! data } 而不是 {{= data }； 在 FreeMarker 中，確保引擎版本高于 2.3.24。

Q

CSRF漏洞原理？

A

web應(yīng)用程序在用戶進(jìn)行敏感操作時(shí)，如修改賬號密碼、添加賬號、轉(zhuǎn)賬等，沒有校驗(yàn)表單token或者h(yuǎn)ttp請求頭中的referer值，從而導(dǎo)致惡意攻擊者利用普通用戶的身份（cookie）完成攻擊行為。

受害者A登錄網(wǎng)站，攻擊者B構(gòu)造有效鏈接誘導(dǎo)受害者A訪問，網(wǎng)站在線期間會(huì)將該請求當(dāng)做正常業(yè)務(wù)執(zhí)行。(比如修改密碼，向某用戶轉(zhuǎn)賬等業(yè)務(wù)，當(dāng)然現(xiàn)在這種簡單的EXP基本上見不到，拿靶場驗(yàn)證一下用于理解原理就行了）

Q

CSRF漏洞類型？

A

GET類型

POST類型

比如在一個(gè)頁面中構(gòu)造好一個(gè)表單表單，將這個(gè)頁面隱藏在一個(gè)不可見的iframe窗口中，然后使用JavaScript自動(dòng)提交這個(gè)表單，在整個(gè)過程中，對于用戶來說是不可見的。當(dāng)用戶訪問該頁面后，表單會(huì)自動(dòng)提交，相當(dāng)于模擬用戶完成了一次POST操作

Q

CSRF漏洞危害？

A

盜用其他用戶或者管理員的賬號

獲取個(gè)人隱私或者機(jī)密資料

聯(lián)合其他漏洞組合拳

比如說拿到管理員賬號之后，我們在某個(gè)頁面利用XSS漏洞進(jìn)行網(wǎng)頁掛馬，普通用戶訪問后就會(huì)下載木馬程序，進(jìn)而聯(lián)合MSF或者CS等工具getshell。再比如說你把管理員密碼還原一下，真正管理員登錄的時(shí)候也會(huì)受到網(wǎng)頁掛馬的影響，結(jié)合工具可以進(jìn)一步拿下管理員主機(jī)權(quán)限。

Q

CSRF漏洞防范措施？

A

驗(yàn)證碼驗(yàn)證

驗(yàn)證碼被認(rèn)為是對抗CSRF攻擊最簡潔而有效的防御方法。

CSRF攻擊的過程，往往是在用戶不知情的情況下構(gòu)造了網(wǎng)絡(luò)請求。而驗(yàn)證碼，則強(qiáng)制用戶必須與應(yīng)用進(jìn)行交互，才能完成最終請求。因此在通常情況下，對用戶執(zhí)行敏感操作時(shí)進(jìn)行驗(yàn)證，就能夠很好地遏制CSRF攻擊。

但是驗(yàn)證碼并非萬能。很多時(shí)候，出于用戶體驗(yàn)考慮，網(wǎng)站不能給所有的操作都加上驗(yàn)證碼。因此，驗(yàn)證碼只能作為防御CSRF的一種輔助手段，而不能作為最主要的解決方案。

在請求地址中添加 token 并驗(yàn)證

CSRF 攻擊之所以能夠成功，是因?yàn)楹诳涂梢酝耆珎卧煊脩舻恼埱?，該請求中所有的用戶?yàn)證信息都是存在于 cookie 中，因此黑客可以在不知道這些驗(yàn)證信息的情況下直接利用用戶自己的 cookie 來通過安全驗(yàn)證。

要抵御 CSRF關(guān)鍵在于在請求中放入黑客所不能偽造的信息，并且該信息不存在于 cookie 之中。

可以在 HTTP 請求中以參數(shù)的形式加入一個(gè)隨機(jī)產(chǎn)生的 token，并在服務(wù)器端建立一個(gè)攔截器來驗(yàn)證這token，如果請求中沒有 token 或者 token 內(nèi)容不正確，則認(rèn)為可能是 CSRF 攻擊而拒絕該請求。

驗(yàn)證 HTTP頭的Referer 字段

HTTP Referer是header的一部分，當(dāng)瀏覽器向web服務(wù)器發(fā)送請求的時(shí)候，頭信息里會(huì)包含Referer。

比如我在www.google.com 里有一個(gè)www.baidu.com 鏈接，那么點(diǎn)擊這個(gè)鏈接，它的頭信息里就會(huì)有：

Referer=http://www.google.com

通過驗(yàn)證Referer，可以判斷請求的合法性，如果Referer是其他網(wǎng)站的話，就有可能是CSRF攻擊，則拒絕該請求。

HTTP 頭中自定義屬性并驗(yàn)證

這種方法也是使用 token 并進(jìn)行驗(yàn)證，和上一種方法不同的是，這里并不是把 token 以參數(shù)的形式置于 HTTP 請求之中，而是把它放到 HTTP 頭中自定義的屬性里。通過 XMLHttpRequest 這個(gè)類，可以一次性給所有該類請求加上 csrftoken 這個(gè) HTTP 頭屬性，并把 token 值放入其中。這樣解決了上種方法在請求中加入 token 的不便，同時(shí)，通過 XMLHttpRequest 請求的地址不會(huì)被記錄到瀏覽器的地址欄，也不用擔(dān)心 token 會(huì)透過 Referer 泄露到其他網(wǎng)站中去。缺陷是要采用這種方法來進(jìn)行防護(hù)，要把所有請求都改為 XMLHttpRequest 請求，就意味著可能要重寫整個(gè)網(wǎng)站，這代價(jià)無疑是不能接受的。

Q

SSRF漏洞原理？

A

當(dāng)攻擊者想要訪問服務(wù)器B上的服務(wù)，但是由于存在防火墻或者服務(wù)器B是屬于內(nèi)網(wǎng)主機(jī)等原因?qū)е鹿粽邿o法直接訪問。如果服務(wù)器A存在SSRF漏洞，這時(shí)攻擊者可以借助服務(wù)器A來發(fā)起SSRF攻擊，通過服務(wù)器A向主機(jī)B發(fā)起請求，達(dá)到攻擊內(nèi)網(wǎng)的目的。

Q

SSRF漏洞經(jīng)常存在的位置？

A

分享：通過URL地址分享網(wǎng)頁內(nèi)容

轉(zhuǎn)碼服務(wù)

在線翻譯

圖片加載與下載：通過URL地址加載或下載圖片

圖片、文章收藏功能

未公開的api實(shí)現(xiàn)以及其他調(diào)用URL的功能

Q

SSRF漏洞繞過手法？

A

利用@繞過限制白名單域名

利用@，當(dāng)網(wǎng)站限制只能訪問 http://www.xxx.com類型的域名時(shí)，可以采用http基本身份認(rèn)證的方式繞過，如：http://www.xxx.com@www.xxc.com

繞過限制白名單內(nèi)網(wǎng)IP

采用短網(wǎng)址繞過

利用特殊域名，xip.io可以指向任意域名（原理是DNS解析），即 127.0.0.1.xip.io，可以解析為127.0.0.1

采用進(jìn)制轉(zhuǎn)換，127.0.0.1 八進(jìn)制：0177.0.0.1；十六進(jìn)制：0x7f.0.0.1；十進(jìn)制：2130706433

利用[::]，http://[::]:80/ 會(huì)解析為 http://127.0.0.1

添加端口號，http://127.0.0.1:8080

利用句號，如127。0。0。1 會(huì)解析為 127.0.0.1

采用302跳轉(zhuǎn)

繞過限制請求http協(xié)議

采用302跳轉(zhuǎn)

采用短地址

Q

SSRF漏洞的危害？

A

對外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描

向內(nèi)部任意主機(jī)的任意端口發(fā)送payload來攻擊內(nèi)網(wǎng)服務(wù)

DOS攻擊（請求大文件，始終保持連接Keep-Alive Always）

攻擊內(nèi)網(wǎng)的web應(yīng)用，如直接SQL注入、XSS攻擊等

利用file、gopher、dict協(xié)議讀取本地文件、執(zhí)行命令等

可以無視網(wǎng)站CDN

Q

SSRF漏洞的防范方法？

A

禁止跳轉(zhuǎn)

過濾返回的信息

如果web應(yīng)用是去獲取某一種類型的文件。那么在把返回結(jié)果展示給用戶之前先驗(yàn)證返回的信息是否符合標(biāo)準(zhǔn)。

統(tǒng)一錯(cuò)誤信息

避免用戶可以根據(jù)錯(cuò)誤信息來判斷遠(yuǎn)程服務(wù)器的端口狀態(tài)。

限制請求的端口

比如80,443,8080,8090。

禁止除HTTP和HTTPS外的協(xié)議

比如說僅僅允許http和https請求?？梢苑乐诡愃朴趂ile:///,gopher://,ftp://請求等引起的問題。

對請求地址設(shè)置白名單或者限制內(nèi)網(wǎng)IP

Q

XXE漏洞的原理？

A

XML 文件在引用外部實(shí)體時(shí)候，可以溝通構(gòu)造惡意內(nèi)容，可以導(dǎo)致讀取任意文件，命令執(zhí)行和對內(nèi)網(wǎng)的攻擊

Q

如何構(gòu)建XXE攻擊？

A

1.直接通過DTD外部實(shí)體聲明

2.通過DTD文檔引入外部DTD文檔，再引入外部實(shí)體聲明

3.通過DTD外部實(shí)體聲明引入外部實(shí)體聲明

Q

XXE漏洞的危害？

A

任意文件讀取

系統(tǒng)命令執(zhí)行

執(zhí)行遠(yuǎn)程代碼

DOS拒絕服務(wù)攻擊

內(nèi)網(wǎng)端口探測

攻擊內(nèi)網(wǎng)網(wǎng)站

釣魚

Q

XXE漏洞的防范？

A

禁用外部實(shí)體的引入

比如PHP語言中使用libxml_disable_entity_loader(true);等方式。

過濾如SYSTEM等敏感關(guān)鍵字，防止非正常、攻擊性的外部實(shí)體引入操作。

Q

文件上傳漏洞的原理？

A

Web頁面中文件上傳功能沒有對上傳的文件做合理嚴(yán)謹(jǐn)?shù)倪^濾，導(dǎo)致用戶可以利用此功能，上傳能被服務(wù)端解析執(zhí)行的文件，并通過此文件獲得執(zhí)行服務(wù)端命令的能力。

Q

文件上傳漏洞的繞過手法？

A

前端JS禁用繞過

在前端頁面禁用JS，當(dāng)然也有可能影響正常頁面顯示卻沒用

簡單修改后綴名繞過

如果只是前端頁面限制上傳的文件后綴名，那么我們就可以利用burp suite等工具修改文件后綴名繞過。

抓包修改MIME類型

常見圖片MIME類型: image/gif, image/png, image/jpeg, image/bmp, image/webp, image/x-icon, image/vnd.microsoft.icon

服務(wù)端代碼是通過Content-Type的值來判斷文件的類型，這樣我們可以直接對文件的Content-Type值進(jìn)行修改來繞過。

后綴名大小寫繞過

如果源代碼沒有對文件后綴名進(jìn)行大小寫轉(zhuǎn)換，那么只要更改文件名后綴大小寫即可繞過黑名單

圖片馬繞過

使用edjpgcom等工具或者命令將圖片和WebShell制作成一個(gè)圖片馬

GIF89a圖片頭文件欺騙

比如GIF89a，在webshell前面加上GIF89a，后臺認(rèn)為是圖片,上傳后再執(zhí)行木馬，更有效的做法是結(jié)合其他繞過方法更有針對性的繞過。

%00，0x00截?cái)?/p>

比如修改文件名為 1.php%00.jpg，如果php 版本<5.3.4 在url中%00表示ascll碼的0 ，而ascii碼的0，表示字符串結(jié)束，所以當(dāng)url中出現(xiàn)%00時(shí)就會(huì)認(rèn)為讀取已結(jié)束，最后會(huì)被解析為 1.php，從而實(shí)現(xiàn)繞過

.htaccess文件繞過

.htaccess文件是Apache服務(wù)器中的一個(gè)配置文件，它負(fù)責(zé)相關(guān)目錄下的網(wǎng)頁配置。通過.htaccess文件，可以幫我們實(shí)現(xiàn)：網(wǎng)頁301重定向、自定義404錯(cuò)誤頁面、改變文件擴(kuò)展名、允許/阻止特定的用戶或者目錄的訪問、禁止目錄列表、配置默認(rèn)文檔等功能。

比如說在htaccess文件中有如下內(nèi)容

AddType application/x-httpd-php .png 那我們隨后上傳png后綴圖片馬即可繞過

.user.ini.繞過

.user.ini文件里的意思是：所有的php文件都自動(dòng)包含指定的文件，比如說某網(wǎng)站限制不允許上傳.php文件，你便可以上傳一個(gè).user.ini，再上傳一個(gè)圖片馬，包含起來進(jìn)行g(shù)etshell。不過前提是含有.user.ini的文件夾下需要有正常的php文件，否則也不能包含了。 再比如，你只是想隱藏個(gè)后門，這個(gè)方式是最方便的。

條件競爭繞過

一些網(wǎng)站上傳文件的邏輯是先允許上傳任意文件，然后檢查上傳的文件是否包含webshell腳本，如果包含則刪除該文件。這里存在的問題是文件上傳成功后和刪除文件之間存在一個(gè)短的時(shí)間差(因?yàn)橐獔?zhí)行檢查文件和刪除文件的操作)，攻擊者可以利用這個(gè)短的時(shí)間差完成條件競爭的上傳漏洞攻擊。比如上傳一個(gè)php文件里面這樣寫

::$DATA繞過

在php代碼中沒有對::DATA之后的數(shù)據(jù)當(dāng)成文件流處理，保持::$DATA之前的文件名假設(shè)上傳的文件為test9.php::$DATA.jpg，如果成功上傳到服務(wù)器就會(huì)去掉::DATA.jpg上傳到服務(wù)器后綴仍然是.jpg

+空格+點(diǎn)繞過

某些情況下，源代碼先是去除文件名前后的空格，再去除文件名最后所有的.，再通過strrchar函數(shù)來尋找.來確認(rèn)文件名的后綴，但是最后保存文件的時(shí)候沒有重命名而使用的原始的文件名，導(dǎo)致可以利用1.php. .（點(diǎn)+空格+點(diǎn)）來繞過

后綴名雙寫繞過

黑名單過濾，將黑名單里的后綴名替換為空且只替換一次，因此可以用雙寫繞過，比如1.pphphp,后端源代碼過濾掉紅色標(biāo)注部分，剩余1.php。

特殊可解析后綴繞過

源代碼有黑名單限制，那么我們就可以修改文件后綴名為根據(jù)后端的腳本語言能夠解析的文件后綴，比如源代碼是用php語言寫的話，1.php1會(huì)被解析為1.php。PhP除了可以解析php后綴 還可以解析php1,php2，php3，php4 ，phtml等。Asp可解析 asa，cer,cdx。Aspx可解析 ashx，asmx，ascx。Jsp可解析jspx、jspf

然而這種繞過方法可能會(huì)讓我們繞過成功，但服務(wù)器默認(rèn)配置卻可能不允許這些后綴的文件執(zhí)行

Q

文件上傳漏洞的危害？

A

上傳webshell,控制服務(wù)器、遠(yuǎn)程命令執(zhí)行

上傳系統(tǒng)病毒、木馬文件進(jìn)行挖礦、僵尸網(wǎng)絡(luò)

進(jìn)行提權(quán)操作

修改web頁面，實(shí)現(xiàn)釣魚、掛馬等操作。

進(jìn)行內(nèi)網(wǎng)滲透。

Q

文件上傳功能的監(jiān)測點(diǎn)有哪些？

A

客戶端的JS檢測（主要檢測文件名后綴）

服務(wù)端檢測（MINE類型檢測、文件后綴名、文件格式頭）

Q

文件上傳功能的防范措施有哪些？

A

文件上傳的目錄設(shè)置為不可執(zhí)行

只要web容器無法解析該目錄下面的文件，即使攻擊者上傳了腳本文件，服務(wù)器本身也不會(huì)受到影響，因此這一點(diǎn)至關(guān)重要。

嚴(yán)格判斷文件類型

在判斷文件類型時(shí)，可以結(jié)合使用MIME Type、后綴檢查等方式。在文件類型檢查中，強(qiáng)烈推薦白名單方式，黑名單的方式已經(jīng)無數(shù)次被證明是不可靠的。此外，對于圖片的處理，可以使用壓縮函數(shù)或者resize函數(shù)，在處理圖片的同時(shí)破壞圖片中可能包含的HTML代碼。

使用隨機(jī)數(shù)修改文件名和文件路徑

文件上傳如果要執(zhí)行代碼，則需要用戶能夠訪問到這個(gè)文件。在某些環(huán)境中，用戶能上傳，但不能訪問。如果應(yīng)用了隨機(jī)數(shù)改寫了文件名和路徑，將極大地增加攻擊的成本。再來就是像shell.php.rar.rar和crossdomain.xml這種文件，都將因?yàn)橹孛鵁o法攻擊。

單獨(dú)設(shè)置文件服務(wù)器的域名

由于瀏覽器同源策略的關(guān)系，一系列客戶端攻擊將失效，比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決。

內(nèi)容檢測

有效防范圖片馬和文件二次渲染

安全加固中間件

及時(shí)更新并加固中間件，可以有效避免因?yàn)橹虚g件的漏洞而導(dǎo)致的文件上傳漏洞，比如某些中間件以前的版本很多都具有文件解析漏洞

采用WAF等安全防護(hù)設(shè)備

采用WAF等安全防護(hù)設(shè)備可以有效的防御常見漏洞

Q

常見的未授權(quán)訪問漏洞有哪些？

A

a.MongoDB未授權(quán)訪問漏洞

b.Redis未授權(quán)訪問漏洞

c.Memcached未授權(quán)訪問漏洞

d.JBOSS未授權(quán)訪問漏洞

e.VNC未授權(quán)訪問漏洞

f.Docker未授權(quán)訪問漏洞

g.ZooKeeper未授權(quán)訪問漏洞

h.Rsync未授權(quán)訪問漏洞

Q

簡單講一下反序列化漏洞？

A

序列化是指程序?qū)ο筠D(zhuǎn)化為字節(jié)序列從而便于存儲運(yùn)輸?shù)囊环N方式，反序列化則與其相反，即將字節(jié)序列轉(zhuǎn)化為對象供程序使用。程序在進(jìn)行反序列化時(shí)會(huì)調(diào)用一些函數(shù)，比如常見的PHP 反序列化函數(shù) unserialize()以及一些常見的魔術(shù)方法，比如構(gòu)造函數(shù)_construct()，析構(gòu)函數(shù)destruct() ，_wakeup()，toString(0) ，sleep0等等。如果這些函數(shù)在傳遞參數(shù)時(shí)沒有進(jìn)行嚴(yán)格的過濾措施，那么攻擊者就可以構(gòu)造惡意代碼并將其序列化后傳入函數(shù)中，從而導(dǎo)致反序列化漏洞

Q

常見的邏輯漏洞有哪些？

A

驗(yàn)證碼相關(guān)的，例如重復(fù)利用，驗(yàn)證碼無效等，越權(quán)漏洞等等

Q

代碼執(zhí)行、命令執(zhí)行、文件讀取的函數(shù)有哪些？

A

代碼執(zhí)行eval、call_user_func、call_user_func_array等

文件讀取fopen()、readfile()、fread()、file()、show_source()等

命令執(zhí)行system()、exec()、shell_exec()、passthru()、pcntl_exec()等

Q

常見的中間件和對應(yīng)漏洞有哪些？

A

?IIS：PUT漏洞、短文件名猜解、遠(yuǎn)程代碼執(zhí)行、解析漏洞

?Apache：解析漏洞、目錄遍歷

?Nginx：文件解析、目錄遍歷、CRLF注入、目錄穿越

?Tomcat：遠(yuǎn)程代碼執(zhí)行、war后門文件部署

?JBoss：反序列化漏洞、war后門文件部署

?WebLogic：反序列化漏洞、SSRF任意文件上傳、war后門文件部署

?ApacheShiro反序列化漏洞：ShirorememberMe（Shiro-550）、ShiroPaddingOracleAttack(Shiro-721)

Q

fastjson漏洞利用原理？

A

在請求包里面中發(fā)送惡意的 json 格式 payload，漏洞在處理 json 對象的時(shí)候， 沒有對@type 字段進(jìn)行過濾，從而導(dǎo)致攻擊者可以傳入惡意的 TemplatesImpl 類，而 這個(gè)類有一個(gè)字段就是_bytecodes，有部分函數(shù)會(huì)根據(jù)這個(gè)_bytecodes 生成 java 實(shí)例，這就達(dá)到 fastjson 通過字段傳入一個(gè)類，再通過這個(gè)類被生成時(shí)執(zhí)行構(gòu)造函數(shù)。

Q

如何發(fā)現(xiàn)shiro漏洞？

A

登陸失敗時(shí)候會(huì)返回 rememberMe=deleteMe 字段或者使用 shiroScan 被動(dòng)掃描去發(fā)現(xiàn)

Q

哪些漏洞會(huì)被高頻利用于打點(diǎn)？

A

a.ApacheShiro相關(guān)漏洞

b.Fastjson漏洞

c.Log4j

d.上傳漏洞

e.邊界網(wǎng)絡(luò)設(shè)備資產(chǎn)+弱口令

工具篇題目

Q

你在滲透測試中常用到的工具？

A

信息收集

Nmap，F(xiàn)ofa，Shodan，zoomeye，站長工具，Bugscaner，潮汐指紋，云悉指紋，Censys，whatweb，WTFScan，子域名挖掘機(jī)，dnsdist6，WAFw00f，F(xiàn)ping，arping，nping，nbtscan，whois，Layer子域名收集工具，JSFinder，wwwscan等

抓包分析

Burp Suite,Wireshark, TrafficTools，fiddler，hack firefox，proxifier，shadowsocks等

端口掃描

Nmap，Zenmap，Masscan，御劍端口掃描工具,Hping3，Advanced_Port_Scanner，PortScan ,netscan tools,blackwater,Unicornscan,nast,Knocker,IPscan等

漏洞掃描

Nessus，AWVS，X-ray，Appscan，W3af，OpenVAS，Skipfish，lynis，WPscan，Comodo HackerProof，Nexpose community，Vulnerability Manager Plus，Nikto等

目錄掃描或爆破

Dirbuster，御劍目錄爆破工具，dirsearch，dirb，ffuf，Dirmap，cansin，Wscan，

webdirscan，SourceLeakHacker，fuff等

暴力破解

Burp Suite，Hydra，cupp，crunch，Aircrack-NG(無線密碼破解)，John the Ripper，Rainbow Crack，Cain & Able，L0phtcrack， Ophcrack，Crack，Hashcat，SAMInside，DaveGrohl(Mac os x) ，Ncrack，Brutus，Wfuzz，Medusa等

SQL注入漏洞掃描或利用

Sqlmap，SQLiScanner，DSSS，Jsql-injection，nosqlattack,Safe3 SQL Injector,

BSQL Hacker,The Mole,Pangolin,Havij,Enema SQLi,sqlsus,SQL Poizon，Netsparker，Leviathan，NoSQLMap，Tyrant SQL，Whitewidow等

XSS漏洞利用

Cobalt Strike，Beef，XSSer，XSpear，TamperIE，BlueLotus_XSSReceiver(XSS利用平臺)，XSSYA，xssfork，xssScanner，XSSCon，BruteXSS，XDT等

WebShell利用

冰蝎，哥斯拉，蟻劍，中國菜刀，天蝎(skyscorpion), pyshell，w8ay，WebKnife，XISE，K8飛刀，Altman，Hatchet，AspxClient(僅支持ASPX腳本)，C刀（Cknife），QuasiBot，Weevely，WeBaCoo， Webhandler，Webshell-Sniper，PhpSploit，SharPyShell等

免殺

Shellter，F(xiàn)ourEye，crazyKiller，DKMC，avevasion，charlotte，cool，crossnet，darkarmour，shellcodeloader，vmprotect，vprotect，ZheTian，peidtool，Mimikatz，PrintSpoofer，metasploit，Veil，avet ，Green hat pro，Venom ，TheFatRat，Insanity等

綜合

Metasploit，GUI_Tools，Hijacker(針對Android)，AttackSurfaceMapper，Burp Suite，watchdog，Empire等

Q

使用過哪些安全設(shè)備？

A

webshell查殺

D盾_Web查殺，百度WEBDIR+(在線)，河馬(全平臺，CloudWalker(牧云)(全平臺)，Web Shell Detector(在線)，Sangfor WebShellKill(深信服)，深度學(xué)習(xí)模型檢測PHP Webshell(在線)，PHP Malware Finder webshell(全平臺)，findWebshell，Webshell.pub專注查殺(在線)等

病毒查殺

火絨，騰訊安全管家，360殺毒，Rkhunter，卡巴斯基，金山毒霸，瑞星殺毒軟件，大蜘蛛，深信服EDR，Rootkit，NOD32，Clamav，virustotal等

安全防護(hù)

網(wǎng)站安全狗，創(chuàng)宇盾，云鎖，阿里云WAF,HiHTTPS，ModSecurity，Naxsi,OpenWAF,FreeWAF，ESAPI WAF，unixhot，Java WAF，X-WAF，VeryNginx，COMODO Firewall等

應(yīng)急響應(yīng)

火絨劍，微步云沙箱，Goby，PowerTool，Tcpview，PCHunter，ProcessHacker，Everything，ProcessExplorer，ProcessMonitor，XueTr，PCHunter，ProcessDump，AutoRuns，ntfsdir，F(xiàn)astIR，BrowsingHistoryView，sysinspector，sysinternals Suite，Index.dat Analyzer，winhex，RegistryWorkshop，DiskGenius，passrecenc，F(xiàn)ulleventlogview，Wsyscheck，IPOP4.1，Process monitor，Netcat，Malware Defender，MyMonitor，DllInjector，RegShot，gscan，F(xiàn)odler Monitor，ResHacker，Kaspersky Virus Removal Tool ，DWirelessNetWatcher，ipradar，F(xiàn)idder，ApateDNS，MiniSniffer，SysTracer等

Q

了解過WAF嗎？

A

概念：

Web應(yīng)用防火墻，簡稱WAF，是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一種產(chǎn)品，一般部署在Web服務(wù)器之前，用來保護(hù)Web應(yīng)用。

主要功能：

WAF主要是通過內(nèi)置的很多安全規(guī)則 來進(jìn)行防御。
可防護(hù)常見的SQL注入、XSS、網(wǎng)頁篡改、中間件漏洞等OWASP TOP10攻擊行。
具有威脅感知能力，當(dāng)發(fā)現(xiàn)攻擊后，可將IP進(jìn)行鎖定，IP鎖定之后將無法訪問網(wǎng)站業(yè)務(wù)。
也支持防止CC攻擊，采用集中度和速率雙重檢測算法。

不具備的功能：(給你加深一下影響，防止你想不起來就亂猜)

WAF不能過濾其他協(xié)議流量，如FTP、PoP3協(xié)議

WAF不能實(shí)現(xiàn)傳統(tǒng)防護(hù)墻功能，如地址映射

WAF不能防止網(wǎng)絡(luò)層的DDoS攻擊

WAF不能防病毒

Q

繞過WAF的方法？

A

通配符?,*

在bash shell中，問號(?)表示通配符，可以替換任意的單個(gè)字符（非空），*表示通配符，可以匹配任意長度（包括空）。例如下面的命令與/usr/sbin/cat /etc/passwd是等價(jià)的

/usr/s?in/?at /et?/pass?d

大小寫變種

特征庫在編寫正則表達(dá)式時(shí)，可能忽略了對大寫的校驗(yàn)。例如select.*from，從而讓Select from輕松繞過，正確的寫法時(shí)，在任何防護(hù)的正則表達(dá)式前都加上(?i)，表示后面的正則表達(dá)式匹配均忽略大小寫。

內(nèi)聯(lián)注釋/**/

在SQL查詢語句中加入注釋，例如select/**/from，當(dāng)WAF不摘除注釋而去匹配正則表達(dá)式時(shí)，可能會(huì)匹配不上，從而繞過。

干擾字符污染法

使用空字符、空格、TAB換行、注釋、特殊的函數(shù)等等都可以。比如在SQL注入時(shí)select/!/version(); 利用網(wǎng)站使用的語言函數(shù)特性來繞過WAF的規(guī)則或者使用會(huì)無視的字符。

字符編碼法

就是對一些字符進(jìn)行編碼，常見的SQL編碼有unicode、HEX、URL、ascll、base64等，XSS編碼有：HTML、URL、ASCII、JS編碼、base64等等，利用瀏覽器上的進(jìn)制轉(zhuǎn)換或者語言編碼規(guī)則來繞過WAF，比如XSS攻擊

雙寫，嵌套，拼湊法

????如果過濾了某些字符串，我們可以在他們兩邊加上“原有字符串”的一部分。利用WAF的不完整性，只驗(yàn)證一次字符串或者過濾的字符串并不完整。比如這樣

SQL： selselectect verversionsion(); ????

XSS： alalertert

多請求拆分繞過

對于多個(gè)參數(shù)的語句，可以將注入語句分割插入。
如這樣的請求：?a=[inputa]&b=[inputb] 可將參數(shù)a和b拼接如：

and a=[inputa] and b=[inputb]

利用cookie繞過

對于用了$_REQUEST來獲取參數(shù)的網(wǎng)站可以嘗試將payload放在cookie中進(jìn)行繞過REQUEST會(huì)依次從GET POST cookie中獲取參數(shù)，如果WAF只檢測了GET/POST而沒有檢測cookie，可以將語句放在cookie中進(jìn)行繞過。

利用溢量數(shù)據(jù)繞過WAF

這種繞過方法利用的是通過提交非常大的數(shù)據(jù)，由于數(shù)據(jù)量過大，超過了WAF的正則匹配字符，我們的惡意代碼就不經(jīng)過WAF的正則匹配了，因此我們的惡意代碼就可以繞過了。

WAF繞過之尋找網(wǎng)站源ip

采用云WAF的網(wǎng)站可以尋找網(wǎng)站真實(shí)ip來繞過云WAF的檢測。

Q

WAF的分類？如何攔截攻擊？

A

WAF（Web 應(yīng)用程序防火墻）產(chǎn)品通常可以分為以下幾種分類：

基于簽名的 WAF：基于簽名的 WAF 通過檢測請求中是否包含已知漏洞的特征，來攔截攻擊。這種類型的 WAF 可以快速識別和阻止已知的攻擊方式。

基于行為的 WAF：基于行為的 WAF 使用機(jī)器學(xué)習(xí)、人工智能等技術(shù)來分析請求的行為模式，并判斷其是否具有攻擊性。這種類型的 WAF 能夠較好地識別未知攻擊。

綜合型 WAF：綜合型 WAF 結(jié)合了基于簽名和基于行為兩種技術(shù)，能夠同時(shí)檢測已知攻擊和未知攻擊，提供更加全面的保護(hù)。

WAF 產(chǎn)品一般通過攔截攻擊請求來保護(hù) Web 應(yīng)用程序。具體的攔截方式包括：

黑名單過濾：根據(jù)已知的攻擊方式，設(shè)置黑名單規(guī)則，對符合規(guī)則的請求進(jìn)行攔截。

白名單過濾：對請求進(jìn)行白名單過濾，只允許符合規(guī)則的請求通過。

存儲過程注入防護(hù)：對 SQL 注入進(jìn)行防護(hù)。WAF 可以檢測并攔截具有攻擊意圖的 SQL 語句，并對其進(jìn)行相應(yīng)的修復(fù)和防護(hù)。

跨站腳本（XSS）防護(hù)：WAF 可以檢測并過濾包含惡意 JavaScript 代碼的請求，并防止 XSS 攻擊。

防止文件上傳漏洞：WAF 可以檢測并攔截包含惡意文件的請求，從而避免文件上傳漏洞導(dǎo)致的攻擊。

總之，WAF 產(chǎn)品可以有效地保護(hù) Web 應(yīng)用程序免受各種類型的攻擊。但是需要注意的是，WAF 并不是萬能的，仍然需要結(jié)合其他安全措施來保障 Web 應(yīng)用程序的安全。

Q

CS流量特征？

A

對比正常的http流量，CS的http通信流量具有以下幾個(gè)特征：

A. 心跳包特征

a) 間隔一定時(shí)間，均有通信，且流級上的上下行數(shù)據(jù)長度固定；

B. 域名/IP特征

a) 未走CDN、域前置的，域名及IP暴露

b) 走CDN、域前置的，真實(shí)IP會(huì)被隱藏；

C. 指令特征

a) 下發(fā)指令時(shí)，通過心跳包接收指令，這時(shí)，server端返回的包更長，甚至包含要加載的dll模塊數(shù)據(jù)。

b) 指令執(zhí)行完后，client端通過POST請求發(fā)送執(zhí)行的結(jié)果數(shù)據(jù)，body部分通過加密和base64編碼。

c) 不同指令，執(zhí)行的時(shí)間間隔不一樣，可以通過POST請求和GET請求的間隔進(jìn)行判斷。

D. 數(shù)據(jù)特征

a) 在請求的返回包中，通信數(shù)據(jù)均隱藏在jqeury*.js中。

Q

webshell流量特征？

A

菜刀：

偽造 X-Forwarded-For頭，每次利用X-Forwarded-For頭都會(huì)不同

執(zhí)行了 base64_decode 函數(shù)對 z0 進(jìn)行 base64 后，經(jīng)過 eval 函數(shù)執(zhí)行命令

QGluaV9

@ini_set(“display_errors”

c刀：

c刀是由java寫的客戶端，所以它的適用性比較強(qiáng)，linux、windows平臺都可以用，cknife首先會(huì)查詢服務(wù)器版本信息，接下來才是查詢當(dāng)前目錄。由于cknife是基于菜刀改的，在流量上與菜刀是十分相似的

蟻劍：

如果用默認(rèn)的蟻劍測試，連接時(shí)會(huì)請求兩次

其請求體只是經(jīng)過 url 編碼

@ini_set(“display_errors”

在執(zhí)行命令，文件操作等地方會(huì)有0x開頭的參數(shù)

冰蝎：

消息體內(nèi)容采用 AES 加密

流量會(huì)以時(shí)間的方式生成長度 16 的隨機(jī) key

中間結(jié)果字符串 assert|eval(“phpinfo();”) 此數(shù)據(jù)由冰蝎加載器發(fā)出的，已經(jīng)定義好的

Q

常用的webshell檢測工具？

A

a.D盾

b.河馬WEBSHELL

c.百度WEBDIR+

d.WebShellDetector

e.SangforWebShellKill[深信服]

f.PHPMalwareFinder[支持Linux]

Q

有了解過態(tài)勢感知產(chǎn)品嗎？

A

360態(tài)勢感知：由中國著名安全廠商360推出的產(chǎn)品，主要提供網(wǎng)絡(luò)威脅查詢、漏洞掃描、流量分析等功能，同時(shí)集成了各種安全情報(bào)和指標(biāo)，可以為用戶提供全面的安全態(tài)勢分析和預(yù)警服務(wù)。

騰訊云安全大腦：由騰訊云推出的產(chǎn)品，利用 AI、機(jī)器學(xué)習(xí)等技術(shù)對攻擊進(jìn)行實(shí)時(shí)監(jiān)測和分析，提供包括漏洞掃描、風(fēng)險(xiǎn)評估、異常檢測等一系列安全服務(wù)。

云鎖事件響應(yīng)中心：由阿里云推出的產(chǎn)品，提供網(wǎng)絡(luò)空間威脅和安全事件的監(jiān)測、預(yù)警、應(yīng)急響應(yīng)等服務(wù)。該產(chǎn)品采用 AI 算法進(jìn)行態(tài)勢感知，并可以自動(dòng)化響應(yīng)安全事故。

北京賽迪態(tài)勢感知系統(tǒng)：由北京賽迪安全科技股份有限公司開發(fā)的產(chǎn)品，支持網(wǎng)絡(luò)威脅情報(bào)搜集、風(fēng)險(xiǎn)事件自動(dòng)識別、威脅行為關(guān)聯(lián)分析等功能，可為企業(yè)提供全生命周期的網(wǎng)絡(luò)安全保護(hù)。

啟明星辰安全態(tài)勢感知：由啟明星辰推出的產(chǎn)品，提供整體安全態(tài)勢感知、針對性攻擊檢測、應(yīng)急響應(yīng)等功能，可幫助用戶實(shí)現(xiàn)從被動(dòng)防御到主動(dòng)防御的轉(zhuǎn)變。

這些產(chǎn)品都采用了先進(jìn)的機(jī)器學(xué)習(xí)和人工智能技術(shù)，可以自動(dòng)化地分析和識別網(wǎng)絡(luò)威脅，并及時(shí)發(fā)出預(yù)警或者采取應(yīng)急措施。同時(shí)，這些產(chǎn)品還具備可視化的操作界面，用戶可以通過簡單的操作就可以了解整個(gè)系統(tǒng)的安全情況，并做出相應(yīng)的決策

Q

對數(shù)據(jù)包或日志的分析思路？

A

用流量監(jiān)測的安全設(shè)備，比如天眼，查看報(bào)文，分析報(bào)文里和 host 和網(wǎng)站目錄路徑，查看是否可疑，使用微步查詢 host 是否為惡意，使用 wireshark 對數(shù)據(jù)包深度分析看一下請求的網(wǎng)站路徑，源 IP 與目的 ip 地址，host 字段的值以及發(fā)包內(nèi)容等。工具有 wearshark，網(wǎng)站的話微步在線

應(yīng)急響應(yīng)與溯源篇題目

Q

研判的思路？

A

1.首先對攻擊的來源進(jìn)行判斷，是內(nèi)對內(nèi)，外對內(nèi)還是內(nèi)對外的情況。

2.依據(jù)設(shè)備的告警信息結(jié)合具體情況來分析攻擊行為的類型，比如說告警SQL注入攻擊，那我們就去查看一下請求數(shù)據(jù)包里面是否有單引號，SELECT等敏感字符，返回?cái)?shù)據(jù)包里面是否有SQL語法報(bào)錯(cuò)等信息，有的話就可以初步判斷該攻擊行為是SQL注入攻擊。

3.然后就是根據(jù)攻擊特征來分析攻擊行為使用了什么技術(shù)或者說工具，比如說攻擊的頻率，數(shù)據(jù)包的信息等等。比如說在使用AWVS或者APPSCAN等工具在掃描的時(shí)候，很有可能在請求數(shù)據(jù)包的user-agent里面就有相關(guān)的信息。同樣結(jié)合告警信息和具體情況來判斷攻擊行為的危害程度，比如說檢測到多條攻擊成功告警和內(nèi)對內(nèi)及內(nèi)對外攻擊告警，這個(gè)時(shí)候就需要盡快的交給應(yīng)急組了。

4.結(jié)合設(shè)備告警信息及具體情況分析攻擊意圖，比如說攻擊者的目標(biāo)是主站還是旁站，是主機(jī)還是域控，不同的攻擊意圖對于后續(xù)的處理也不同。

5.最后根據(jù)我們掌握的信息采取相應(yīng)的處置方式，比如說告警信息是誤報(bào)，說明設(shè)備需要策略優(yōu)化，不需要處置。告警信息是嘗試攻擊，暫時(shí)對資產(chǎn)沒有影響，就需要后續(xù)持續(xù)關(guān)注，攻擊成功時(shí)能夠做到及時(shí)上報(bào)。如果告警確認(rèn)不是誤報(bào)，并且攻擊成功時(shí)，我們就需要迅速上報(bào)及時(shí)采取應(yīng)急響應(yīng)。

Q

應(yīng)急響應(yīng)的思路？

A

1.首先應(yīng)該是信息收集，比如說影響范圍有多大，事件類型是什么，源頭主機(jī)和攻擊意圖，是否需要保障業(yè)務(wù)等等信息，這一步可以幫助我們更有效的進(jìn)行下一步的阻斷攻擊行為。

2.接下來就是結(jié)合已知的信息阻斷攻擊行為，保護(hù)資產(chǎn)。比如說攻擊行為局限于某個(gè)站點(diǎn)，且未造成較大損失，那我們可以直接封掉攻擊者的IP來確保業(yè)務(wù)的正常進(jìn)行，當(dāng)然之后也要對這個(gè)站點(diǎn)有一個(gè)持續(xù)的關(guān)注。如果是某臺主機(jī)淪陷或者說域控服務(wù)器淪陷，那么這就算比較重大的損失，為了避免損失擴(kuò)大，應(yīng)該及時(shí)將感染設(shè)備斷網(wǎng)處理。如果有備份服務(wù)器，可以切換備用設(shè)備來保障業(yè)務(wù)正常。

3.對攻擊行為阻斷后需要對數(shù)據(jù)進(jìn)行保護(hù)，比如說保存好流量、可疑進(jìn)程的內(nèi)存、失陷系統(tǒng)鏡像、惡意樣本、設(shè)備的日志，這一步可以有效幫助我們后續(xù)的溯源工作。

4.安全事件影響根除，工具結(jié)合手工從系統(tǒng)用戶是否有新增用戶，進(jìn)程信息，計(jì)劃任務(wù)，自啟動(dòng)項(xiàng)，注冊表，端口狀態(tài)(是否有對外連接)等方面來檢查是否有可疑行為，比如說火絨劍，ProcessHacker等專門用于分析這些方面的工具。如果有就直接關(guān)閉或者刪除，有一些頑固進(jìn)程或者頑固文件無法關(guān)閉或者刪除可以結(jié)合專殺工具處理，比如說Rkhunter,火絨等工具。

5.恢復(fù)業(yè)務(wù)，加強(qiáng)安全措施，加固系統(tǒng)等，比如說更新軟件版本，安裝已知漏洞的補(bǔ)丁，關(guān)閉某些端口等等，暫時(shí)沒有解決辦法的可以根據(jù)業(yè)務(wù)需求關(guān)閉某些服務(wù)。
6.最后就是輸出報(bào)告，總結(jié)反思。

Q

溯源反制的思路？

A

1.攻擊源捕獲

安全設(shè)備報(bào)警，如掃描IP、威脅阻斷、病毒木馬、入侵事件等

日志與流量分析，異常的通訊流量、攻擊源與攻擊目標(biāo)等

服務(wù)器資源異常，異常的文件、賬號、進(jìn)程、端口，啟動(dòng)項(xiàng)、計(jì)劃任務(wù)和服務(wù)等

郵件釣魚，獲取惡意文件樣本、釣魚網(wǎng)站 URL 等

蜜罐系統(tǒng)，獲取攻擊者 ID、電腦信息、瀏覽器指紋、行為、意圖的相關(guān)信息

2.溯源反制

IP 定位技術(shù)
根據(jù)IP定位物理地址–代理 IP
溯源案例：通過 IP 端口掃描，反向滲透服務(wù)器進(jìn)行分析，最終定位到攻擊者相關(guān)信息

ID 追蹤術(shù)
ID 追蹤術(shù)，搜索引擎、社交平臺、技術(shù)論壇、社工庫匹配
溯源案例：利用 ID 從技術(shù)論壇追溯郵箱，繼續(xù)通過郵箱反追蹤真實(shí)姓名，通過姓名找到相關(guān)簡歷信息

網(wǎng)站 url
域名 Whois 查詢–注冊人姓名、地址、電話和郵箱 --域名隱私保護(hù)
溯源案例：通過攻擊 IP 歷史解析記錄/域名，對域名注冊信息進(jìn)行溯源分析

惡意樣本分析
提取樣本特征、用戶名、ID、郵箱、C2 服務(wù)器等信息–同源分析
溯源案例：樣本分析過程中，發(fā)現(xiàn)攻擊者的個(gè)人 ID 和 QQ，成功定位到攻擊者

社交賬號
基于 JSONP 跨域，獲取攻擊者的主機(jī)信息、瀏覽器信息、真實(shí) IP 及社交信息等
利用條件：可以找到相關(guān)社交網(wǎng)站的 jsonp 接口泄露敏感信息，相關(guān)網(wǎng)站登錄未注銷

3.攻擊者畫像

攻擊路徑

攻擊目的：拿到權(quán)限、竊取數(shù)據(jù)、獲取利益、DDOS 等
網(wǎng)絡(luò)代理：代理 IP、跳板機(jī)、C2 服務(wù)器等
攻擊手法：魚叉式郵件釣魚、Web滲透、水坑攻擊、近源滲透、社會(huì)工程等

攻擊者身份畫像

虛擬身份：ID、昵稱、網(wǎng)名
真實(shí)身份：姓名、物理位置
聯(lián)系方式：手機(jī)號、qq/微信、郵箱
組織情況：單位名稱、職位信息

Q

Windows應(yīng)急響應(yīng)常用命令？

A

查看用戶賬號和組 lusrmgr

打開lusrmgr.msc，查看是否有新增/可疑的賬號

敏感事件id:
4624 登錄成功
4625 登錄失敗
4634 注銷成功
4647 用戶啟動(dòng)的注銷
4672 使用超級用戶/管理員用戶進(jìn)行登錄
4720 創(chuàng)建用戶
4697 7045 PsExec

查看自啟動(dòng)項(xiàng) msconfig

查看進(jìn)程服務(wù) taskmgr

wmic process where name=‘進(jìn)程名’ list full 4 查看進(jìn)程詳細(xì)信息

taskkill /T /F /PID 強(qiáng)制關(guān)閉進(jìn)程

wmic process | finderstr “xxxx.exe” 獲取進(jìn)程的全路徑

查看計(jì)劃任務(wù) schtasks

查看用戶會(huì)話 query user

查看端口和網(wǎng)絡(luò)連接 netstat -ano

查看本地共享 net share

查看注冊表 regedit

查看日志 eventvwr

Q

Windows應(yīng)急響應(yīng)常用命令？

A

查看進(jìn)程

top 根據(jù)CPU占用率枚舉進(jìn)程

ps aux

ps aux | grep pid 根據(jù)進(jìn)程號查看詳細(xì)信息

ps elf | grep pid 根據(jù)進(jìn)程號查看進(jìn)程鏈

kill -9 pid 殺死進(jìn)程

lsof -p pid 查詢守護(hù)進(jìn)程

pstree -aphn 樹狀顯示進(jìn)程

             -a    顯示該進(jìn)程命令行參數(shù)

            -p 顯示pid       

            -n 按照pid排序    

            -h 高亮當(dāng)前進(jìn)程以及父進(jìn)程

查看網(wǎng)絡(luò)連接

netstat -antlp

             -a 顯示所有連接和端口

            -n 以數(shù)字形式顯示ip和port

            -t 顯示tcp

            -l 顯示監(jiān)聽的服務(wù)

            -p 顯示建立連接的進(jìn)程名以及pid

ss –antpr

            -a 顯示所有連接和端口

            -n 不解析服務(wù)的名稱

            -t 顯示tcp sockets

            -l 顯示監(jiān)聽的端口
            -p 顯示監(jiān)聽端口的進(jìn)程
            -r 把ip解析為域名

查看異常文件

ls -alth
-a 顯示所有文件
-l 顯示文件權(quán)限，屬組屬主，大小，日期
- t 按照時(shí)間順序排序
-h 高亮

find / -ctime -2 查找72小時(shí)內(nèi)新增的文件

查看用戶

last 查詢最近登錄的用戶記錄

lastlog 查詢所有用戶最后一次登錄的時(shí)間

last lastb 登陸失敗的用戶記錄

usermod -L 用戶名 禁用用戶

userdel -r 用戶名 刪除用戶

查看啟動(dòng)項(xiàng)

systemctl list-unit-files | grep enable 查看啟動(dòng)項(xiàng)

查看計(jì)劃任務(wù)

crontab -l 查看計(jì)劃任務(wù)
crontab -e 編輯計(jì)劃任務(wù)
crontab -r 刪除計(jì)劃任務(wù)
crontab -u 查看某用戶計(jì)劃任務(wù)

cat /etc/anacrontab 查看anacron異步定時(shí)任務(wù)

查看歷史命令

history 查詢主機(jī)歷史命令

Q

無法連接3389的情況？

A

a.3389端口處于關(guān)閉狀態(tài)

b.遠(yuǎn)程桌面默認(rèn)端口號已被修改

c.防火墻攔截

d.處于內(nèi)網(wǎng)環(huán)境

e.超過了服務(wù)器最大連接數(shù)

f.管理員設(shè)置了權(quán)限，指定用戶才能通過3389端口進(jìn)行遠(yuǎn)程桌面訪問

Q

windows入侵排查思路？

A

檢查系統(tǒng)賬號安全

查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對公網(wǎng)開放（使用 netstat -ano 命令、或者問服務(wù)器管理員）

命令查看服務(wù)器是否存在可疑賬號、新增賬號，如有管理員群組的（Administrators）里的新增賬戶，如有，請立即禁用或刪除掉

D 盾或者注冊表中查看服務(wù)器是否存在隱藏賬號、克隆賬號

結(jié)合日志，查看管理員登錄時(shí)間、用戶名是否存在異常

檢查方法：Win+R 打開運(yùn)行，輸入 “eventvwr.msc”，回車運(yùn)行，打開 “事件查看器”，導(dǎo)出 Windows 日志–安全，利用 Log Parser 進(jìn)行分析

Q

如何查看系統(tǒng)內(nèi)存shell？

A

先判斷是通過什么方法注入的內(nèi)存馬，可以先查看 web 日志是否有可疑的 web 訪問日志，如果是 filter 或者 listener 類型就會(huì)有大量 url 請求路徑相同參數(shù)不同的，或者頁面不存在但是返回 200 的，查看是否有類似哥斯拉、冰蝎相同的 url 請求，哥斯拉和冰蝎的內(nèi)存馬注入流量特征與普通 webshell 的流量特征基本吻合。通過查找返回 200 的 url 路徑對比 web目錄下是否真實(shí)存在文件，如不存在大概率為內(nèi)存馬。如在 web 日志中并未發(fā)現(xiàn)異常，可以排查是否為中間件漏洞導(dǎo)致代碼執(zhí)行注入內(nèi)存馬，排查中間件的 error.log 日志查看是否有可疑的報(bào)錯(cuò)，根據(jù)注入時(shí)間和方法根據(jù)業(yè)務(wù)使用的組件排查是否可能存在 java 代碼執(zhí)行漏洞以及是否存在過 webshell，排查框架漏洞，反序列化漏洞。

詳細(xì)：

https://www.cnblogs.com/lcxblogs/articles/15238924.html

Q

linux登錄日志查看文件？

A

linux 日志文件說明

/var/log/message 系統(tǒng)啟動(dòng)后的信息和錯(cuò)誤日志，是 Red Hat Linux 中最常用的日志之一

/var/log/secure 與安全相關(guān)的日志信息

/var/log/maillog 與郵件相關(guān)的日志信息

/var/log/cron 與定時(shí)任務(wù)相關(guān)的日志信息

/var/log/spooler 與 UUCP 和 news 設(shè)備相關(guān)的日志信息

/var/log/boot.log 守護(hù)進(jìn)程啟動(dòng)和停止相關(guān)的日志消息

/var/log/wtmp 該日志文件永久記錄每個(gè)用戶登錄、注銷及系統(tǒng)的啟動(dòng)、停機(jī)的事件

Q

藍(lán)隊(duì)常用的反制方法有哪些？

A

a.蜜罐

b.對攻擊目標(biāo)進(jìn)行反滲透（IP定位、IP端口掃描、Web站點(diǎn)滲透）

c.應(yīng)用漏洞挖掘&利用（菜刀、Goby、Xray、蟻劍）

d.id->社交特征關(guān)聯(lián)

e.釣魚網(wǎng)站->后臺掃描、XSS盲打

f.木馬文件->同源樣本關(guān)聯(lián)->敏感字符串特征檢測

Q

如何發(fā)現(xiàn)釣魚郵件？

A

釣魚郵件是一種常見的網(wǎng)絡(luò)針對性攻擊手段，通常通過電子郵件發(fā)送虛假信息誘騙受害者提供個(gè)人敏感信息或進(jìn)行非法行為。以下是幾種發(fā)現(xiàn)釣魚郵件的方法：

查看發(fā)件人地址：釣魚郵件的發(fā)件人地址通常會(huì)偽裝成合法、可信的機(jī)構(gòu)或公司，但是如果您仔細(xì)查看發(fā)件人地址，就可能發(fā)現(xiàn)其不是該機(jī)構(gòu)或公司真正的域名。

檢查鏈接地址：釣魚郵件中通常會(huì)包含可疑的鏈接，如果您將鼠標(biāo)懸停在鏈接上，就可以看到鏈接的真實(shí)地址。如果該地址與郵件內(nèi)容不符，就可能是釣魚郵件。

注意郵件內(nèi)容：釣魚郵件通常會(huì)給人留下一種緊急、必須立即采取行動(dòng)的感覺，從而誘騙用戶點(diǎn)擊鏈接或執(zhí)行某些操作。因此，如果您收到這樣的郵件，請仔細(xì)閱讀郵件內(nèi)容，并多加思考和確認(rèn)。

盡量避免下載附件：釣魚郵件通常會(huì)攜帶惡意附件，如果您無法確認(rèn)郵件的真實(shí)性，最好不要下載或打開這些附件，以免被感染。

安裝反釣魚軟件：有一些反釣魚軟件可以幫助用戶檢測和攔截釣魚郵件，例如 Google 的Password Alert 等。

總之，發(fā)現(xiàn)釣魚郵件需要多加警惕和注意，在收到可疑郵件時(shí)，應(yīng)該仔細(xì)查看郵件內(nèi)容和相關(guān)信息，并盡可能采取措施避免被釣魚攻擊。

Q

如何區(qū)分掃描流量和手動(dòng)流量？

A

掃描流量和手動(dòng)流量的區(qū)別在于其產(chǎn)生的方式和行為特征，因此可以通過以下幾種方法來查看區(qū)分它們：

查看流量來源：掃描流量通常是由自動(dòng)化工具或蠕蟲病毒等程序生成的，因此其源 IP 或者發(fā)起請求的主機(jī)通常不固定，而手動(dòng)流量則來自人工操作的設(shè)備，其請求的 IP 地址和用戶代理信息都會(huì)有所不同。

檢測流量頻率和規(guī)律：掃描流量通常會(huì)呈現(xiàn)出周期性、規(guī)律性的訪問行為，例如連續(xù)大量的 TCP SYN 請求等。而手動(dòng)流量則通常難以呈現(xiàn)出明顯的規(guī)律和周期性。

觀察流量的請求路徑和參數(shù)：掃描流量通常是為了探測系統(tǒng)漏洞和弱點(diǎn)而產(chǎn)生的，它們通常會(huì)對一些已知的 URL 和參數(shù)進(jìn)行大量的嘗試，并使用一些特殊的 HTTP 頭部信息。而手動(dòng)流量則更加多樣化，可能會(huì)包含更豐富的請求路徑和參數(shù)。

分析流量的響應(yīng)狀態(tài)碼和長度：掃描流量通常會(huì)通過檢測返回的狀態(tài)碼和頁面長度等信息來判斷目標(biāo)是否存在漏洞或弱點(diǎn)。手動(dòng)流量則通常會(huì)具有更加正常的響應(yīng)狀態(tài)碼和頁面長度。

總之，通過綜合分析流量來源、訪問規(guī)律、請求路徑和參數(shù)以及響應(yīng)狀態(tài)碼等特征，我們可以比較準(zhǔn)確地區(qū)分掃描流量和手動(dòng)流量，并采取相應(yīng)的防御措施。

Q

如何處理.exe文件？

A

.exe 文件是 Windows 上的可執(zhí)行文件，通常包含應(yīng)用程序或者安裝程序等內(nèi)容。如果您在電子郵件或者網(wǎng)絡(luò)上收到了 .exe 文件，需要格外小心，因?yàn)樗鼈兛赡馨《?、惡意軟件或者其他危險(xiǎn)物品。以下是幾種處理方法：

不要直接運(yùn)行：不要輕易雙擊或者打開未知來源的 .exe 文件，因?yàn)樗鼈兛赡軙?huì)啟動(dòng)惡意軟件，并對您的系統(tǒng)造成損害。如果您必須要運(yùn)行這些 .exe 文件，請先進(jìn)行殺毒軟件掃描和檢測操作。

使用虛擬機(jī)：如果您需要測試某個(gè) .exe 文件的行為和效果，可以考慮使用虛擬機(jī)。虛擬機(jī)可以將一個(gè)完整的操作系統(tǒng)運(yùn)行在一個(gè)軟件容器中，使得用戶可以在其中安全地運(yùn)行可疑的 .exe 文件，并且不會(huì)影響主機(jī)系統(tǒng)的安全性。

上傳到在線掃描服務(wù)平臺：一些在線殺毒軟件平臺，例如 VirusTotal 等，提供了在線掃描可疑文件的服務(wù)。如果您不確定一個(gè) .exe 文件是否安全，可以上傳到這些平臺進(jìn)行掃描，以獲取更多的信息和建議。

將文件發(fā)送給安全專家：如果您無法確定 .exe 文件的安全性，可以將其發(fā)送給安全專家進(jìn)行分析。安全專家可以根據(jù)其行為特征和結(jié)構(gòu)等信息，對該文件進(jìn)行深度分析，以確定是否存在潛在的安全威脅。

總之，在處理未知來源的 .exe 文件時(shí)，需要注意謹(jǐn)慎并采取必要的安全措施，以確保您的系統(tǒng)不會(huì)被攻擊或感染。如果您遇到可疑的 .exe 文件，請務(wù)必進(jìn)行殺毒軟件掃描，并盡可能獲取更多的信息和建議。

Q

普通的加固手段？

A

普通的加固手段包括以下幾種：

更新補(bǔ)丁：定期更新操作系統(tǒng)、應(yīng)用程序的補(bǔ)丁，修復(fù)已知的漏洞和安全問題。

強(qiáng)化口令策略：采用復(fù)雜、難以猜測的密碼，并進(jìn)行定期更換。同時(shí)可以啟用賬戶鎖定、多次失敗嘗試限制等功能，提高口令安全性。

加強(qiáng)身份驗(yàn)證：采用多因素身份驗(yàn)證技術(shù)，例如使用硬件令牌、生物特征等方式，確保只有授權(quán)用戶才能訪問系統(tǒng)。

安裝防病毒軟件：安裝并及時(shí)更新防病毒軟件，定期進(jìn)行全盤掃描和實(shí)時(shí)監(jiān)控，以便及時(shí)發(fā)現(xiàn)和處置潛在的惡意軟件。

關(guān)閉不必要服務(wù)：關(guān)閉系統(tǒng)中不必要的服務(wù)和端口，降低攻擊面，避免被利用。

限制訪問權(quán)限：根據(jù)業(yè)務(wù)需要，設(shè)置合理的訪問權(quán)限，對于未授權(quán)的用戶或者設(shè)備進(jìn)行限制，提高系統(tǒng)的安全性。

數(shù)據(jù)備份與恢復(fù)：定期備份重要數(shù)據(jù)，并將其存儲在安全可靠的位置。在出現(xiàn)故障或事件時(shí)，能夠快速恢復(fù)數(shù)據(jù)，避免數(shù)據(jù)丟失和系統(tǒng)停機(jī)。

總之，以上這些普通的加固手段可以幫助提高系統(tǒng)的安全性和穩(wěn)定性，并且也是網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)的關(guān)鍵步驟。在實(shí)際操作中，需要根據(jù)具體情況和需求，結(jié)合其他安全措施來進(jìn)行綜合加固。同時(shí)需要注意及時(shí)更新和檢查，以確保系統(tǒng)始終處于安全狀態(tài)。

Q

日志及木馬被刪除如何排查？

A

被攻擊后，日志文件和木馬文件被刪除會(huì)給排查工作帶來很大的困難，但還是有一些方法可以嘗試：

查看系統(tǒng)備份：如果您的系統(tǒng)進(jìn)行了定期備份，那么可以嘗試從備份中恢復(fù)丟失的日志文件和木馬文件。如果備份沒有受到攻擊，那么這種方式可能會(huì)非常有效。

恢復(fù)已刪除文件：一些數(shù)據(jù)恢復(fù)軟件，例如Recuva、EaseUS Data Recovery等，可以恢復(fù)已刪除的文件。您可以嘗試使用這些軟件來恢復(fù)被刪除的文件。

檢查其他主機(jī)：如果您的系統(tǒng)被集成到網(wǎng)絡(luò)中，可以檢查其他主機(jī)是否有相同的攻擊跡象和后門程序。對于攻擊者來說，攻擊多臺主機(jī)通常需要更多的時(shí)間和資源，因此在其他主機(jī)上發(fā)現(xiàn)類似的攻擊行為也許能夠提供有用的信息。

分析系統(tǒng)快照：如果您的系統(tǒng)支持系統(tǒng)快照功能，例如 Windows 系統(tǒng)還原點(diǎn)，可以嘗試回滾系統(tǒng)至之前的快照狀態(tài)，并分析該狀態(tài)下的日志信息和系統(tǒng)狀態(tài)，以尋找攻擊行為的證據(jù)。

日志審計(jì)：如果日志文件被刪除，可以嘗試通過其他渠道收集日志信息，并進(jìn)行審計(jì)分析。例如，可以檢查網(wǎng)絡(luò)流量、系統(tǒng)性能、系統(tǒng)進(jìn)程等信息，以確定是否存在異常行為。

總之，在日志文件和木馬文件被刪除的情況下，需要采用其他方法來尋找攻擊跡象和證據(jù)。同時(shí)，為了避免這種情況的發(fā)生，我們應(yīng)該在系統(tǒng)中設(shè)置必要的日志輪轉(zhuǎn)和備份策略，并加強(qiáng)安全防御工作，避免被攻擊者入侵。

Q

安全設(shè)備告警？

A

安全設(shè)備報(bào)警是指安全設(shè)備（例如入侵檢測系統(tǒng)、防火墻、安全加固等）監(jiān)測到的與安全相關(guān)的事件或活動(dòng)達(dá)到了預(yù)先設(shè)定的規(guī)則和閾值，觸發(fā)了警報(bào)通知。以下是一些處理安全設(shè)備報(bào)警的方法：

確認(rèn)警告的真實(shí)性：首先需要確認(rèn)收到的警報(bào)信息是否為真實(shí)的安全事件，需要對日志和其他相關(guān)信息進(jìn)行分析和驗(yàn)證。如果發(fā)現(xiàn)確實(shí)存在安全問題，則需要立即采取適當(dāng)措施。

優(yōu)先級分類：不同類型的安全事件具有不同的嚴(yán)重程度和威脅級別，需要根據(jù)事件的類型、來源等因素進(jìn)行分類和優(yōu)先級排序，并采取相應(yīng)的措施進(jìn)行處理。

制定處理計(jì)劃：根據(jù)事件情況和優(yōu)先級，制定相應(yīng)的處理計(jì)劃和操作流程。這些計(jì)劃可以包括隔離受感染主機(jī)、采取補(bǔ)救措施、收集證據(jù)等方面。

跟蹤事件進(jìn)展：在處理安全事件時(shí)，需要跟蹤事件的進(jìn)展和結(jié)果，并及時(shí)更新相關(guān)記錄和文檔。同時(shí)要保持與相關(guān)人員的溝通和協(xié)調(diào)，以便及時(shí)解決問題。

定期復(fù)查：定期審查和分析系統(tǒng)和設(shè)備的報(bào)警記錄和日志，以及采取的應(yīng)對措施和效果。這可以幫助發(fā)現(xiàn)系統(tǒng)中存在的風(fēng)險(xiǎn)和漏洞，并及時(shí)加以修復(fù)和優(yōu)化。

總之，在處理安全設(shè)備報(bào)警時(shí)，需要快速響應(yīng)、分類優(yōu)先、制定計(jì)劃等步驟，以保障系統(tǒng)的安全性，并且需要持續(xù)地監(jiān)測和優(yōu)化安全防御策略。

Q

日志與流量分析？

A

日志和流量分析是網(wǎng)絡(luò)安全領(lǐng)域中常用的兩種技術(shù)。它們都可以幫助安全人員更好地了解系統(tǒng)的狀態(tài)，檢測和預(yù)防威脅。

日志分析是指對服務(wù)器、應(yīng)用程序等產(chǎn)生的日志進(jìn)行收集、存儲、分析和處理，以便了解系統(tǒng)的運(yùn)行狀況和發(fā)現(xiàn)異常事件。通過對日志數(shù)據(jù)的統(tǒng)計(jì)和分析，可以追蹤用戶活動(dòng)、系統(tǒng)錯(cuò)誤、安全事件等，以及發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和漏洞。比如，通過分析登錄日志可以檢測到惡意登錄嘗試；通過分析訪問日志可以了解網(wǎng)站的被攻擊情況。

流量分析是指對網(wǎng)絡(luò)流量進(jìn)行收集、存儲、分析和處理，以便了解網(wǎng)絡(luò)連接的狀態(tài)，檢測和預(yù)防網(wǎng)絡(luò)攻擊。通過對流量數(shù)據(jù)的統(tǒng)計(jì)和分析，可以追蹤網(wǎng)絡(luò)通信、檢測威脅和漏洞，比如檢測惡意流量、DDoS攻擊等。流量分析通常需要使用專業(yè)的工具和技術(shù)，包括網(wǎng)絡(luò)協(xié)議分析、流量捕獲和分析軟件等。

綜上所述，日志和流量分析是網(wǎng)絡(luò)安全中非常重要的技術(shù)，它們可以幫助安全人員發(fā)現(xiàn)和解決潛在的安全問題，并維護(hù)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行。文章來源地址http://www.zghlxwxcb.cn/news/detail-635808.html

到了這里，關(guān)于2023網(wǎng)絡(luò)安全HW藍(lán)隊(duì)面試題匯總的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！