网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
2025年渗透测试面试题总结-拷打题库15
如何实现页面篡改感知? 如何实现页面挂马感知? 如何确保上线的拦截规则不出现误拦截? 如何识别公共和私有接口? 如何识别机器行为请求? 如何感知越权风险? 如何识别攻击请求是定点攻击还是随机扫描? 专家检验无法覆盖的风险如何检测? 有哪些类型应用层风险是无法在流量层较好感知的? 如何识别客户端的系统真实类型? 接到客户投诉,其收到诈骗电话,骗子能准确说出他在我们平台购买的商品名称、订单号、收获地址和时间信息,请问如何排查该信息泄漏途径? 内网论坛的截图的内容突然出现在了外部新闻网站,有多少种溯源方式? 内网某台没有公网地址的服务器突然CPU异常标高,经排查发现是因为cat了某个大文件导致的,但服务器相关人员都说没有操作过,请问如何溯源出谁操作的? 企业会面临哪些外部风险? 有哪些可以收集的情报渠道? 如何快速筛选出最新的CVE对我们是否有实际影响? 爬取暗网内容是否违法? 如何准确识别Telgram群里和我们公司相关的情报? SaaS类情报产品的联防联控机制的缺点是什么? 给定一个网站,如何自动化识别其是否钓鱼网站? 如何识别仿冒APP? 如何识别一个没有登陆的用户的真实身份? 如何找出对我们业务实施网络攻击的黑客真实身份? 国内和国外攻击特点有什么区别? 安全心智的目标是什么? 如何系统性提升员工安全意识? 如何做到针对性的安全意识提升? 如何衡量员工安全意识? 什么是安全责任制?如何落地安全责任制? 数字水印的类型和应用领域?一、页面篡改与挂马感知
1. 页面篡改感知
- 技术实现:
- 哈希校验:定期对页面静态资源(HTML/CSS/JS)计算哈希值(如SHA-256),与基线对比,触发告警。
- DOM监控:通过浏览器扩展或服务端渲染(SSR)检测DOM元素异常(如未授权的广告插入)。
- WAF联动:配置规则拦截
<script>标签注入、iframe嵌套等篡改行为。- 工具:OSSEC(文件完整性监控)、Sucuri(网站防火墙)。
2. 页面挂马感知
- 检测方法:
- 沙箱动态分析:将页面加载至无头浏览器(Headless Chrome),捕获异常请求(如C2通信)。
- 恶意特征匹配:扫描JS代码中的可疑函数(如
eval()、document.write)或外部域名(如.xyz)。- 流量行为分析:监控页面请求的User-Agent、Referer异常(如来自Tor节点)。
二、拦截规则精准性与接口分类
3. 避免误拦截
- 策略:
- 灰度发布:新规则在10%流量中试运行,分析误报日志。
- 白名单机制:对业务关键路径(如支付接口)设置豁免规则。
- 机器学习优化:基于历史数据训练模型,动态调整规则阈值(如频繁触发的合法参数)。
4. 识别公共/私有接口
- 区分方法:
特征 公共接口 私有接口 认证 基础API Key或OAuth 2.0 JWT Token或IP白名单 文档可见性 开放Swagger/OpenAPI 内部Wiki或Confluence 流量来源 多地域IP访问 仅内网或特定VPC IP段
三、威胁行为与风险检测
5. 识别机器行为
- 检测手段:
- 行为画像:统计鼠标轨迹、点击间隔(人类操作存在随机延迟)。
- 设备指纹:结合浏览器Canvas指纹、GPU型号识别虚拟机。
- 挑战机制:高频访问触发验证码(如Google reCAPTCHA v4)。
6. 感知越权风险
- 方案:
- 权限基线建模:基于RBAC模型,记录用户历史操作(如普通用户从未访问
/admin)。- 实时上下文校验:请求参数与用户身份绑定(如订单ID需匹配当前Session用户)。
7. 攻击类型判别
- 定点攻击 vs 随机扫描:
特征 定点攻击 随机扫描 目标范围 特定URL或参数(如 /api/vip)广撒网(如遍历 /wp-admin)Payload特征 定制化(利用已知漏洞) 通用(如SQL注入字典库)
四、隐蔽风险与溯源技术
8. 专家未覆盖的风险检测
- 方法:
- 威胁狩猎(Threat Hunting):基于ATT&CK框架主动搜索异常(如异常进程链)。
- 无监督学习:聚类分析日志,发现未知攻击模式(如K-means检测异常登录时段)。
9. 流量层无法感知的应用风险
- 类型:
- 业务逻辑漏洞:如优惠券无限领取(需结合业务规则校验)。
- 权限滥用:合法用户越权操作(需会话上下文分析)。
- 数据泄露:加密通道内敏感信息泄露(需应用日志审计)。
五、客户端与攻击溯源
10. 客户端系统识别
- 技术:
- User-Agent解析:提取操作系统版本(如
Windows NT 10.0)。- TCP指纹识别:通过TCP窗口大小、TTL值判断设备类型(如Nmap的
-O参数)。11. 信息泄漏排查
- 步骤:
- 日志审计:检查订单相关接口的访问记录(如数据库查询日志)。
- 权限复核:确认客服/第三方是否有数据导出权限。
- 第三方监控:扫描GitHub/暗网是否泄露数据(如使用SpyCloud)。
12. 内网截图泄露溯源
- 方法:
- 数字水印:检查截图中的隐形水印(如用户ID+时间戳)。
- 访问日志:定位论坛文件访问记录(如Nginx日志中的
/download/secret.png)。13. 服务器异常操作溯源
- 手段:
- 审计日志:检查
auditd日志的execve事件(记录命令执行)。- 进程监控:分析
ps aux历史,定位异常进程(如cat /largefile)。- 网络流量:捕获SSH隧道或RDP连接(如通过
tcpdump分析源IP)。
六、外部风险与情报管理
14. 企业外部风险
- 类型:
- 供应链攻击:第三方软件植入后门(如SolarWinds事件)。
- DDoS/CC攻击:业务中断导致财务损失。
- 社会工程:钓鱼邮件诱导员工泄露凭证。
15. 情报收集渠道
- 来源:
- 公开情报:CVE数据库、GitHub监控。
- 暗网监控:使用DarkTrace或Recorded Future扫描泄露数据。
- 行业共享:加入ISAC(信息共享与分析中心)。
16. CVE影响评估
- 流程:
- 资产测绘:通过Nexpose识别受影响系统。
- 利用验证:使用Metasploit验证漏洞是否可被利用。
- 优先级排序:CVSS评分+业务关键性(如数据库服务器>测试环境)。
七、法律与反钓鱼技术
17. 暗网爬虫合法性
- 法律风险:
- 数据隐私:爬取含个人信息的暗网内容可能违反GDPR/《个人信息保护法》。
- 管辖权争议:暗网服务器位于境外,法律适用复杂。
18. 钓鱼网站识别
- 自动化检测:
- 域名分析:检测相似域名(如
paypa1.comvspaypal.com)。- 内容比对:使用SSIM算法对比官网截图。
- 证书校验:检查SSL证书颁发者是否可信(如Let's Encrypt vs 自签名)。
19. 仿冒APP识别
- 方法:
- 证书签名校验:比对开发者和包名(如
com.icbcvscom.icbc.fake)。- 行为分析:检测敏感权限申请(如短信读取+地理位置)。
八、身份与攻击溯源
20. 未登录用户身份识别
- 技术:
- 设备指纹:通过Canvas指纹、浏览器插件列表生成唯一ID。
- 行为关联:分析点击流数据匹配历史行为模式。
21. 黑客身份溯源
- 手段:
- 攻击者画像:通过IP归属、攻击工具特征(如Cobalt Strike JARM指纹)。
- 威胁情报:匹配已知APT组织TTPs(如MITRE ATT&CK)。
22. 国内外攻击差异
- 特点对比:
维度 国内攻击 国外攻击 目标 金融、政府 科技、能源 技术 社工钓鱼+漏洞利用 0day漏洞+供应链攻击
九、安全管理与意识提升
23. 安全心智目标
- 核心:建立“安全第一”文化,使员工自觉遵守策略(如报告可疑邮件)。
24. 安全意识提升
- 系统性方法:
- 分层培训:
- 高管:风险与合规(如GDPR罚款案例)。
- 开发:安全编码(OWASP Top 10)。
- 模拟演练:定期钓鱼测试(如发送伪造的“薪资调整”邮件)。
25. 安全意识衡量
- 指标:
- 钓鱼点击率:从30%降至5%以下。
- 漏洞修复时效:高危漏洞平均修复时间≤72小时。
26. 安全责任制落地
- 步骤:
- 明确角色:安全团队负责制定规则,业务部门负责执行。
- KPI绑定:将安全事件数量纳入部门考核。
- 奖惩机制:举报漏洞奖励,违规操作通报批评。
十、数字水印与总结
27. 数字水印类型与应用
- 类型:
- 可见水印:覆盖在图片上的半透明文字(如“内部使用”)。
- 隐形水印:通过频域算法嵌入元数据(如用户ID+时间)。
- 应用:
- 版权保护:影视剧防盗版。
- 溯源追踪:泄露文档定位责任人。
扫一扫
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
