计算机闲谈之21年护网行动蓝队面试题目小结

————————————————

1：蓝队护网面试题小结

“

每个人都有彷徨的时候，彷徨并不可怕，可怕的是在彷徨中不做抉择。因为一旦有抉择，就不会再彷徨，就会按照既定的方向去行事。”

1：护网的分组和流程？

答：护网的分组是在领导小组之下分为防护检测 组，综合研判组，应急溯源组。流程大致分为备战，临战，决战三个阶段。

  备战阶段主要任务是进行两方面的操作，一是减少攻击面，即资产梳理，减少暴露面；二是排查风险点，，即通过漏洞扫描，渗透测试，弱口令等进行自查。

  临战阶段主要任务也大致可以分为两个部分，一是进行内部演练，发现疏忽处并进行相应整改；二是可以适当增加安全设备，比如WAF，IPS，IDS，SOC，堡垒机等。

  决战阶段，作为新人小白（本人），主要就是坚守岗位，有应急日志就看自己能不能解决，不能就上报，服从上级安排，优化防护，持续整改。

2：应急响应的简单流程？

答：应急响应的流程可分为：

  收集信息：由安全设备收集主机，样本信息，以及一些客户信息。

  判断类型：是否是安全事件？具体为什么安全事件？挖矿？DOS？等。

  深入分析：从系统角度深入分析，日志，进程，启动项这些去分析。

  清理处置：杀掉异常进程，删除异常文件，打补丁或者修复相关文件等。

  产出报告：对此次安全事件进行一个完整的文档描述。

3：常见安全工具？扫描端口工具？护网设备？

答：端口及漏洞扫描：namp，nessus。

    抓包：wireshark，burpsuite。

    Web自动化安全扫描：awvs，appsan。

    护网设备：下一代应用防火墙，上网行为管理，日志审计系统。

4：sftp，telnet，ssh的端口号？ssh与telnet的区别？

  答：sftp：22，telnet：23，ssh：22。简单来说，ssh和telnet的区别就是一个是密文传输，一个是明文传输。

5：网络协议的定义？

  答：网络协议是为计算机网络中进行数据交换而建立的规则，标准或约定的集合。（举例：http,https,dhcp,smtp,ftp,telnet,snmp,arp,dns……）

6：渗透测试的定义？

  答：渗透测试是通过模拟黑客的攻击方法，从而评估计算机网络系统安全的一种手段。简单的思路就是信息收集，攻击测试，提升权限，做自己想做的事（获得敏感信息，进行非法操作等）。

7：SQL注入原理及防护？

  答：原理：攻击者将恶意的SQL语句插入到前端的输入参数中，且后台SQL引擎执行了恶意的SQL语句，形成了SQL注入。（这里引用一下《web安全深度剖析》里的一句话—“有输入的地方就有漏洞！！！”）

    防护：简单来说就有过滤恶意字符呀，前端输入参数长度限制呀，数据库语言的预编译呀等。

    延伸：手工注入的话要先看页面是否存在注入点，存在的话可以通过爆字段或者爆库，爆表等；当然，如果是Mysql数据库5.0以上版本的话，就可以通过Information_Schema这个默认的库干一些坏事，也了解一些SQL注入的分类，比如布尔注入，时间盲注，手段联合查询呀，函数错误注入呀等；工具注入的话，可以用sqlmap就行。

8：XSS攻击原理及防护？

  答：XSS攻击简单来说就是浏览器执行了用户输入的JS代码，其防护手段和SQL类似，也是过滤危险字符，输入长度限制，还有HTML实体编码等。

9：反序列化的基本含义？

  答：首先了解一下序列化和反序列化的含义：序列化是指Java对象转化为二进制内容，转换的原因就是为了便于网络传输和本地存储。反序列化的含义是将相应的二进制转换为Java对象。

  漏洞成因：当输入的反序列化的数据可以被用户控制，那么攻击者就可通过构造恶意输入，让反序列产生非预期对象，同时执行构造的恶意代码。

10：一些常见端口及其对应的服务？

11：文件上传漏洞的原理及防护？

  答：文件上传是当网页可以上传文件是可能存在的漏洞，比如上传文本文件，图片之类的。攻击者可以通过上传一些脚本文件（php一句话木马，大马等）来获取webshell，同时，这种漏洞常出现在CMS，Wordpress等第三方框架中。

    防护：常见的防护措施比如文件类型可以通过白名单或者黑名单进行判断呀，当文件上传后对文件进行重命名呀，限制上传文件大小呀等。

12：文件包含漏洞的原理和防护？

  答：文件包含是指在程序编写过程中，为了减少重复的代码编写操作，将重复的代码采取从外部引入的方式，但如果包含被攻击者所控制，就可以通过包含精心构造的脚本文件来获取控制权，一般分为本地包含和远程包含，常出现在php等脚本语言中，包含命令主要有include,include_once,require,require_once。

    防护：一般的防护手段包括对文件进行敏感内容查找或者限制文件类型等。

13：web应用漏洞的原理？

  答：web应用漏洞的原理是攻击者利用浏览器或攻击工具，在url或其他输入区域（如表单），向web服务器发送特殊要求，从而发现web应用程序存在的漏洞，从而操作或控制网站，查看或修改敏感信息。

  建议修复方式一般是过滤特殊字符+正则表达式+严谨的开发代码+正确的配置管理。主要方式包括XSS,SSRF,CSRF,SQL注入，XXE,文件上传，文件包含，暴力破解，反序列化等。

14：什么是越权？分类？

  答：越权的本质是失效的访问控制，即未对通过身份验证的用户实施恰当的访问控制。

一般分为水平越权和垂直越权，简单来说水平越权就是可以不经过验证操作其它同等权限的账号，而垂直越权一般是指可以不经过验证操作就可以操作权限更大的账号。

15：应急响应的排查思路？

答：

   （1）：检查服务器的账号安全：可以通过更换密码的频率或者处理不常用的账号进行。

   （2）：检查异常进程和端口：可以通过linux的 ps aux | grep “xxx” 或者 netstat -tanlp，windows的 netstat -ano 进行。

   （3）：检查系统的日志，启动项，计划任务排程和服务：windows的 services.msc ，linux的 crontab -l。

    (4)：检查系统的基础信息：版本，补丁，ip地址呀，黑白名单呀。

   （5）：可疑路径：web服务的文件上传路径，可以使用D盾对网站目录进行扫描。

   （6）：流量分型：可以通过抓包工具进行流量分析。

16：遇到.exe文件如何处理？

  答：首先看它的来源和去向，然后可以下载但不运行，放入微步沙箱中，看是否有后门，若有后门，就用IDA反汇编得到恶意攻击者的有用信息，再进一步描绘出攻击者画像。

17：session和cookie的区别？

  答：

     a：存储位置不一样，cookie加sessionID在浏览器，session在服务器。

     b:存储的数据类型不一样，虽然都是key-value存储，但cookie的value只能为字符串，而session的value可以是object类型。

     c:存储数据的大小限制不同，cookie一般在4k左右，session的大小受缓存，内存的限制。

     d：生存周期不同，cookie随计时器，浏览器的关闭而消亡，session在server端计时消亡。

18：GET，POST的区别？

  答：

      a:发送数据的位置不一样，一个在url中，一个在请求体中。

      b:发送数据的大小不一样，get有限制，而post没有。

      c:GET请求发送一次，POST请求发送两次。

      d:GET会被浏览器进行主动缓存，而POST不会。

19：Mysql5.0数据库以上版本爆数据常用手段？

  答：首先可通过information-schema库的tables表和columns表获得表名和字段名的信息，常用的查询字段名包括table-schema，table-name，columns-name；或者是用outfile，dumpfile，loud_file直接读文件。

20：普通的加固手段？

  答：关闭不常用的端口和服务；开启防火墙，不允许外部USB设备的插入；数据库不允许匿名登陆等，漏洞扫描修复，修改一些中间件或系统的配置文件。

21：简单的数据库提权？

  答：SQL Server：启用xp_cmdshell进行用户的生成与加入到管理员中。

      Mysql的话，就通过一些udf（自定义函数）进行。

22：简述部分OWASP top10？

  答：

   （1）：注入漏洞，可分为sql注入和命令注入，命令注入采用系统命令注入，常用函数为exec（），shell_exec（），system（）。

   （2）：失效的身份认证：是指身份验证没有哈希或加密，或者会话ID等敏感信息暴露，存在身份冒充等危险。

   （3）：敏感信息泄露：包括但不限于报错信息，url目录遍历，后台登陆地址等。

   （4）：使用含有已知漏洞的组件：修复方法就是更新。

   （5）：xss，跨站脚本，前面已经介绍过了。

   （6）：xxe：是xml外部实体注入，当允许引用外部实体时，通过构造恶意内容，就可以导致任意文件读取，系统命令执行，内部端口探测等危害。

23：redis未授权的条件，修复方式？

  答：redis（6379端口）是基于c语言开发的分布式，key-value键值对数据库，常与Memcached（11211端口），延伸一下redis与memcached的区别：redis支持的存储类型更多，redis是单线程应用，垃圾回收机制比memcached完善。

  redis的功能是可以实现session，cookie缓存功能；进行键值对的存储；可以构建集群化服务—redis哨兵模式。导致未授权的条件是ip绑定为0.0.0.0，同时它没有开启密码认证，修复方式是开启密码认证，ip绑定为127.0.0.1，加上使用防火墙对redis服务访问进行访问控制。

  未授权危害是无需认证，得到敏感数据，如果web服务器和缓存服务器在一起，还可以通过上传一句话大小马到指定位置下，获取web权限，也可以通过在 root/.ssh/authorized_key 下写公钥，进行免密登陆。

24：csrf原理及修复？

  答：原理：跨站请求伪造是攻击装通过用户的浏览器来注入额外的网络请求，控制浏览器发送攻击者精心构造的恶意请求。

    修复：

          a：验证http头的referer：仅响应referer头带本域的请求。

          b：请求地址中添加token验证。

          c：使用localstorage和sessionstorage保存会话。

25：ssrf原理和修复？

  答：原理：服务器端请求伪造是一种由攻击者构造形成的由服务器发起请求的一个安全漏洞，就是接受了客户端输入的url，然后服务器端拿着你的url去进行攻击，请求并将结果返给你。当目标无法从外网访问时的内部系统常采用ssrf攻击。

    修复：可以通过url白名单或限制内网ip呀，过滤返回信息呀，统一错误信息呀等进行防护。

26：溯源的常见手法？

  答：首先可以通过安全设备查到攻击ip，然后通过相关网站反查手机号和邮箱，之后可以通过社交软件或购物平台描绘出攻击者画像。

     常用反查网站有ipwhois.cnnic,ip.tool.chinaz,chaipip.com等。