当前位置：首页 > news >正文

护网面试题2.0

news 2025/7/8 17:13:28

1.CSS和CSRF区别

通俗点讲的话：

XSS通过构造恶意语句获取对方cookie，

CSRF通过构造恶意链接利用对方cookie，但看不到cookie

XSS比CSRF更加容易发生，但CSRF比XSS攻击危害更大

2.XSS原理

XSS（Cross-Site Scripting，跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。

CSRF原理

CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种常见的Web安全漏洞，攻击者利用用户已登录的身份，在用户不知情的情况下，向Web应用程序发起恶意请求，以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。

3.sql注入原理

攻击者利用SQL语句或字符串将非法的数据插入到服务端数据库中，获取用户管理权限，然后将数据库管理用户权限提升至操作系统管理用户权限，控制服务器操作系统，

4.sql注入的关键字

sql注入的关键字 →select ，union， where

5.sql注入分类、绕过

**分类：**sql注入分为字符型和数字型。还可以将sql注入分为有回显的注入和无回显的注入，无回显的注入又别称为盲注，盲注有三大类，布尔盲注、时间盲注以及报错盲注；

绕过：大小写绕过、注释绕过、关键字/关键函数替换、特殊符号

6.如何防御sql注入

1、过滤，检查，处理

2、预编译sql语句

3、使用waf防火墙，安全狗，阿里云盾等waf进行防护

4、经常进行基线检查、漏洞扫描等工作

7.渗透思路

信息收集： 1、获取域名whois信息 2、服务器子域名、旁站、c段查询 3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等 4、服务器开放端口：22 ssh 80 web 445 3389.。。

漏洞扫描： nessus，awvs ，appscan

漏洞验证：是否存在漏洞，是否可以拿到webshell或者其他权限权限提升: windows内核溢出提权，数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权 linux内核漏洞提权、劫持高权限程序提权、sudoer配置文件错误提权

漏洞利用：

日志清理：

8.中间件漏洞

IIS ,tomcat ，apache ，nginx

9.应急响应流程及windows/linux用到的命令

应急响应流程

1、收集信息：搜集客户信息和中毒信息，备份

2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）

3、深入分析：日志分析、进程分析、启动项分析、样本分析

4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件

5、产出报告：整理并输出完整的安全事件报告

windows应急

一、查看系统账号安全

1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放 2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程 1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接 2、tasklist | findstr "PID"根据pid定位进程 3、使用功能查杀工具

三、启动项检查、计划任务、服务 1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可以的启动 2、检查计划任务，查看计划任务属性，可以发现木马文件的路径 3、见擦汗服务自启动，services.msc注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息 1、查看系统版本以及补丁信息 systeminfo 2、查找可以目录及文件是否有新建用户目录分析最近打开分析可疑文件（%UserProfile%\Recent）

五、自动化查杀使用360 火绒剑 webshell后门可以使用d盾河马等

六、日志分析 360星图日志分析工具 ELK分析平台

linux应急

1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号，主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意；

2、通过 who 命令查看当前登录用户（tty 本地登陆 pts 远程登录）、w 命令查看系统信息，想知道某一时刻用户的行为、uptime查看登陆多久、多少用户，负载；

3、修改/etc/profile的文件，在尾部添加相应显示间、日期、ip、命令脚本代码，这样输入history命令就会详细显示攻击者 ip、时间历史命令等；

4、用 netstat -antlp|more命令分析可疑端口、IP、PID，查看下 pid 所对应的进程文件路径，运行ls -l /proc/PID/exe 或 file /proc/PID/exe（$PID 为对应的pid 号）；

5、使用ps命令，分析进程 ps aux | grep pid

6、使用 vi /etc/inittab 查看系统当前运行级别，通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件；

7、看一下crontab定时任务是否存在可疑启用脚本；

8、使用chkconfig --list 查看是否存在可疑服务；

9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹；

10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀；

11、如果有 Web 站点，可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数（evel、system、shell_exec、exec、passthru system、popen）进行查杀Webshell 后门。

10.流量分析

拿到流量包后将其导入wireshark中，使用过滤规则对流量包进行分析

11.Behinder流量特征

冰蝎是一款基于java开发的动态加密通信流量的新型webshell客户端，冰蝎的通信过程可以分为两个阶段：秘钥协商加密传输