护网面试题4.0
1.设备误报如何处理?
1.来自外网的误报说明安全设备需要进行策略升级,不需要处置。
2.如果是来自内网的误报可以和负责人协商一下看能不能解决。
2.如何区分扫描流量和手工流量?
扫描流量数据量大,请求流量有规律可循且频率较高,手工流量请求少,间隔略长
扫描流量:比如常用的漏洞扫描工具AWVS以及APPscan在请求的URL,Headers, Body三项里随机包含了能代表自己的特征信息。
3.网站被上传webshell如何处理?
1.首先关闭网站
2.用D盾对网站目录进行查杀
3.及时安装服务器补丁
4.给你一个比较大的日志,应该如何分析?
使用日志分析工具,
白名单模式,为正常请求建立白名单
统计方法,统计请求出现次数
5.了解安全设备嘛?
入侵防御系统IPS
是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
入侵检测系统IDS
积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,尽可能地发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。
防火墙
防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络,制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
数据库审计系统
是对数据库访问行为进行监管的系统,通过镜像或者探针的方式采集所有数据库的访问流量,并基于SQL语法,语义的解析技术,记录下对数据库所有访问和操作行为,例如访问数据的用户IP,账号,时间等等,对数据进行操作的行为等等。
日志审计系统
日志审计系统能够通过主被动结合的手段,实时且不间断的采集用户网络中不同厂商的安全设备,网络设备,主机,操作系统以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储,备份,查询,审计,告警,响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。
堡垒机
是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以,不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理,单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。
漏洞扫描系统
漏洞扫描工具或者设备是基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。
数据安全态势感知平台
以大数据平台为基础,通过收集多元,异构的海量日志,利用关联分析,机器学习,威胁情报,可视化等技术,帮助用户持续监测网络安全态势,实现从被动防御向积极防御的进阶。
终端安全管理系统
是集防病毒,终端安全管控,终端准入,终端审计,外设管控,EDR等功能于一体,兼容不同操作系统和计算机平台,帮助客户实现平台一体化,功能一体化,数据一体化的终端安全立体防护。
WAF
WAF是以网站或应用系统为核心的安全产品,通过对HTTP或HTTPS的Web攻击行为进行分析并拦截,有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求。
蜜罐
蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁,提取威胁特征,蜜罐的价值在于被探测,攻陷。
6.了解过系统加固吗?
账户安全
windows
比如设置登录时不显示上次登录的用户名,防止弱口令爆破。
设置账户锁定策略,比如说登录行为限制次数,达到次数后锁定多长时间。
linux
禁用root之外的超级用户 使用password -l <用户名>命令来锁定用户 -u解锁
限制普通用户使用sudo提权,或者说限制提权的权限大小
锁定系统中多余的自建账号
设置账户锁定登录失败锁定次数,锁定时间 faillog -u <用户名>命令来解锁用户
口令安全
windows
设置密码必须符合复杂性要求,比如设置时数字,大写字母,小写字母,特殊字符都要具备
设置最小密码长度不能为0,设置不能使用历史密码
linux
检查shadow中空口令账号,修改口令复杂度,设置密码有效期vim /etc/login.def命令
服务与端口
关闭或者限制常见的高危端口,比如说22端口(SSH),23端口(Telnet),3389端口(RDP)
compmgmt.msc排查计划任务
linux上iptables封禁IP或者限制端口
文件权限管理
linux上chmod修改文件权限 chattr重要文件设置不可修改权限
系统日志审计
linux上设置系统日志策略配置文件
系统日志 /var/log/message
cron日志/var/log/cron
安全日志/var/log/secure
设备和网络控制
比如在涉密计算机上禁止访问外网,为了避免用户绕过策略可以禁止用户修改IP
删除默认路由配置,避免利用默认路由探测网络
禁止使用USB设备比如U盘
禁止ping命令,即禁用ICMP协议访问,不让外部ping通服务器
7.CS是什么东西,知道怎么使用吗?
简介
cs是一款渗透测试工具,cs分为客户端与服务端,linux服务端是一个,windows客户端可以有多个,可用于团队分布式协同操作。
功能
cs集成了端口转发,服务扫描,自动化溢出,多模式端口监听,windows exe 木 马生成,windows dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑。钓鱼攻击等功能。
使用
一般使用步骤就是,先启动服务端,然后启动客户端连接获得一个可视化的界面,新建监听器来接收会话,生成木马文件(常见.exe可执行文件,office宏病毒,html应用程序类型的后门文件),上传到受害者主机,当受害者运行该木马文件时目标主机就在CS上线了。
8.WAF方面有没有了解过,清楚WAF的分类和原理吗?
分类:
WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF。
原理:
Web应用防火墙是通过执行一系列针对HTTP或者HTTPS的安全策略来专门为Web应用提供保护的一款产品。
9.Powershell了解过吗?
简介
是Windows环境所开发的shell及脚本语言技术
主要用于Windows计算机方便管理员进行系统管理
使用
常见的操作 pwd ls cd mkdir rmdir
10.MSF是什么?知道怎么使用吗?
简介:
MSF是一款渗透工具,以及开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。MSF可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。
模块:
Auxiliary(辅助模块)
为渗透测试信息搜集提供了大量的辅助模块支持
Exploits(攻击模块)
利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击,从而获得对远程目标系统访问权的代码组件。
Payload(攻击载荷模块)
攻击成功后促使靶机运行的一段植入代码
Post (后渗透攻击模块)
收集更多信息或进一步访问被利用的目标系统
Encoders(编码模块)
将攻击载荷进行编码,来绕过防护软件拦截
使用:
首先利用Auxiliary辅助探测模块扫描,嗅探,指纹识别相关漏洞,然后确认漏洞存在使用Exploit漏洞利用模块对漏洞进行利用,包括设置payload攻击载荷,设置本机监听等等。漏洞利用成功目标主机就会通过设置的端口主动连接,产生会话。进而可以进行后渗透。
功能:
木马免杀,抓取用户密码,关闭杀毒软件,屏幕截图,新建账号,远程登录,迁移进程,提权操作,网络嗅探,端口转发 ,内网代理,内网扫描,生成后门,清除日志等等。
11.SQL注入怎么写入webshell?
条件:
1、知道web绝对路径
2、有文件写入权限(一般情况只有ROOT用户有)
3、数据库开启了secure_file_priv设置
然后就能用select into outfile写入webshell
sqlmap写入
写:(要写的文件,必须在kali本机里有)
写入到 /tmp 目录下
sqlmap -u "http://127.0.0.1/index.php?page=user-info.php&username=a%27f%27v&password=afv&user-info-php-submit-button=View+Account+Details" -p 'username' --file-write="shell.php" --file-dest="/tmp/shell.php"
12.常见的webshell连接工具的流量
中国菜刀
连接过程中使用base64编码对发送的指令进行加密,其中两个关键payload z1 和 z2,名字都是可变的。
然后还有一段以QG开头,7J结尾的固定代码。
蚁剑
默认的user-agent请求头是antsword xxx,不过可以修改。
一般将payload进行分段,然后分别进行base64编码,一般具有像eval这样的关键字,然后呢大概率还有@ini_set("display","0");这段代码。
13.windows应急响应时排查分析的相关细节
**1.可疑账号排查 lusrmgr.msc**
**2.****可疑进程和服务排查 taskmgr services.msc**
**3.****可疑启动项排查**** ****msconfig**
**4. ****可疑文件排查**
**5. ****恶意样本排查**