1.CIA三元组
机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)
2.3389无法连接的几种情况
端口被修改、防护拦截、处于内网(需进行端口转发)
3.多线程和多进程的区别
3.1数据方面:
多进程数据时分开的,共享复杂同步简单;多线程是同步的,共享简单,同步复杂
3.2内存方面:
多进程占用内存多,利用率低;多线程占用内存少,利用率高
3.3创建销毁切换方面:
多进程复杂速度慢;多线程简单快
3.4可靠性方面:
进程间不互相影响;一个线程挂掉导致整个进程挂掉
4.网络安全具体指什么
4.1基础网络安全(按网络区域划分):
网络终端安全:防病毒(网络病毒、邮件病毒)、非法入侵、共享资源控制;
内部局域网(LAN)安全:内部访问控制(包括接入控制)、网络阻塞(网络风暴)、病毒检测;
外网(Internet)安全:非法入侵,病毒检测、流量控制和外网访问控制。
4.2系统安全(系统层次划分):
硬件系统级安全、机房设备监控(视频)、防火监控、电源监控(后备电源)、设备运行监控;
操作系统级安全:系统登录安全、系统资源安全、存储安全和服务安全等;
应用系统级安全:登录控制和操作权限控制等。
4.3数据、应用安全(信息对象划分):
本地数据安全:本地文件安全、本地程序安全;
服务器数据安全:数据库安全、服务器文件安全、服务器应用系统、服务器程序安全。
5.如何判断计算机可能已经中木马
计算机系统运行速度减缓
计算机系统经常无故发生死机
计算机系统中的文件长度发生变化
计算机存储的容量异常减少
系统引导速度减慢
丢失文件或文件损坏
计算机屏幕是上出现异常显示
计算机系统的蜂鸣器出现异常声响
磁盘卷标发生变化
系统不识别硬盘
对存储系统异常访问
键盘输入异常
文件的日期、时间和属性等发生变化
文件无法正确读取、复制或打开
命令执行出现错误
虚假警报
换当前盘。有些病毒会将当前盘切换到C盘
时钟倒转。有些病毒会命名系统时间倒转,逆向计时
Windows操作系统无故频繁出现错误
系统异常重新启动
一些外部设备工作正常
异常要求用户输入密码
Word或Excel提示执行“宏”
6.木马的传播途径主页有哪些
木马主要是依靠邮件、下载等途径进行传播。
木马也可以通过各种脚本进行传播:比如,IE浏览器再执行脚本时存在一些漏洞,
入侵者可以利用这些漏洞进行木马的传播与种植。当目标主机执行了木马的服务端程序之后,入侵者便可以通过客户端程序与目标主机上的服务端建立连接,进而控制主机。
对于通信协议的选择,绝大多数木马使用的是TCP/IP协议,但也有使用UDP协议的木马。所以,做好木马的检测工作可以及时的发现以及处理木马,降低木马所带来的损失。
7.恶意软件的定义
恶意软件-Malicious Software,malware: 把未经授权便干扰破坏计算机系统/网络功能的程序或代码(一组指令)称为恶意程序。
一组指令:可能是二进制文件,也可能是脚本语言/宏语言等。
8.什么是网页挂马
网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候,这段代码执行,然后下载并执行某木马的服务端程序,进而控制浏览者的主机。挂网马的目的,让访问该网页的主机下载木马的服务器端程序,进而控制浏览者的主机。
9.为什么电子邮件病毒会有危险
根据最新报告,电子邮件继续在恶意软件分发生态系统中占主导地位。恶意代码可以作为附件文件查收,也可以通过指向随机在线资源(如Google Drive)的连接进行轮询。
在病毒传播方面,SMTPS流量优于其它协议。此外,病毒不一定是exe文件,它们也可以伪装成用户通常信任的.doc或.pdf文档。
10.远程访问工具的风险是什么
除了未经批准的访问外,还面临一个风险:文件传输。尤其宁人不安的是,在这些会话过程中,大量的流量(GB级数据)来回传输移动。大多数远程访问实用程序具有加密措施,因此无法了解正在下载或上传的内容。总的来说,它是私有数据泄露的主页渠道。
11.mysql的网站注入5.0以上和5.0以下有什么区别
5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名;
5.0以下是单用户操作,5.0以上是多用户操作。
12.网页挂马的类型
12.1框架嵌入式网络挂马
网页木马被攻击者利用iframe语句,加载到任意网页中都可执行的挂马形式,是最早也是最有效的一种挂马技术。在打开插入该句代码的网页后,也就打开了木马页面,但是由于它的长和宽都为0,所以非常具有隐蔽性。
12.2js调用型网页挂马
js挂马是一种利用js脚本文件调用的原理,进行的网页木马隐蔽性挂马技术。如黑客先制作一个js文件,然后利用js代码调用到挂马的页面。
通常代码如下:
http://www.xxx.com/gm.js就是一个js脚本,通过它调用和执行木马的服务端,这些js文件一般都可以通过工具生成,攻击者只需输入相关的选项就可以。
12.3图片伪装挂马
随着防毒技术的发展,黑手段也不停的更新,图片木马技术逃避杀毒监视的新技术,攻击者将类似http://www.xxx.com/test.htm中的木马代码植入到test.gif图片文件中,这些嵌入代码的图片都可以利用工具生成,攻击者只输入相关的选项就可以了。图片木马生成后,再利用代码调用执行,是比较新颖的一种挂马隐藏方法。
12.4网络钓鱼挂马(也称为伪装钓鱼挂马)
网络中最常见的欺骗手段,黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或一个网页,利用社会工程学欺骗方法引诱点击,当用户打开一个看似正常的页面时,网页代码随之运行,隐蔽性极高。
这种方法往往和欺骗用户输入某些个人隐私信息,然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面,引诱输入QQ号和密码。等用户输入完提交后,就把这些信息发送到攻击者指定的地方。
12.5伪装挂马
高级欺骗,黑客利用IE或Fixfox浏览器的设计缺陷制造的一种高级欺骗技术,当用户访问木马页面时地址栏显示www.sina.com或security.ctocio.com.cn等用户信任地址,其实确打开了被挂马的页面,从而实现欺骗。
总结:上述的挂马方式是利用系统的漏洞,并且挂马的代码不用攻击编写,都实现了工具化、傻瓜化。技术门槛较低,因此危害比较大。
13.金融行业常见逻辑漏洞
主要是数据的篡改(涉及金融数据,或部分业务的判断数据),由竞争条件或设计不当引起的薅羊毛,交易/订单信息泄露,水平越权对别人的账号查看或恶意操作,交易或业务步骤绕过。
14.域内横向移动
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种办法,访问域内其它机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境的全部机器。
15.判断出CMS对渗透有什么意义
查找网上已曝光的程序漏洞。如果开源,还能下载对应的源码进行审计。
16.一个成熟且相对安全的CMS,渗透时扫目录的意义
敏感文件、二级目录扫描;网站备份压缩、说明txt、二级目录可能存放着其它站点。
17.WordPress是什么
WordPress是一种使用php语言开发的博客平台,可以把它当做一个内容管理系统(CMS)来使用。
18.Joomla CMS是什么
Joomla是一套全球知名的内容管理系统。Joomla是使用PHP语言加上MySQL数据库开发的软件系统,可以在Linux、Windows、MacOSX等各种不同的平台执行。目前是由Open Source Matters这个开放源码组织进行开发与支持,这个组织的成员来自全世界各地,小组成员约有150人,包含开发者、设计者、系统管理者、文件撰写者,以及超过2万名参与员工。
19.常见的网站服务器容器
IIS、Apache、nginx、Lighttpd、Tomcat。
20.Weblogic后台默认密码
weblogic
21.常见中间件的配置文件路径
apache(/etc/httpd/conf/)
nginx(/etc/nginx)
iis7(C:\\Windows\System32\inetsrv\conf\)
22.ZooKeeper默认端口
2181:对cline端提供服务
3888:选举Leader使用
2888:集群内机器通许使用(Leader监听此端口)
23.ZooKeeper主要的作用
开源的、分布式的应用程序协调服务
24.ZooKeeper未授权访问的检查方法
telnet zookeeper端口,输入envi,回显路径等信息则存在zookeeper未授权访问漏洞。
25.你最常用的渗透工具有哪些,最常用的是哪个?
burp、namp、sqlmap、awvs、蚁剑、dirsearch等。
26.对于云安全的理解
融合了并行处理、网络计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中的木马、恶意程序的最新消息,传送到server端进行自动分析和处理,再把病毒和木马解决方案分发到每一个客户端。
27.如何防护一个端口的安全
利用WAF、IDS、IPS等设备,危险服务端口禁止对外访问或限制IP访问,服务定期更新版本。
28.企业内部安全
实名制联网、重要网段隔离、禁止接入任何USB设备、禁止WIFI网络、IP与MAC地址绑定、部署网络监控和IDS和IPS、定期培训提供员工安全意识。
29.业务上线前怎么测试,从哪些角度测试?
安全测试:寻找产品漏洞、页面漏洞、服务漏洞,敏感信息泄露,逻辑漏洞,若口令测试:压力测试和功能完整性测试。
30.应用有漏洞,但是无法修复和停用怎么办
限制IP白名单,使用WAF、IDS和防火墙设备。
31.常见后门方式
Windows:注册表自启动、shift后门、远控软件、webshell添加管理员、影子用户、定时任务、dll劫持、MBR后门、WAI后门管理员密码记录
Linux:SSH后门、SUID后门、Crontab计划任务、PAM后门、添加管理员账号Rootkit
32.小程序渗透和普通渗透的差异
渗透过程不变,依旧是抓包修改参数渗透;不同点是小程序会将包下载到本地,可以使用逆向还原工具进行反编译。
33.app本身的漏洞四大组件
Activity组件:activity绑定browserable与自定义协议、ActivityManager漏洞
Service组件:
权限提升,拒绝服务攻击
Broadcast Receiver组件:权限管理不当、BroadcastReceiver导出漏洞、动态注册广播组件暴露漏洞
Content Provider组件:读写权限漏洞 Provider文件目录遍历漏洞
34.什么是原子操作
所谓原子操作是指不会被线程调度机制打断的操作;这种操作一旦开始,就一直运行到结束,中间不会有任何context switch(切换到另一个线程)
35.WAF安装位置
如果有防火墙,则安装在防火墙之后,若无则安装在web服务器之前,web服务器和接入网之间串行输入。