五.网络安全基础（面试）

1.CIA三元组

机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）

2.3389无法连接的几种情况

端口被修改、防护拦截、处于内网（需进行端口转发）

3.多线程和多进程的区别

3.1数据方面：

多进程数据时分开的，共享复杂同步简单；多线程是同步的，共享简单，同步复杂

3.2内存方面：

多进程占用内存多，利用率低；多线程占用内存少，利用率高

3.3创建销毁切换方面：

多进程复杂速度慢；多线程简单快

3.4可靠性方面：

进程间不互相影响；一个线程挂掉导致整个进程挂掉

4.网络安全具体指什么

4.1基础网络安全（按网络区域划分）：

网络终端安全：防病毒（网络病毒、邮件病毒）、非法入侵、共享资源控制；

内部局域网（LAN）安全：内部访问控制（包括接入控制）、网络阻塞（网络风暴）、病毒检测；

外网（Internet）安全：非法入侵，病毒检测、流量控制和外网访问控制。

4.2系统安全（系统层次划分）：

硬件系统级安全、机房设备监控（视频）、防火监控、电源监控（后备电源）、设备运行监控；

操作系统级安全：系统登录安全、系统资源安全、存储安全和服务安全等；

应用系统级安全：登录控制和操作权限控制等。

4.3数据、应用安全（信息对象划分）：

本地数据安全：本地文件安全、本地程序安全；

服务器数据安全：数据库安全、服务器文件安全、服务器应用系统、服务器程序安全。

5.如何判断计算机可能已经中木马

计算机系统运行速度减缓

计算机系统经常无故发生死机

计算机系统中的文件长度发生变化

计算机存储的容量异常减少

系统引导速度减慢

丢失文件或文件损坏

计算机屏幕是上出现异常显示

计算机系统的蜂鸣器出现异常声响

磁盘卷标发生变化

系统不识别硬盘

对存储系统异常访问

键盘输入异常

文件的日期、时间和属性等发生变化

文件无法正确读取、复制或打开

命令执行出现错误

虚假警报

换当前盘。有些病毒会将当前盘切换到C盘

时钟倒转。有些病毒会命名系统时间倒转，逆向计时

Windows操作系统无故频繁出现错误

系统异常重新启动

一些外部设备工作正常

异常要求用户输入密码

Word或Excel提示执行“宏”

6.木马的传播途径主页有哪些

木马主要是依靠邮件、下载等途径进行传播。

木马也可以通过各种脚本进行传播：比如，IE浏览器再执行脚本时存在一些漏洞，

入侵者可以利用这些漏洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后，入侵者便可以通过客户端程序与目标主机上的服务端建立连接，进而控制主机。

对于通信协议的选择，绝大多数木马使用的是TCP/IP协议，但也有使用UDP协议的木马。所以，做好木马的检测工作可以及时的发现以及处理木马，降低木马所带来的损失。

7.恶意软件的定义

恶意软件-Malicious Software,malware: 把未经授权便干扰破坏计算机系统/网络功能的程序或代码（一组指令）称为恶意程序。

一组指令：可能是二进制文件，也可能是脚本语言/宏语言等。

8.什么是网页挂马

网页挂马就是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码执行，然后下载并执行某木马的服务端程序，进而控制浏览者的主机。挂网马的目的，让访问该网页的主机下载木马的服务器端程序，进而控制浏览者的主机。

9.为什么电子邮件病毒会有危险

根据最新报告，电子邮件继续在恶意软件分发生态系统中占主导地位。恶意代码可以作为附件文件查收，也可以通过指向随机在线资源（如Google Drive）的连接进行轮询。

在病毒传播方面，SMTPS流量优于其它协议。此外，病毒不一定是exe文件，它们也可以伪装成用户通常信任的.doc或.pdf文档。

10.远程访问工具的风险是什么

除了未经批准的访问外，还面临一个风险：文件传输。尤其宁人不安的是，在这些会话过程中，大量的流量（GB级数据）来回传输移动。大多数远程访问实用程序具有加密措施，因此无法了解正在下载或上传的内容。总的来说，它是私有数据泄露的主页渠道。

11.mysql的网站注入5.0以上和5.0以下有什么区别

5.0以下没有information_schema这个系统表，无法列表名等，只能暴力跑表名；

5.0以下是单用户操作，5.0以上是多用户操作。

12.网页挂马的类型

12.1框架嵌入式网络挂马

网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的一种挂马技术。在打开插入该句代码的网页后，也就打开了木马页面，但是由于它的长和宽都为0，所以非常具有隐蔽性。

12.2js调用型网页挂马

js挂马是一种利用js脚本文件调用的原理，进行的网页木马隐蔽性挂马技术。如黑客先制作一个js文件，然后利用js代码调用到挂马的页面。

通常代码如下：

http://www.xxx.com/gm.js就是一个js脚本，通过它调用和执行木马的服务端，这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以。

12.3图片伪装挂马

随着防毒技术的发展，黑手段也不停的更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中，这些嵌入代码的图片都可以利用工具生成，攻击者只输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐藏方法。

12.4网络钓鱼挂马（也称为伪装钓鱼挂马）

网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或一个网页，利用社会工程学欺骗方法引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。

这种方法往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ号和密码。等用户输入完提交后，就把这些信息发送到攻击者指定的地方。

12.5伪装挂马

高级欺骗，黑客利用IE或Fixfox浏览器的设计缺陷制造的一种高级欺骗技术，当用户访问木马页面时地址栏显示www.sina.com或security.ctocio.com.cn等用户信任地址，其实确打开了被挂马的页面，从而实现欺骗。

总结：上述的挂马方式是利用系统的漏洞，并且挂马的代码不用攻击编写，都实现了工具化、傻瓜化。技术门槛较低，因此危害比较大。

13.金融行业常见逻辑漏洞

主要是数据的篡改（涉及金融数据，或部分业务的判断数据），由竞争条件或设计不当引起的薅羊毛，交易/订单信息泄露，水平越权对别人的账号查看或恶意操作，交易或业务步骤绕过。

14.域内横向移动

在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种办法，访问域内其它机器，进一步扩大资产范围。通过此类手段，攻击者最终可能获得域控制器的访问权限，甚至完全控制基于Windows操作系统的整个内网环境，控制域环境的全部机器。

15.判断出CMS对渗透有什么意义

查找网上已曝光的程序漏洞。如果开源，还能下载对应的源码进行审计。

16.一个成熟且相对安全的CMS，渗透时扫目录的意义

敏感文件、二级目录扫描；网站备份压缩、说明txt、二级目录可能存放着其它站点。

17.WordPress是什么

WordPress是一种使用php语言开发的博客平台，可以把它当做一个内容管理系统（CMS）来使用。

18.Joomla CMS是什么

Joomla是一套全球知名的内容管理系统。Joomla是使用PHP语言加上MySQL数据库开发的软件系统，可以在Linux、Windows、MacOSX等各种不同的平台执行。目前是由Open Source Matters这个开放源码组织进行开发与支持，这个组织的成员来自全世界各地，小组成员约有150人，包含开发者、设计者、系统管理者、文件撰写者，以及超过2万名参与员工。

19.常见的网站服务器容器

IIS、Apache、nginx、Lighttpd、Tomcat。

20.Weblogic后台默认密码

weblogic

21.常见中间件的配置文件路径

apache(/etc/httpd/conf/)

nginx(/etc/nginx)

iis7(C:\\Windows\System32\inetsrv\conf\)

22.ZooKeeper默认端口

2181：对cline端提供服务

3888：选举Leader使用

2888：集群内机器通许使用（Leader监听此端口）

23.ZooKeeper主要的作用

开源的、分布式的应用程序协调服务

24.ZooKeeper未授权访问的检查方法

telnet zookeeper端口，输入envi，回显路径等信息则存在zookeeper未授权访问漏洞。

25.你最常用的渗透工具有哪些，最常用的是哪个？

burp、namp、sqlmap、awvs、蚁剑、dirsearch等。

26.对于云安全的理解

融合了并行处理、网络计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中的木马、恶意程序的最新消息，传送到server端进行自动分析和处理，再把病毒和木马解决方案分发到每一个客户端。

27.如何防护一个端口的安全

利用WAF、IDS、IPS等设备，危险服务端口禁止对外访问或限制IP访问，服务定期更新版本。

28.企业内部安全

实名制联网、重要网段隔离、禁止接入任何USB设备、禁止WIFI网络、IP与MAC地址绑定、部署网络监控和IDS和IPS、定期培训提供员工安全意识。

29.业务上线前怎么测试，从哪些角度测试？

安全测试：寻找产品漏洞、页面漏洞、服务漏洞，敏感信息泄露，逻辑漏洞，若口令测试：压力测试和功能完整性测试。

30.应用有漏洞，但是无法修复和停用怎么办

限制IP白名单，使用WAF、IDS和防火墙设备。

31.常见后门方式

Windows:注册表自启动、shift后门、远控软件、webshell添加管理员、影子用户、定时任务、dll劫持、MBR后门、WAI后门管理员密码记录

Linux:SSH后门、SUID后门、Crontab计划任务、PAM后门、添加管理员账号Rootkit

32.小程序渗透和普通渗透的差异

渗透过程不变，依旧是抓包修改参数渗透；不同点是小程序会将包下载到本地，可以使用逆向还原工具进行反编译。

33.app本身的漏洞四大组件

Activity组件：activity绑定browserable与自定义协议、ActivityManager漏洞

Service组件：

权限提升，拒绝服务攻击

Broadcast Receiver组件：权限管理不当、BroadcastReceiver导出漏洞、动态注册广播组件暴露漏洞

Content Provider组件：读写权限漏洞 Provider文件目录遍历漏洞

34.什么是原子操作

所谓原子操作是指不会被线程调度机制打断的操作；这种操作一旦开始，就一直运行到结束，中间不会有任何context switch（切换到另一个线程）

35.WAF安装位置

如果有防火墙，则安装在防火墙之后，若无则安装在web服务器之前，web服务器和接入网之间串行输入。