小白蓝初面试题结

小白蓝初面试题结

刚步入安全行业没有太久，通过护网一轮考试和一面，因为本人还是在校大学生= =，技术师傅说先给我培训两周安全设备再进行厂商面试，最难受的还是在我期末考试周！今天本着复习心态回顾下之前面试问过的问题，给大家分享一下面试常见问题

1Q：SQL注入原理是什么？常见的有哪些种类？如何去防御？怎样去检测？

1A：

（1）原理：

#####主要成因是在用户交互传参是对于用户输入未进行预编译或没有进行恶意代码过滤，攻击者常常将用户输入的查询作为参数拼接恶意的SQL语句来执行，恶意SQL语句就在数据库被执行了。

####（2）常见种类

#####请求头的注入：user-agent；referer；cookie；Host；Location；Accept-Language

#####联合查询注入：UNION

#####报错注入：updatexml()函数利用XPATH错误回显，floor（）向下取整函数主键重复报错回显，exp（）值溢出报错回显

#####时间盲注：根据使用sleep（）和if（）函数后的页面返回时间来逐一检查字符进行判断数据库名、数据表名、字段名等等

#####布尔盲注：根据and后的if语句拼接返回布尔值进行判断

#####宽字节注入：gbk编码下的数据库，%27和%5c来对单斜杠进行缝合生成一个汉子，从而使得单斜杠转义失效，引号逃逸

（3）防御

1.黑名单：对特殊的字符例如括号斜杠进行转义过滤删除；

2.白名单：对用户的输入进行正则表达式匹配限制

3.规范编码以及字符集，否者攻击者可以通过编码绕过检查

4.参数化查询：原理是将用户输入的查询参数作为参数传，而不直接将它们拼接到SQL语而言，将SQL语句和参数分离开来，并通过占位符（一般使用问号“？”）将它们关联起来，这样用户的输入只会被当作参数`

（4）检测

1.数据库异常日志：在数据库服务器上查看异常日志或错误日志，如果发现异常 SQL 语句，或者 SQL 语句中包含可疑代码或关键字，就可能存在 SQL 注入攻击。

2.应用服务器日志：在应用服务器上查看访问日志或错误日志，如果发现访问异常、错误码增多，或者包含可疑的 URL 参数等信息，也可能表明存在 SQL 注入攻击。

3. 漏洞扫描工具：使用专业的漏洞扫描工具，可以自动化地检测应用程序中可能存在的 SQL 注入漏洞，并提供修补建议。

4.安全审计：通过记录用户行为和操作日志，可以检测和追踪可能存在的 SQL 注入攻击。

5.手动测试：模拟攻击者的行为，手动输入特定的 SQL 语句或注入代码，来验证是否存在 SQL 注入漏洞。

2Q:如果一台服务器被入侵，你会怎么去处理？

2A：

1.查日志，查服务，查进程，查看是否有可疑登陆，新增账号。

2停止服务器的运行，以防止黑客继续入侵和破坏服务器。（服务器失陷）

3.在分析入侵的方式时，应该收集相关的证据，如日志文件、网络流量记录等，以便后续的调查和取证。

4.如果有备份文件，恢复备份文件，以确保服务器数据的完整性和安全性。

5.向相关部门和组织报告入侵事件，并提供相关的证据和分析报告，以便进一步的调查和处理。

3Q:挖矿病毒判断以及应急处理方式是什么？

3A:

判断:

1. 主机运行速度变慢，CPU占用率高。

2.主机风扇声音变大，温度升高。

3.安全软件报告未知病毒或恶意软件。

4.系统出现闪退或死机等异常情况。

处理：

ps -aux查看进程分析，然后top 分析算力，挖矿用到的算力比较多，对流量进行过滤，含有矿池服务器的流量就是挖矿病毒，最后kill进程，删掉程序，再扫描整个系统。如果删不了，则先下线，然后检查挖矿是否有在内网传播及时下线所有被传播的主机、上机排查攻击痕迹、一般可以从cpu占用情况，可以进程、开放端口、计划任务、服务项几个方面排查，将样本上传到在线分析平台，清除挖矿主程序主要就是双向封禁矿池地址、删除计划任务自启动、删服务，结束恶意进程、删病毒；当然还可以采取措施降权。

4Q:谈谈你知道哪些基线规范吧？

4A：

\1.     安全加固：禁用不必要的服务、配置防火墙、强化密码策略、添加口令策略:/etc/login.defs修改配置文件，设置过期时间、连续认证失败次数等。

\2.     用户和权限管理：创建普通用户账号、不允许 root 账号直接登录系统（PermitRootLogin=no）、使用 sudo 进行授权等、检查特殊账号，是否存在空密码的账户和 root 权限账户、禁用或删除无用账号。

\3.     服务：SSH服务：修改 SSH 使用的协议版本为 2，修改允许密码错误次数(默认 6 次)(MaxAuthTries=3

\4.     日志管理：启用系统日志、日志文件备份和归档、监控日志信息、记录所有用户的登录和操作日志，通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查等。

\5.     文件系统和目录结构规范：对重要数据进行加密、使用 ext4 文件系统、分区管理等。

\6.     网络安全：检查网络连接状态、限制入站和出站流量、使用 SELinux 或 AppArmor 等。

\7.     软件更新与安全漏洞修复：定期更新操作系统和软件补丁、及时处理已知漏洞等。

\8.     数据备份与恢复：定期备份和恢复系统数据和设置等。

IP 协议安全要求

远程登录取消 telnet 采用 ssh

设置 /etc/hosts.allow 和 deny

禁止 ICMP 重定向

禁止源路由转发

防 ssh 破解，iptables (对已经建立的所有链接都放行，限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问)

Windows 基线规范

1.     用户和权限管理：创建普通用户账号、限制管理员账号访问、使用 UAC 进行授权等。

2.     密码策略：设置强密码策略，并启用多因素身份验证。

3.     网络安全：配置防火墙、禁用不必要的服务、加密敏感数据传输等。

4.     软件更新与安全漏洞修复：定期更新操作系统和软件补丁、及时处理已知漏洞等。

5.     日志管理：启用系统日志、监控日志信息、建立日志归档等。

6.     文件和目录权限：配置文件系统和目录结构规范、限制文件和目录访问权限等。

7.     数据备份与恢复：定期备份和恢复系统数据和设置等。

为了进行 Windows 安全基线检查，可以使用 Microsoft Security Compliance Toolkit 工具

还可以使用第三方商业化工具，例如 SolarWinds、McAfee 等，来帮助进行 Windows 安全基线检查

5Q:木马驻留系统方式有哪些？

5A：

1.注册表

2. 服务

3. 启动目录

4. 计划任务

5.关联文件类型

6Q:黄金和白银票据的区别?

6A:

黄金票据：就是我们拿到域控后，获取了KDC用户（krbtg）的hash值之后进行伪造任意用户的TGT票据，从而实现对域内任意一个机器的访问可，以用于先维持和横向移动。

白银票据：就是我们在拿到域控后，获取到域内机器用户（含￥符号）的hash值，这个时候就可以伪造真正的ST票据，实现对某个机器特定服务的访问。

总的来说黄金票据危害大一些

7Q：最后，你来说一下常见端口和对应的服务吧？

7A：

数据库类（扫描弱口令）
1433：MSSQL
1521：Oracle
3306：Mysql
5432：PostgreSQL
特殊服务类（未授权/命令执行）
443：ssl 心脏滴血
873：Rsync 未授权
5984：CouchDB http：//xxx:5984/_utils/
6379：Redis 未授权
7001、7002：Weblogic 默认弱口令
8088：Hadoop Yarn 资源管理系统 REST API 存在未授权
8161：Apache ActiveMQ 未授权、弱口令，put 文件上传，move 文件移动
9200、9300：elasticsearch 命令执行
11211：Memcache 未授权，telnet ip 就可以获得服务器敏感信息
27017、27018：Mongodb 未授权
50000：SAP 命令执行
50070、50030 Hadoop 未授权访问
常用端口类（弱口令/端口爆破）
21：FTP 弱口令，匿名 anonymous/空登录，以及 ms12-073
25：SMTP 简单邮件传输服务器端口
23：Telnet 的端口，Telnet 是一种可以远程登录并管理远程机器的服务
22：ssh 端口，PcAnywhere 建立 TCP 和这一端口的连接可能是为了寻找 ssh，这一服务有许多弱点
53：dns 端口
139：属于 TCP 协议，是为NetBIOS Session Service 提供的，主要提供 Windows 文件和打印机共享以及 Unix 中的 Samba 服务
445：网络共享 smb 服务，尝试利用 ms08067，ms17010 等以及 IPC$ 攻击手段
2601、2604：zebra 路由，默认密码 zebra