【吐血整理】(面试大全)网络安全,渗透测试,安全服务工程师面试题

欢迎关注我的微信公众号:安全攻防渗透

信息安全领域原创公号,专注信安领域人才培养和知识分享,致力于帮助叁年以下信安从业者的学习和成长。


【吐血整理】(面试大全)网络安全,渗透测试,安全服务工程师面试题_第1张图片

前言

这次花了大把精力一边学习一边整理网络安全服务职位(包括但不仅限于:安全服务工程师,安全运营工程师,安全运维工程师,安全攻防工程师“)的面试问题。

话不多说,让我们一起学习吧

目前来说还有非常多的不严谨和冗余,恳请小伙伴们指正修改!

owasp 漏洞都有哪些?

1、SQL注入防护方法:
2、失效的身份认证和会话管理
3、跨站脚本攻击XSS
4、直接引用不安全的对象
5、安全配置错误
6、敏感信息泄露
7、缺少功能级的访问控制
8、跨站请求伪造CSRF
9、使用含有已知漏洞的组件
10、未验证的重定向和转发

常见的Web安全漏洞

  • SQL注入
  • XSS
  • 文件遍历、文件上传、文件下载
  • 垂直越权、水平越权
  • 逻辑漏洞

首先对于新人来说,大多数同学都是没有实战经验的,对应面试官提问聊聊你的渗透测试实战,但很多人却无从开口。
小伙伴们可以阅读如下文章进行构思编撰实战经历(狗头):
记一次渗透测试实战


渗透测试流程相关

给你一个网站你是如何来渗透测试的?

在获取书面授权的前提下。
1)信息收集,
1,获取域名的whois信息,获取注册者邮箱姓名电话等。
2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。
3,查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞
4,查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等
5,扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针
6,google hack 进一步探测网站的信息,后台,敏感文件

2)漏洞扫描
开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,
远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等
3)漏洞利用
利用以上的方式拿到webshell,或者其他权限
4)权限提升
提权服务器,比如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,巴西烤肉,
linux藏牛漏洞,linux内核版本漏洞提权,linux下的mysql system提权以及oracle低权限提权
5) 日志清理
6)总结报告及修复方案

渗透测试流程

  1. 项目访谈
  2. 信息收集:whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息
  3. 漏洞扫描:Nessus, AWVS
  4. 手动挖掘:逻辑漏洞
  5. 验证漏洞
  6. 修复建议
  7. (如果有)基线检查/复验漏洞
  8. 输出报告
    • 概述
    • 测试基本信息
      • 测试范围
      • 测试时间
      • 测试任务
      • 测试过程
    • 信息安全风险综合分析
      • 整体风险分析
      • 风险影响分析
      • 系统安全分析
      • 安全漏洞列表
    • 解决方案建议
    • 复测报告

SQL面试题

SQL注入类型

  1. 基于报错注入
  2. 基于布尔的注入,根据返回页面判断条件真假的注入
  3. 基于时间的盲注,不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
  4. 宽字节注入
  5. 联合查询,可以使用 union 的情况下的注入。
  6. 堆查询注入,可以同时执行多条语句的执行时的注入。

SQL注入的原理

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常未经检查或者未经充分检查的用户输入数据或代码编写问题,意外变成了代码被执行。

如何进行SQL注入的防御

  1. 关闭应用的错误提示

  2. 加waf

  3. 对输入进行过滤

  4. 限制输入长度

  5. 限制好数据库权限,drop/create/truncate等权限谨慎grant

  6. 预编译好sql语句,python和Php中一般使用?作为占位符。这种方法是从编程框架方面解决利用占位符参数的sql注入,只能说一定程度上防止注入。还有缓存溢出、终止字符等。

  7. 数据库信息加密安全(引导到密码学方面)。不采用md5因为有彩虹表,一般是一次md5后加盐再md5

  8. 清晰的编程规范,结对/自动化代码 review ,加大量现成的解决方案(PreparedStatement,ActiveRecord,歧义字符过滤, 只可访问存储过程 balabala)已经让 SQL 注入的风险变得非常低了。

  9. 具体的语言如何进行防注入,采用什么安全框架

作者:没啥意思
链接:https://www.zhihu.com/question/22953267/answer/23222069
来源:知乎

SQL注入问题既不能“靠用户(开发者也是用户)的自觉去避免”,也不能完全脱离用户(开发者也是用户)而指望数据库层面去避免。对于那些不了解SQL注入漏洞细节或不关心SQL注入漏洞或没精力去关心SQL注入漏洞的工程师,你要给他们一条尽可能简单可行透明的方案来避免SQL注入漏洞,告诉他这样写就可以了,这就是安全框架;然后告诉他或者让他的老大告诉他你必须这样写,这就是安全编码规范;然后你有手段在他没有这样写的时候能够检查出来(这比检查出漏洞要容易)并推动他改正,这就是白盒检查。

我们现在的互联网产品SQL注入漏洞仍然层出不穷,并不是这套思路有问题,相反恰恰是这套思路没有完善。一方面是框架方案本身不完善,以SQL注入漏洞为例,参数化是防SQL注入框架级方案的重要部分,但仅靠参数化没法很好满足开发过程中一些常见需求,如逗号分割的id列表问题、排序标记的问题等等(其实这些问题真要用参数化的方案解决也可以),使得开发更愿意在这些地方使用非参数化或伪参数化的方法(比如拼接SQL片段后再把整个片段当作参数扔进去exec)。这些问题在参数化的基础上,再加以改进,仍然守着拼接SQL片段时进行强类型转换的思路,仍然是能很好解决的,也就是继续完善参数化方案的问题,而不是看上去那样“参数化解决不了问题”。另一方面,安全编码规范的制定、培训、流程建设和实施保证上也做得远远不到位,开发leader们更希望后面的数据库或者前面的安全防御上能有手段去解决SQL注入问题,对于安全工程师来说,设置并维护几个特征串、语法分析场景也远比做那些安全框架、编码规范、白盒扫描来得要轻松实在,彼此在心照不宣中度过今天,自然不能指望明天能彻底踏实。


sqlmap,怎么对一个注入点注入?

1)如果是get型号,直接,sqlmap -u “诸如点网址”.
2) 如果是post型诸如点,可以sqlmap -u "注入点网址” --data=“post的参数”
3)如果是cookie,X-Forwarded-For等,可以访问的时候,用burpsuite抓包,注入处用*号替换,放到文件里,然后sqlmap -r “文件地址”

mysql的网站注入,5.0以上和5.0以下有什么区别?

10年前就出了5.0,现在都到5.7了,没啥意义的问题

  • 5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。
  • 5.0以下是多用户单操作,5.0以上是多用户多操做。

MySQL存储引擎?

  1. InnoDB:主流的存储引擎。支持事务、支持行锁、支持非锁定读、支持外键约束
  • 为MySQL提供了具有提交、回滚和崩溃恢复能力的事物安全(ACID兼容)存储引擎。InnoDB锁定在行级并且也在 SELECT语句中提供一个类似Oracle的非锁定读。这些功能增加了多用户部署和性能。在SQL查询中,可以自由地将InnoDB类型的表和其他MySQL的表类型混合起来,甚至在同一个查询中也可以混合
  • InnoDB存储引擎为在主内存中缓存数据和索引而维持它自己的缓冲池。InnoDB将它的表和索引在一个逻辑表空间中,表空间可以包含数个文件(或原始磁盘文件)。这与MyISAM表不同,比如在MyISAM表中每个表被存放在分离的文件中。InnoDB表可以是任何尺寸,即使在文 件尺寸被限制为2GB的操作系统上
  • InnoDB支持外键完整性约束,存储表中的数据时,每张表的存储都按主键顺序存放,如果没有显示在表定义时指定主键,InnoDB会为每一行生成一个6字节的ROWID,并以此作为主键
  1. MyISAM:访问速度快,不支持事务,逐渐被淘汰
  2. MEMORY:BTREE索引或者HASH索引。将表中数据放在内存中,并发性能差。information_schema用的是该引擎
  3. MERGE、Archive等等不常用的

什么是事务?

事务是一组原子性的SQL语句或者说是一个独立的工作单元,如果数据库引擎能够成功对数据库应用这组SQL语句,那么就执行,如果其中有任何一条语句因为崩溃或其它原因无法执行,那么所有的语句都不会执行。也就是说,事务内的语句,要么全部执行成功,要么全部执行失败。
举个银行应用的典型例子:

假设银行的数据库有两张表:支票表和储蓄表,现在某个客户A要从其支票账户转移2000元到其储蓄账户,那么至少需求三个步骤:

a.检查A的支票账户余额高于2000元;

b.从A的支票账户余额中减去2000元;

c.在A的储蓄账户余额中增加2000元。

这三个步骤必须要打包在一个事务中,任何一个步骤失败,则必须要回滚所有的步骤,否则A作为银行的客户就可能要莫名损失2000元,就出问题了。这就是一个典型的事务,这个事务是不可分割的最小工作单元,整个事务中的所有操作要么全部提交成功,要么全部失败回滚,不可能只执行其中一部分,这也是事务的原子性特征。

读锁和写锁

读锁是共享的,即相互不阻塞的,多个客户在同一时刻可以读取同一资源,互不干扰。写锁是排他的,即一个写锁会阻塞其它的写锁和读锁,只有这样,才能确保给定时间内,只有一个用户能执行写入,防止其它用户读取正在写入的同一资源。写锁优先级高于读锁。

MySQL的索引

索引是帮助MySQL高效获取数据的数据结构。MYISAM和InnoDB存储引擎只支持BTree索引;MEMORY和HEAP储存引擎可以支持HASH和BTREE索引。

ORDER BY在注入的运用

order by后面可以加字段名,表达式和字段的位置,字段的位置需要是整数型。

GPC是什么?GPC之后怎么绕过?

如果magic_quotes_gpc=On,PHP解析器就会自动为post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符(认为是php的字符)引起的污染。

Mysql一个@和两个@什么区别

  • @为用户变量,使用SET @var1=1赋值
  • @@ 为系统变量 ,包括全局变量show global variables \G;和会话变量show session variables \G;

注入/绕过常用的函数

  1. 基于布尔SQL盲注
    • left(database(),1)>'s'
    • ascii(substr((select table_name information_schema.tables where tables_schema=database()limit 0,1),1,1))=101 --+
    • ascii(substr((select database()),1,1))=98
    • ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23
    • regexp正则注入 select user() regexp '^[a-z]';
    • select user() like 'ro%'
  2. 基于报错的SQL盲注
    1)and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】
    2)通过floor报错 向下取整
    3)+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
    4).geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));
    5).multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));
    6).polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));
    7).multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));
    8).linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));
    9).multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));
    10).exp()select * from test where id=1 and exp(~(select * from(select user())a));
  3. 延时注入如何来判断?
    if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

盲注和延时注入的共同点?

都是一个字符一个字符的判断

如何拿一个网站的webshell?

上传,后台编辑模板,sql注入写文件,命令执行,代码执行,
一些已经爆出的cms漏洞,比如dedecms后台可以直接建立脚本文件,wordpress上传插件包含脚本文件zip压缩包等

sql注入写文件都有哪些函数?

select ‘一句话’ into outfile ‘路径’
select ‘一句话’ into dumpfile ‘路径’
select ‘’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

各种写shell的问题

  1. 写shell用什么函数?
    • select ' into outfile 'D:/shelltest.php'
    • dumpfile
    • file_put_contents
  2. outfile不能用了怎么办? select unhex('udf.dll hex code') into dumpfile 'c:/mysql/mysql server 5.1/lib/plugin/xxoo.dll';可以UDF提权 https://www.cnblogs.com/milantgh/p/5444398.html
  3. dumpfile和outfile有什么不一样?outfile适合导库,在行末尾会写入新行并转义,因此不能写入二进制可执行文件。
  4. sleep()能不能写shell?
  5. 写shell的条件?
    • 用户权限
    • 目录读写权限
    • 防止命令执行:disable_functions,禁止了disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,但是可以用dl扩展执行命令或者ImageMagick漏洞 https://www.waitalone.cn/imagemagic-bypass-disable_function.html
    • open_basedir: 将用户可操作的文件限制在某目录下

sql注入写文件都有哪些函数?

select ‘一句话’ into outfile ‘路径’
select ‘一句话’ into dumpfile ‘路径’
select ‘’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

sql二次注入

第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是脏数据。
在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。

交友网站,填写年龄处是一个注入点,页面会显示出与你相同年龄的用户有几个。使用and 1=1确定注入点,用order by探测列数,union select探测输出点是第几列,

  1. 暴库 group_concat(schema_name) from information_schema.schemata
  2. 暴表 group_concat(table_name) from information_schema.schemata where table_schema='hhh'
  3. 获取数据 concat(flag) from flag

修复:在从数据库或文件中取数据的时候,也要进行转义或者过滤。

SQL和NoSQL的区别

SQL关系型数据库,NoSQL(Not only SQL)非关系型数据库

SQL优点

关系型数据库是指用关系数学模型来表示的数据,其中是以二维表的形式描述数据。

  1. 结构稳定,不易修改,常用联表查询
  2. 查询能力高,可以操作很复杂的查询
  3. 一致性高,处理数据会使用封锁保证数据不被改变
  4. 表具有逻辑性,易于理解

SQL缺点

  1. 不适用高并发读写
  2. 不适用海量数据高效读写
  3. 层次多,扩展性低
  4. 维护一致性开销大
  5. 涉及联表查询,复杂,慢

NoSQL优点

采用键值对存储数据

  1. 由于数据之间没有关系,所以易扩展,也易于查询
  2. 数据结构灵活,每个数据都可以有不同的结构
  3. 由于降低了一致性的要求,所以查询速度更快

比较

非关系型数据库的产生是因为随着网站的进化,并发性增加,扩展性高,一致性要求降低。这样关系型数据库最重要的一致性维护就显得有点多余,并且消耗着性能。因此有了非关系型数据库,它可以算是关系型数据库的一种弱化的结果,在海量数据存储和查询上更胜一筹。

两种数据库没有好坏之分,只是使用的环境不一样。关系型数据库可以说是更严谨的,可靠性更强的数据库,在对于数据精度要求高的环境,比如说银行系统这样自然是像mysql这样的数据库适合。非关系型数据库胜在处理大数据的速度,但是对于数据的准确度没有那么高,对于操作量大的环境比如当前大部分web2.0的网站更加适用一些。

MongoDB注入方式

利用正则:找到y开头的name db.items.find({name: {$regex: "^y"}})

一些payload

  1. ?login[$regex]=^&password[$regex]=^
  2. ?login[$not][$type]=1&password[$not][$type]=1

XSS CSRF XXE SSRF

CSRF 和 XSS 和 XXE 有什么区别,以及修复方式?

xss学习 https://www.secpulse.com/?s=+%E9%82%A3%E4%BA%9B%E5%B9%B4%E6%88%91%E4%BB%AC%E4%B8%80%E8%B5%B7%E5%AD%A6XSS+

XSS是跨站脚本攻击,用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。修复方式:对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。

CSRF是跨站请求伪造攻击,XSS是实现CSRF的诸多手段中的一种,是由于没有在关键操作执行时进行是否由用户自愿发起的确认。修复方式:筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer.

XXE是XML外部实体注入攻击,XML中可以通过调用实体来请求本地或者远程内容,和远程文件保护类似,会引发相关安全问题,例如敏感文件读取。修复方式:XML解析库在调用时严格禁止对外部实体的解析。

如何防止CSRF?

1,验证referer
2,验证token
详细:浅谈cnode社区如何防止csrf攻击 - CNode技术社区

CSRF、SSRF和重放攻击有什么区别?

  • CSRF是跨站请求伪造攻击,由客户端发起
  • SSRF是服务器端请求伪造,由服务器发起
  • 重放攻击是将截获的数据包进行重放,达到身份认证等目的

啥是同源策略,跨域有几种方式?

http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

浏览器安全的基石是"同源政策",目的是为了保证用户的信息安全,防止恶意网站窃取数据,避免cookie共享。同源含义是协议、域名、端口相同的两个网页才可以共用cookie。目前如果非同源,有三种行为收到限制:
- Cookie、LocalStorage 和 IndexDB 无法读取。
- DOM 无法获得。
- AJAX 请求不能发送

如何规避同源策略?

JSONP

向服务器请求json数据回调,一般请求URL会加上&callback=xx

foo({
     
  "ip": "8.8.8.8"
});

由于

你可能感兴趣的:(面试题,安全,网络安全,面试)