25届应届网安面试,默认页面信息泄露

于 2024-08-23 22:02:21 发布
阅读量462 收藏 6
点赞数 19
文章标签: 面试 职场和发展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/persist213/article/details/141475606
版权

吉祥知识星球icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247485367&idx=1&sn=837891059c360ad60db7e9ac980a3321&chksm=c0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd

《网安面试指南》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

《Java代码审计》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

《应急响应》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484262&idx=1&sn=8500d284ffa923638199071032877536&chksm=c0e47a3af793f32c1c20dcb55c28942b59cbae12ce7169c63d6229d66238fb39a8094a2c13a1&scene=21#wechat_redirect

《护网资料库》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484307&idx=1&sn=9e8e24e703e877301d43fcef94e36d0e&chksm=c0e47acff793f3d9a868af859fae561999930ebbe01fcea8a1a5eb99fe84d54655c4e661be53&scene=21#wechat_redirect

1.1.1 默认页面泄露漏洞

1.1.1.1 漏洞原理

应用在安装时,运维人员会按照说明文档进行默认安装,在默认安装后,中间件、插件、框架等会携带示例页面及说明文档。

1.1.1.2 漏洞危害

攻击人员通过访问默认页面,获取默认页面中的信息可以分析出网站使用的相关组件的版本、名称、甚至包含后台默认路径以及默认账号,攻击人员通过查找该网站使用技术的历史漏洞,可直接进行相应的漏洞攻击,极大缩短了攻击人员的攻击成本。

1.1.1.3 检测条件

网站正常运行;存在url控制点。

1.1.1.4 检测方法

1. 使用web漏洞扫描器或目录扫描器扫描对应用的web路径进行扫描探测,发现目标存在index.html页面,访问后发现为宝塔面板默认页面。

2. 依据网站使用的第三方组件和框架情况,查找相关默认页面,手工输入对应的相关页面路径,发现目标tomcat版本为9.0.40。

1.1.1.6 修复建议

总体修复方式:

1、删除默认页面;

2、如业务需求必须存在,建议使用白名单的形式进行限制。

推荐阅读:

学了这篇面试经,轻松收割网络安全的offer

护网主防资料库、护网设备讲解、护网初中高级别面试

Java代码审计零基础入门到整套代码审计

Web安全:靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞

【护网必备技能】应急响应知识库

go_to_hacker
关注
  • 19
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应届面试技巧大全.pdf
03-27
面试技巧对于应届生来说至关重要,因为这不仅关乎自身素质的展示,还直接影响到能否顺利找到理想的工作岗位。以下是一些面试技巧和注意事项,帮助应届生更好地应对面试挑战。 首先,基本礼仪是面试中不可或缺的一...
应届大学生面试技巧大全
03-10
### 应届大学生面试技巧大全 #### 一、掌握简历信息的重要性 对于即将步入职场应届大学生来说,掌握好面试技巧至关重要。首先,我们强调的是面试时对简历信息的熟悉程度。当接到面试电话时,如果有简历在手边,...
2023网安渗透面试题,刷这一篇就够了
2401_84618514的博客
07-30 647
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
网络安全面试指南(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
08-09 980
安全行业起步晚。安全行业整体起来才没几年,多数企业因为资源投入和建设时间原因导致覆盖面和深入度都不够,这其中甚至包括一些国内大厂,并没有想象的那么安全。其安全水位仅能应付一些白帽子级别,针对专业黑客团伙持续定向攻击,大多数都不能防御住,看HW就知道了。由于安全行业起步晚,安全人才紧缺,需求旺盛,导致安全从业者薪资水涨船高。高到什么程度呢?都知道互联网行业薪酬是所有行业中最高的之一,技术类是互联网行业中薪酬相对最高的职能,而安全工程师又是技术人才中薪酬最高的,和当下发展正火的机器学习人才并驾齐驱。可能还是没概
网络安全面试分享:HVV行动题目及答案(非常详细)零基础入门到精通,收藏这一篇就够了
2402_84205067的博客
08-01 962
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
网络安全信息收集
wuli1024的博客
12-09 1142
6).微信公众号如果目标具有相关公众号,那么渗透相关公众号,绝对会有意外收获,比如获取不少漏洞+域名,可以参考 Burp APP抓包抓取微信公众号数据。7).暴力破解/字典枚举所谓暴力破解即利用一个已经生成的数字组合不断尝试与目标匹配,直到找出相符的目标单位。暴力破解可以用很多工具,如DNSReconcile、Layer子域名挖掘机、DirBuster、fierce、dnsdict6、dnsenum、dnsmap、dnsrecon、等等下面举个几个例子,同时这里的字典就用工具自带的字典了。
史上最全网络安全面试题+答案
QXXXD的博客
07-17 913
网络安全面试必看
tomcat系列漏洞利用
2401_84488537的博客
06-03 1644
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
10大Web应用安全威胁及防护建议
baimaozi008的博客
06-16 949
本次测试所分析的所有Web应用程序中,70%的项目被发现含有与访问控制问题相关的安全威胁。而几乎一半的访问控制中断安全威胁具有中等风险级别,37%的项目具有高级别风险。这些风险隐患可能导致Web应用程序出错,并影响组织的业务开展。对于Web应用程序而言,所提交的数据验证不足将使攻击者可以非法访问内部服务,并可能执行导致财务损失的攻击。组织应该根据基于角色的访问模式实施身份验证和授权控制。除非某个Web应用程序是面向所有人公开访问,否则就应该在默认情况下拒绝访问。这种类型的安全威胁在Web应用程序中大量存在。
17个关键方法指南,保护您的web站点安全!
2401_84466225的博客
06-16 952
使用自定义端口是一种网络安全策略,旨在通过减少攻击者利用已知端口进行攻击的机会来提高系统的安全性。了解默认端口:首先,了解哪些端口是默认的,以及它们通常用于哪些服务。例如,SSH通常使用端口22。更改端口号:将这些默认端口更改为非标准端口(通常在1024到65535之间),这样可以减少攻击者利用这些端口进行自动化攻击的可能性。避免已知端口:根据IANA的分配指南,避免使用0到1023范围内的已知端口,因为这些端口通常与特定服务关联,更容易成为攻击目标。
【网络安全面试攻略】求职关键与技巧详解
A1_3_9_7的博客
01-27 695
安全行业起步晚。安全行业整体起来才没几年,多数企业因为资源投入和建设时间原因导致覆盖面和深入度都不够,这其中甚至包括一些国内大厂,并没有想象的那么安全。其安全水位仅能应付一些白帽子级别,针对专业黑客团伙持续定向攻击,大多数都不能防御住,看HW就知道了。
网络安全从业者面试指南,零基础入门到进阶(附真题笔记)!
weixin_57514792的博客
06-26 1129
网络安全从业者面试指南,零基础入门到进阶(附真题笔记)!
应届面试的巧妙回答
08-19
应届面试技巧】面试是每个应届毕业生迈入职场的关键环节,巧妙的回答能让你在众多竞争者中脱颖而出。在面试中,展示出自己的工作经历和主动性至关重要。 1. **如何描述暑期打工经历**:面试官重视有工作经验的...
应届面试技巧及注意事项
08-19
【标题】:“应届面试技巧及注意事项” 【描述】:本文主要针对应届毕业生,提供面试过程中的实用技巧和需要注意的事项,旨在帮助他们更好地应对面试挑战。 【知识点详解】 一、面试程序 1. 准备阶段:面试...
面试应届毕业生的优势
08-18
应届毕业生面试优势详解】 应届毕业生在面试时虽然常常被批评为缺乏经验,但他们也有着不可忽视的优势。这些优势在企业招聘中具有重要的价值,甚至可能成为他们在竞争激烈的就业市场中脱颖而出的关键。 **优势一...
Spring面试题一
m0_74249133的博客
08-18 735
Bean 代表被IOC容器管理的对象。我们通过配置文件或注解,告诉IOC容器帮助我们管理哪些对象。
金九银十,软件测试面试八股文【含答案+文档】
cs888zsy的博客
08-20 740
参考答案:兼容测试主要是检查软件在不同的硬件平台、软件平台上是否可以正常的运行,即是通常说的软件的可移植性。兼容的类型,如果细分的话,有平台的兼容,网络兼容,数据库兼容,以及数据格式的兼容。兼容测试的重点是,对兼容环境的分析。通常,是在运行软件的环境不是很确定的情况下,才需要做兼容。根据软件运行的需要,或者根据需求文档,一般都能够得出用户会在什么环境下使用该软件,把这些环境整理成表单,就得出做兼容测试的兼容环境了。
用一个具体例子说明什么是提示词工程师
fertiland的专栏
08-21 507
您好,欢迎来到面试!我是今天的面试官,非常高兴能和您进行这次交流。为了确保整个面试流程的顺利进行,我们会按照既定的环节来推进面试。首先,我想了解一下您的意向岗位是什么呢?您说:基于大模型的应用系统开发ChatGPT 说:ChatGPT好的,我已经记录了您的意向岗位是“基于大模型的应用系统开发”。接下来,您更希望由技术主管还是经理来进行这次面试呢?您说:技术主管来面试ChatGPT 说:ChatGPT明白了,您希望由技术主管来进行面试。我会按照您的意愿进行安排。
梦与不存在的幻境
最新发布
weixin_66580750的博客
08-21 232
-----------编者 2024年8月21日21:30:32。专栏正式开放订阅时间:2024年8月25日23:59:00。本文同步转发:CSDN,ACGO,LUOGU,WEIBO。专栏现行开放公示时间:2024年8月23日0:00:00。里面是一群年轻人努力的向前奔跑,甚至没注意到后面的老人。新专栏[梦与不存在的幻境],即将推出,敬请期待!专栏下半篇开放时间待定,敬请期待!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值