护网常见面试题
-
渗透流程
1、信息收集:域名、IP资产、端口、指纹识别、股权结构、公众号、小程序、app
2、漏洞扫描:主机扫描、web扫描、端口扫描、目录扫描
3、漏洞复现:漏洞验证、编写报告 -
信息收集如何处理子域名爆破的泛解析问题
泛解析通常表现为所有不存在的子域名都解析到同一IP。比较不同子域名的DNS相应,若响应一致,可能存在泛解析。
1、过滤无效结果:将已知泛解析的IP加入黑名单,排除这些子域名
2、通过DNS记录查询、通过证书透明度日志获取有效子域名、搜索引擎查找
3、调整爆破策略、降低查询频率、优化字典 -
phpinfo你会关注哪些信息
1、PHP版本信息
2、查看操作系统是windows还是Linux
3、php.ini配置文件位置
4、支持的文件流
5、绝对路径(_SERVER[“SCRIPT_FILENAME”]) -
绕过CDN寻找真实IP
1、DNS历史解析记录
2、查找子域名:子域名可能没有加入CDN,并且跟主站在同一C段。(搜索引擎、在线查询工具、子域名爆破)
3、网站邮件头信息:邮箱注册,邮箱密码找回、RSS邮件订阅功能、通过网站给自己发邮件,让目标主动暴露真实IP
4、网络空间搜索引擎,找到被收录的IP
5、利用SSL证书寻找真实IP。SSL/TLS证书通常包含域名、子域名和电子邮件地址。
6、国外主机解析域名。大部分CDN厂商只做国内路线使用国外的DNS查询
7、扫描全网。通过工具对整个互联网进行扫描
8、配置不当导致绕过。站点支持http和https访问,CDN只有https协议,访问HTTP就可以轻易绕过 -
如何进行系统加固
1、账号安全:windows:不显示上一次登录的用户名,防止弱口令爆破;设置账户锁定策略,限制登录行为次数
Linux:禁用root之外的超级用户;限制普通用户使用sudo提权,或者限制提权的权限大小;锁定系统中多余的自创建账号;设置登录锁定次数
2、口令安全:密码设置为强密码;
3、服务器与端口收敛:关闭或者限制常见的高危端口、排查计划任务
4、文件权限管理:
5、设备与网络控制:在涉密计算机禁止访问外网,为了避免用户绕过策略;可以禁止用户修改IP。删除默认路由设备,避免利用默认路由探测网络。禁止使用USB设备如U盘。禁止PING命令,即禁止ICMP协议访问,不让外部PING通服务器。 -
如何区分扫描流量和手动流量
扫描流量:数量大、频率快、有规律、持久性。较多的UDP端口扫描或者HTTP HEAD目录扫描。 -
如何判断是SQL注入攻击
1、攻击方式识别:观察告警字段、常见的单引号、分号、union ALL等
2、异常输入尝试:攻击语句,返回异常语句
3、观察返回数据库的错误信息或错误代码
4、同一IP地址或者用户短时间内进行大量尝试
5、分析日志和数据库服务器的日志。 -
资产收集侧重点
1、域名信息收集:whios信息、备案信息查询
2、敏感信息收集:浏览器空间检索、敏感目录、文件收集
3、子域名收集、API接口收集、HTTPS证书、DNS枚举
4、旁站及C段收集、端口探测、主站提取、移动端、行业系统、公众号、小程序、APP
5、CMS指纹识别、找到真实IP地址、操作系统识别、资产架构
6、社会工学 -
暴露面、攻击面、脆弱面
暴露面是指在网络中可被外部访问到的部分。这些部分通常是组织向外部开放的资源,如公开的IP地址、网络服务和API接口
攻击面是指一个系统中所有潜在的攻击入口,包括网络、应用程序和用户接口等。不仅包括暴露面还包括内部网络和用户行为带来的风险。
脆弱面是指系统中存在的安全漏洞或弱点,可以源于软件缺陷、配置错误和不当用户攻击行为。 -
挖矿病毒的特征、识别方式及处理方式
挖矿病毒的典型特征是会长时间占用大量的CPU资源。
处理方式:1、任务管理器查看CPU占用情况(Linux用top命令与ps命令),找出CPU长时间占用过高的进程
2、查到进程名称,定位进程所在的位置,收集到相关信息,kill查杀。
3、分析安全日志、历史命令等,查找木马来源、运行时间、账户等;
4、检查计划任务、自启动服务、开机启动项等是否存在异常任务;
5、检查登记记录、隐藏账户、SSH认证等是否异常、防止木马留下后门;
6、检查防火墙、杀毒软件是否被篡改配置、信任指定端口、加入白名单或开始静默模式;对服务器进行查杀。 -
发现WebShell如何处置
1、关闭网站、下线服务。有必要的话将服务器断网隔离,如果有条件,第一步尽量先对服务器进行快照,保留案发现场
2、记录webshell的创建时间、修改时间、最近访问时间等信息,确定被入侵的大致时间
3、查看webshell源码,收集webshell的连接方式等,排查此时间
4、D盾、河马等查杀工具对网站目录进行排查查杀。删除webshell,必要时可以对其中的代码进行备份留存。
5、尝试复现漏洞。梳理攻击过程,并对其进行修复,加强安全策略,如定期备份网站配置文件,及时安装补丁,定期更新组件以及安全防护软件。
6、对系统进行全面检查,如是否被写入其他webshell(可借助D盾扫描工具)、可疑文件、克隆用户、计划任务等 -
大批量钓鱼邮件且中招,如何应急
1、发送全员紧急预警,提醒切勿继续中招。必要时隔离网络,防止钓鱼邮件继续扩散。
2、提醒已中招用户及时修改密码等敏感信息,全盘杀毒,协助排查客户个人电脑中的文件,如有木马、勒索程序、后门立即清除。
3、从发送者邮箱、钓鱼邮件源码入手,收集发送者相关个人信息与钓鱼数据最终前往的目的服务器;信息收集、社工、IP反查、域名备案管理等手段查询目的站相关信息
4、端口、子域名、目录扫描等手段对目标服务器进行渗透 -
企业互联网暴露面有哪些
1、运营单位拥有的或控制的域名、IP、网站、代码框架、应用系统、公众号、小程序、源代码、数据资产等。可已进行入侵的系统、设备、信息等都属于暴露面。
2、遗忘或者关注度少的资产,缺少相应监测手段,容易出现注入、代码问题、跨站脚本、配置错误、远程代码执行等漏洞风险。
3、企业敏感端口风险,由于资产云化、边界不受控制、流程管理问题、安全意识差是导致敏感端口大门向外开发的主要原因,敏感端口暴露主要有22、21、3389、3306、23
4、系统源码-开源、权限、url、PID、COOK
5、网盘和文库数据泄露主要渠道。内部数据外泄,也是攻击者重点关注,尤其是高敏感数据和文档。
6、暗网数据暴漏。 -
减少暴露面
1、对未知IT资产进行梳理,减少风险暴露面:梳理违规搭建、非法在运、过期退运、临时发布的系统,以及访问控制不当而泄露的内网管理系统与开发测试环境系统,提升网络攻击的难度并缩小防御面。
2、及时发现异常行为,并进行应急处置:
-
Linux中Apche日志文件在哪?
/var/log/apche2/access.log -
Linux如何实现权限维持?
- suid后门
- 计划任务后门
- cat命令缺陷后门
-
windows如何实现权限维持?
1、定时任务:schtasks命令创建定时任务
2、创建隐蔽账号
3、进程迁移
4、启动目录
5、注册服务自启(报毒)
6、修改注册表实现自启动
7、计划任务后门:计算机管理-系统工具-计划任务程序 -
XFF字段原理(显示真实IP地址)
X-Forwarded-For(XFF)是一个HTTP头部字段,主要用于跟踪请求从客户端到服务器的传递路径,主要在HTTP请求被代理或者负载均衡时使用。
XFF字段可以被代理服务器添加到请求中,以记录原始请求的IP地址。如果有多个代理,XFF可以包含一个或多个IP地址,列表中每个IP地址代表一个中间代理。
X-Forwarded-For: client1, proxy1, proxy2
client1:真正发起请求的客户端IP地址,proxy1、proxy2是中间经过的代理服务器地址。 -
XFF注入如何利用?
攻击者通过修改XFF标头字段来伪造IP地址,使服务器误以为请求来自另一个客户端。攻击者根据该IP地址执行授权、身份验证或其他与安全相关的操作:
1、伪造请求:攻击者使用其他用户的IP地址发送请求,绕过访问控制或执行操作,导致未授权访问或数据泄露
2、资源耗尽:通过伪造大量不同的IP地址,攻击者可以使服务器超负荷,导致服务器不可用。
3、用户追踪:在用户会话之间伪造不同的IP地址,泄露隐私。 -
DNS劫持
1、本地DNS劫持攻击:通过用户植入恶意的软件然后修改本地的DNS设置,通过这样的手段让用户访问被重定向,让正常访问变成访问到恶意网站
2、路由器DNS劫持攻击:路由器是固定设置,攻击者通过漏洞来攻击所有链接的用户;也可以通过密码来接管路由器
3、流氓DNS服务器:攻击会通过控制的DNS服务器,将DNS重定向到恶意站点,用户使用或被篡改成DNS服务器时,就会访问到恶意站点。 -
DNS外带劫持
攻击者将数据嵌入到DNS查询中,将嵌入数据的DNS查询发送到一个能够捕获查询的服务器平台,服务器捕获查询后,解析查询获取嵌入的数据,从而实现数据传输或执行远程命令。 -
CS流量特征
1、心跳包特征:间隔一定时间,均有通信,且流级上的上下行数据长度固定
2、域名/IP特征:
1.不走CDN、域前置的、域名及IP暴露
2.走CDN、域前置的,真实IP会被隐藏
3、指令特诊:
1、下发指令时,通过心跳包接受指令,server端返回的数据包更长,甚至包含要加载的DII模块数据。
2、指令执行完,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码
3、不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔时间进行判断。
4、数据特征:在请求的返回包中,通信数据均隐藏在jqeury*.js中。 -
入侵检测系统IDS
入侵检测系统是一种监控系统,检测可疑活动并在检测到活动时生成告警,是一种软件应用程序(软件与硬件组合系统),用于扫描网络或系统中的有害活动或违反政策的行为。
对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果来保证系统资源的安全。
防火墙针对的时非授权的流量过滤(被动防御),IDS时针对通过了防火墙的流量进行检测(主动出击寻找潜在的攻击者)主要负责检测告警。
本文作者:予遂计划
本文链接:https://www.cnblogs.com/ysjh/p/18662438
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步