自我介绍(基本信息 有些项目经历的浅谈下吧 有ctf的写下 表达对下对网安的热爱 浅谈下自己的爱好特长(忌夸夸其谈) )
1 同源策略 同源策略是一种约定,它是浏览器最核心也最基本的安全功能 如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Wb是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。它是一个安全策略。所有支持JavaScript的浏览器都会使用这个策略
2 http-only http-only禁止js读取cookie信息
3 xxe原理 出现位置 xml的外部实体注入漏洞 pdf在线解析定制协议
4 sql注入原理和防御 注入类都是对源码的破坏执行恶意代码
过滤(限制长度) 怎么识别恶意内容(union,information_schema,order by,update,drop,select...)
转义(直接把用户的输入当成文本,魔术引号magic quote)' " \
预编译(参数化,绑定变量)
禁用某些参数(secure file priv #root权限)
防火墙 限制同IP多长时间 (禁用IP 黑名单)
数据加密(加盐)
数据库异常信息隐藏(error base)
权限的定义
5 xss原理和防御 将用户的输入当作js代码
对前端输入进行过滤编码(只允许输入指定字符),输入检查要在后端,对特殊字符进行过滤和转义
输出做过滤和编码转义,给关键cookie加上http-only
6 xxe csrf xss xml的DTD引入外部实体恶意攻击 跨站请求伪造攻击(xss跟进实现的一种) 跨站脚本攻击
7 mysql shell的上传条件 root权限 绝对路径 load_file读取文件 union查询 web目录写权限(路径加单引号否则16进制) into outfile写入一句话
8 session cookie的区别
cookie客户端 字符串类型 生命周期在浏览器关闭 最大4kb
session服务端 对象类型 生命周期间隔的
数据类型 key-value
9 python的多线程和异步
多线程:多线程是程序设计的逻辑层概念,它是进程中并发运行的一段代码。多线程可以实现线程间的切换执行。
异步:异步和同步是相对的,同步就是顺序执行,执行完一个再执行下一个,需要等待、协调运行。异步就是彼此独立,在等待某事件的
过程中继续做自己的事,不需要等待这一事件完成后再工作。线程就是实现异步的一个方式。异步是让调用方法的主线程不需要同步等待另
线程的完成,从而可以让主线程干其它的事情。
异步和多线程并不是一个同等关系,异步是最终目的,多线程只是我们实现异步的一种手段。异步是当一个调用请求发送给被调用者,而调用
者不用等待其结果的返回而可以做其它的事情。实现异步可以采用多线程技术或则交给另外的进程来处理。
10 dom型xss和反射型xss
反射性在get提交
存储型留言板
dom型与网页交互的地方
11 应急响应流程
windows日志查看eventvwr.msc
检查账户 regedit 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList HLM\SAM
文件分析 C:\Users\Administrator\Local Settings\Temp C:\Users\Administrator\Local Settings\History
最近打开的文件文件修改时间 host文件C:\Windows\System32\drivers\etc
网络行为排查
网络连接排查netstat -ano
流量分析wireshark/burpsuite/charles
漏洞与补丁信息systeminfo
可疑进程分析:进程名字异常/伪装
网络行为排查:
重要的辅助站点:
https://www.virustotal.com/
https://x.threatbook.cn/
https://beian.cndns.com/
google baidu
进程信息排查 pchunter
启动项排查:msconfig任务管理器 注册表的自动启动 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 计划任务(gpedit.msc本地组策略 taskschd.msc计划任务)
特定事件痕迹:
挖矿病毒
勒索病毒
linux
ifconfig
top -c
lsof -i -PnR 查看网络通信情况
ps aux | grep [PID] 查看进程信息
lsof -p [PID] 查看进程打开的文件
md5sum [文件名] 计算文件的md5值
---------
网络行为分析
who
查看当前用户的登录信息
uname -a
查看系统信息
netstat -ano
所有网络连接
netstat -utnpl
查看带端口情况的
arp -a
查看arp表
iptables
iptables -A OUTPUT -d 123.123.123.123 -j DROP
iptables -I INPUT -p tcp --dport 443 -m string --string "xxx.com" --algo bm -j DROP
------------
进程检查
ps aux
ps -ef
top -c
lsof -p [pid]
lsof -i
lsof -c
-------------
启动项排查
/etc/init.d/
/etc/xinetd.d
查看rc.local文件
/etc/rc.d/rc[0-6].d
/etc/profile.d/
init文件名,系统启动的第一个脚本
init.d目录名,服务启动脚本
rcX.d目录名,
-------------
计划任务
/etc/crontab
/var/spool/cron/root
crontab -l
crontab -r
crontab -e
-------------
服务排查
cat /etc/services
1-1024 系统保留,大多数情况只能由root使用
1024-4999 由客户端程序自由分配
5000-65535 由服务端程序自由分配
服务自启动
chkconfig --level 2345 httpd on
0 = 关机
1 = 单用户
2 = 有网络连接的多用户命令行模式
3 = 无网络连接的多用户命令行模式
4 = 不可用
5 = 带图形界面的多用户模式
6 = 重新启动
chkconfig --list 查看服务自启动状态
--del
-----------------
文件检查
rpm -Va 查看所有软件包的变化情况
/tmp
/etc/init.d
/usr/bin
/usr/sbin
/root
/boot
/bin
/sbin
/etc/passwd
/etc/shadow
ls -alt
按时间排序
find / *.py -perm 4777
ls -al /tmp | grep "Feb 10"
-----------------
帐号检查
w
查看某一时刻用户行为
cat /etc/passwd
cat /etc/shadow
less /etc/passwd
usermod -L [user]
userdel [user]
userdel -r [user]
删除用户之后,/home目录下的用户名文件夹也删了
last 查看成功的登录 /var/log/wtmp
lastb 登录失败情况/var/log/btmp
lastlog 查看上一次用户登录情况 /var/log/lastlog
last -x reboot 查看重启记录
last -x shotdown 查看关机记录
------------------
历史命令检查
.bash_history
history 查看历史命令
history -c 清空历史命令
------------------
cat /etc/hosts
处置命令:
chattr +i [目标文件]
chmod 000 [目标文件]
-----------------
日志位置:
/var/log/
日志配置文件
/etc/rsyslog.conf
(简历上写有蓝队经历 当时应急响应的措施)