1. 如果看到一个告警ip,如何判断是否是真实攻击?
首先,我会先判断一下ip来源,判断是内网ip还是公网ip,若为内网ip,然后对请求包的内容是否存在恶意payload,然后再根据响应包内容有执行成功的回显,若相应包中有对应的payload的回显,则可以判断为攻击成功,但是此时,需要判断下是否为业务系统的逻辑造成的和是否是工作人员在测试业务系统漏洞,若工作人员证实了该告警为自家安全ip,则认为该攻击为误报,若非自家ip且不存在逻辑因素,则可判断为内网攻陷。若为公网ip,若恶意payload利用成功,则可判断为真实攻击。
2. 如果看到一条sql注入告警,怎么判断是否是攻击成功?
对请求包的内容进行检查,检查是否存在sql注入语句,同时检查响应包内容有执行成功的回显,若相应包中存在sql注入攻击成功的回显,则可判断攻击成功。
3. 有没有接触过安全设备?
我在实习的过程中,接触过"态势感知"、"防火墙"。(若是面试官问到这个问题,我建议各位诚实回答就好,不然他会往深处问你)
常见的安全设备有:
- 防火墙
- EDR:主机安全管理\终端检测和响应
- 堡垒机:运维审计和管理平台
- DAS:数据库安全审计平台
- LAS:日志审计安全平台
- AC:上网行为管理系统
- 蜜罐
- SIP:安全态势感知平台
4. 如果,你在hw期间遇到了告警,你将会如何进行应急响应?
我会按照应急响应来处理,即响应->阻断->分析->清楚->加固,首先对事件类型进行判断,若为真实攻击,则保护好第一现场,进行信息收集,然后进行阻断,即迅速切断网络,从而阻断传播,然后对核心资产进行隔离,然后对日志、流量等信息进行分析,判断攻击的目标和类型,然后进行清楚处理和相应的补救过程,因为是在护网期间,需要迅速响应,我会选择首先隔离网络,防止核心资产被攻陷。
5. 你能大概说一下,比如数据包或者日志, 你的分析思路是什么,以及你会用到哪些工具或者那些网站进行查询?
用流量监测的安全设备,比如天眼,查看报文,分析报文里和host和网站目录路径,查看是否可疑,使用微步查询host是否为恶意,使用wireshark对数据包深度分析
看一下请求的网站路径,源IP与目的ip地址,host字段的值以及发包内容等
工具有wireshark,网站的话微步在线等
6. 你在分析数据包的时候,这个地址是一个互联网的地址,你会做一些什么样的排查或者说对IP地址进行什么样的处理呢?
把这个域名或者ip放到微步上检测一下,看一下是不是恶意链接
7. 暴力破解加固方法?
1. 添加强度较高的验证码,不易被破解。
2. 修改密码设置规则,提高用户的密码强度。
3. 同一账号登陆次数锁定,生成锁定日志。
4. 定期排查弱口令。
8. webshell管理工具和特征
https://www.freebuf.com/column/204796.html
- 菜刀
菜刀 webshell 只使用了 url 编码 + base64 编码
shell 特征就是传输参数名为 z0,还存在int_set("display_erros","0")字符串特征
- 蚁剑
可以对流量进行加密、混淆。但是有些关键代码没有被加密,如:PHP中的ini_set;ASP中的OnError,response等
- 冰蝎3
content-type
Accept&Cache-Control
内置16个ua头
content-length请求长度
- 哥斯拉
无论php还是jsp都有pass=
什么是csrf?
当客户登录到网站上面时,会在本地生成一个cookie,如果你没有退出账户的话,攻击者就会以客户的身份,继续访问网站。比如以你的名义发送邮件、发消息,盗取你的账号,虚拟货币转账等。
csrf防御措施有哪些?
1、通过验证http请求头部的referer值,看看有没有改变,判断是否出现错误。
2、验证token值token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对,
3、尽量使用POST传值方式,限制GET传值使用
ssrf漏洞原理?
是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器ssrf漏洞常出现位置?
1、通过URL地址分享网页内容
2、转码服务
3、在线翻译
4、图片加载与下载:通过URL地址加载或下载图片
5、图片、文章收藏功能
6、未公开的api实现以及其他调用URL的功能
7、从URL关键字中寻找
ssrf漏洞验证手法?
1、因为SSRF漏洞是让服务器发送请求的安全漏洞,所以我们就可以通过抓包分析发送的请求是否是由服务器的发送的,从而来判断是否存在SSRF漏洞
2、在页面源码中查找访问的资源地址 ,如果该资源地址类型为 www.baidu.com/xxx.php?image=(地址)的就可能存在SSRF漏洞
ssrf漏洞的防范措施?
1、过滤返回的信息,那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
2、统一错误信息,避免用户可以根据错误信息来判断远程服务器的端口状态。
3 、限制请求的端口,比如80,443,8080,8090。
4、禁止不常用的协议,仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://等引起的问题。
5、使用DNS缓存或者Host白名单的方式。
9. 如何检测webshell
- 静态检测
静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,
- 动态检测
webshell传到服务器了,黑客总要去执行它吧,webshell执行时刻表现出来的特征,我们称为动态特征。
- 日志检测
使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。
- 语法检测
语法语义分析形式,是根据php语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式。这样可以完美解决漏报的情况。但误报上,仍存在问题。
10. webshell检测工具
- D盾
- 河马WEBSHELL
- 百度 WEBDIR+
- Web Shell Detector
- Sangfor WebShellKill [深信服]
- PHP Malware Finder [支持Linux]
11. 应急响应流程
准备,检测,遏制,根除,恢复,跟踪,报告
一般是从第二步到第五步的过程,截图等
准备:信息收集,工具准备
检测:了解资产情况,明确影响,尝试进行攻击路径溯源
遏制:关闭端口,服务,停止进程,拔网线
根除:通过杀毒软件,清除恶意文件,进程
恢复:备份,恢复系统正常
跟踪:复盘全貌,总结汇报
12. Windows和Linux的日志文件放在哪里
Windows:
- 系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx
- 应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx
- 安全日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx
Linux:
- /var/log/
13. 常用的威胁情报平台有哪些?
- [Viurstotal](virustotal.com)
- [微步威胁情报中心](x.threatbook.cn)
- [360威胁情报中心](ti.360.cn)
- [奇安信威胁情报中心](ti.qianxin.com)
- [绿盟威胁情报中心](nti.nsfocus.com)
- [安恒威胁情报中心](ti.dbappsecurity.com.cn)
- [VenusEye威胁情报中心](https://venuseye.com.cn/)
14. 蓝队常用的反制手段有哪些?
- 蜜罐
- 对攻击目标进行反渗透(IP定位、IP端口扫描、Web站点渗透)
- 应用漏洞挖掘&利用(菜刀、Goby、Xray、蚁剑)
- id -> 社交特征关联
- 钓鱼网站 -> 后台扫描、XSS盲打
- 木马文件 -> 同源样本关联 -> 敏感字符串特征检测
15. 文件上传漏洞原理和排查
能够上传文件的接口,应用程序对用户上传文件类型不校验或者校验不严格可绕过,导致任意类型文件上传,攻击者可上传webshell。
文件监控,webshell查杀,样本提取。
扫一扫
09-26
3544
3544
05-01
1313
1313
05-23
1599
1599
02-12
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
