分享:安全服务工程师面试知识点大纲
Hello,各位小伙伴大家好,这里是你们的小编Monster
今天分享的内容是最近面试中小编自己总结的(傲娇脸)一份知识点大纲。
我是根据这一份总结来进行复习的,现在分享给大家~
Part.0
目录
目录
一、使用指南
二、SQL注入
三、XSS注入
四、CSRF攻击
五、文件上传漏洞
六、文件解析漏洞
七、文件包含漏洞
八、命令执行漏洞
九、敏感信息泄漏
十、逻辑漏洞
十一、反序列化漏洞
十二、SSRF漏洞
十三、总结
Part.1
使用指南
使用指南
本篇内容仅仅为一个方便记忆的大纲,使用时需要自己去扩充大纲中的每一个点。
例如SQL注入的注入方法,我列举了报错注入、布尔盲注、时间盲注等等。。。
报错注入就需要自己去扩充,包含updatexml、extractvalue等等。
布尔盲注是当页面不显示查询内容,只反馈对错时使用的一种注入方式。
布尔盲注可以使用的函数很多,例如可以使用length函数来判断需要查询的内容的字符长度,使用substring函数来读取字符串的每一个字符,使用ascii函数来转换为相应的ascii值,最后通过布尔运算来判断字符的ascii值。
又比如时间盲注,当页面什么都不反馈时,使用sleep函数或者benchmark函数来进行判断:
if(ascii(substr(“hello”, 1, 1))=104,sleep(5), 1)
综上,本文只是提供一个复习思路,具体内容还需要大家自己去扩充。如果需要复习,记得去看小编以前的文章(链接已附在相应位置)。
接下来正式开始吧~
Part.2
SQL注入
SQL注入
(1)定义
攻击者利用web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令。
通过将这些恶意命令拼接到正常的SQL执行语句中一并执行,达到对后台数据库系统直接下达命令的攻击方式,称为SQL注入。
(2)手段
- 注入类型:数字型注入,字符型注入,模糊匹配
- 注入方法:报错注入、联合查询注入、布尔盲注、时间盲注
- sql server利用存储过程(xp_cmdshell)
- 注入点:GET、POST、COOKIE、User-Agent、XFF、Referer等
(3)防护
- 限制字符串输入的长度。
- 使用预编译语句。
- 输入过滤,检查变量的数据类型是否正确。
- 过滤敏感字符,比如单引号、双引号。使用mysql_real_escape_string()等安全函数。
- 最小权限原则,避免web应用直接使用root等最高权限直接连接数据库
(4)绕过
大小写绕过、编码绕过、注释符绕过、分隔与重写绕过、宽字节绕过等。
(5)二次注入
也称为存储型的注入,指攻击者将构造的恶意SQL语句成功存储到数据库中,在第二次访问时,服务器会查询数据库中已经存储的数据信息并处理,导致前面存储的恶意语句在服务器环境中被执行的一种攻击方式。
利用方式:绕过密码验证,修改用户密码
Part.3
XSS攻击
XSS攻击
(1)定义
XSS全称Cross Site Script,跨站脚本攻击。通常指攻击者通过“HTML注入”篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击手段 。
(2)手段
分类:哪三种,区别是什么
利用:网页挂马、盗取cookie、网页钓鱼、配合CSRF等完成攻击等
挖掘:利用字符编码、黑名单绕过、注入点分析(可能发生在HTML标签中、HTML属性中、在标签中、在事件中等)
(3)防护
- 开启HttpOnly
- 输入输出过滤:黑名单、白名单、电话邮件等符合格式要求、输入长度限制、使用安全编码函数对特殊字符进行转义,如htmlspecialchars()
(4)同源策略
为了避免出现网站A的cookie被网站B读取,浏览器引入了同源策略。必须满足以下三个条件,才能互相读取cookie值:
- 协议相同
- 域名相同
- 端口相同
Part.4
CSRF攻击
CSRF攻击
(1)定义
指利用受害者未失效的身份认证信息(cookie、session等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害人的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)的一种攻击行为。
(2)手段
使用短链接工具、将恶意连接插入到网页中标签、结合存储型XSS进行攻击。
(3)防护
- token机制。在HTTP请求中进行token验证,如果请求中没有token或者token内容不正确,则认为CSRF攻击而拒绝该请求。
- 验证码。通常情况下,验证码能够很好的遏制CSRF攻击,但是很多情况下,出于用户体验考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。
- 源ip、referer识别,在HTTP Header中有字段Referer,它记录了HTTP请求的来源地址。
挂载恶意代码到网页:
Part.5
文件上传漏洞
文件上传漏洞
(1)定义
大多数网站都有文件上传的接口,如果没有对上传的文件类型做严格的限制,会导致攻击者可以上传恶意文件。(例如Webshell)利用这些恶意文件,攻击者可能获取到执行服务器端命令的能力。
(2)手段
前端绕过:上传图片后缀格式的恶意文件,burp抓包后修改后缀
后端绕过:Brup抓包,修改“Content-Type”字段为为“image/jpeg”
%00截断,仅存在于php < 5.3.4的版本中,且需要关闭magic_quotes_gpc
伪造合法的文件头,如GIF89a(gif文件头),需要配合文件包含漏洞
(3)防护
- 判断文件类型。在判断文件类型的时候,可以结合使用MIME Type,后缀检查等方式。
- 对上传的文件类型进行白名单、黑名单校验,只允许上传可靠类型。
- 采用随机数重命名文件,使攻击者无法猜想上传文件的访问路径。
- 限制上传文件的大小,避免恶意脚本,防止由于内存、磁盘耗尽而造成的拒绝服务攻击。
- 将文件上传的目录设置为不可执行。
Part.6
文件解析漏洞
文件解析漏洞
(1)定义
当服务器接收到一个HTTP请求的时候,web容器(如IIS、Apache)首先会根据文件的后缀名,来决定如何去处理这个请求。文件解析漏洞,就是利用中间件漏洞去解析原本不能解析的文件。
(2)Apache解析漏洞
Apache解析顺序为从右往左遍历,直到遇到一个可以解析的后缀为止。
运维人员在配置服务器时,通过AddHandler添加了如下配置文件,只要文件名中的任何位置有.php,就会被交给php_module解析。
(3)IIS 6.0
- 利用特殊符号“;”,“;”号的功能类似于%00截断,上传webshell.asp;.jpg
- 目录以“xxx.asp“格式命名,该目录下的所有类型的文件都会被当作asp文件来解析执行。
(4)IIS 7.5
当IIS 7.5在Fast-CGI运行模式下时,如果服务器开启了“cgi.fix_pathinfo”功能,当访问的路径不存在时,会进行修剪,上传/webshell.jpg/.php,.php会交给php解析。
(5)Nginx解析漏洞
对于任意文件,访问时在后面添加/任意文件名.php ,便可交给php进行解析。
开启cgi.fix_pathinfo功能,该功能默认开启。
修改配置文件security.limit_extensions为空,会把所有文件都以php格式解析。
(6)防护
版本升级、关闭相应规则。对上传文件做严格过滤。
Part.7
文件包含漏洞
文件包含漏洞
(1)定义
我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程就叫做包含。
以PHP为例,常用的文件包含函数有以下四种:
include(),require(),include_once(),require_once(),可将包含的任意文件当成php文件进行解析,读取敏感文件信息。
(2)分类
本地文件包含,远程文件包含(allow_url_include、allow_url_fopen状态为ON)
(3)利用
- 读取本地敏感文件,文件解析。
- %00截断,%00截断需要php版本小于5.3.4,且关闭magic_quotes_gpc。
- 如果%00不可以截断,还可以尝试?截断,服务器会认为?后面为get传参。
- 配合文件上传执行恶意脚本、包含Apache日志文件access.log、error.log
- PHP伪协议
(4)防护
- 使用str_replace等方法过滤掉敏感字符
- 配置open_basedir,防止目录遍历
- php版本升级,防止%00截断
- 对上传的文件进行重命名,防止被包含
- 对于需要动态包含的文件可以设置一个白名单,不读取非白名单的文件
Part.8
命令执行漏洞
命令执行漏洞
(1)定义
网页有时候需要调用一些执行系统命令的函数,如php中的system、exec等。一旦用户能够控制这些函数中的参数时,且输入没有被过滤,就能够将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。
(2)手段
常见函数:system、exec、shell_exec、passthru
区别是?
(3)分隔符
- 管道符:| ||
- and符:& &&
- linux系统还可以使用;符进行分隔
以上方法的区别是?
(4)防护
- 对传入的命令进行严格过滤,检查数据类型
- 在后台对应用的权限进行控制
- 使用安全函数:EscapeShellCmd()函数、EscapeShellArg()函数
Part.9
敏感信息泄漏
敏感信息泄漏
- 默认账号未删除,导致第三方登陆
- 后台对公开放,未做权限设置
- debug等报错信息
- Git泄漏(可以访问.git目录)、开发人员使用git进行版本控制,可能泄漏源码
- SVN泄漏(可以访问.svn目录),版本控制器,可能泄漏源码
- 目录遍历、目录穿越
Part.10
逻辑漏洞
逻辑漏洞
(1)定义
验证机制问题、会话管理问题、权限控制问题、业务逻辑问题
- 验证机制:暴力破解、弱口令攻击、密码重置
- 会话管理:令牌有含义、令牌可预测、令牌可获取(URL中明文传输)、令牌不失效
- 权限控制:未授权访问、越权操作(水平越权、垂直越权)
- 业务逻辑:支付逻辑问题、重放攻击
(2)防护
验证码设置失效时间,设置多次输入错误锁定账户,提高用户密码强度。
未授权访问:修改后台名称进行隐藏,检查权限跳转到登陆界面,设置允许访问IP地址。
越权:通过合理的会话管理机制,识别用户及用户权限
Part.11
反序列化漏洞
反序列化漏洞
(1)定义
序列化是指为了方便存储和传输,将对象的状态信息转换为可存储与传输的形式的过程。
反序列化指将可存储或传输的形式(二进制、XML、JSON)恢复为对象的过程。
反序列化漏洞是指 应用程序对于用户输入的不可信数据进行了反序列化处理,使反序列化生成了非预期的对象,而在非预期对象产生的过程中,可能产生攻击行为的一种漏洞。
(2)涉及函数
PHP:serialize、unserialize
JAVA:XMLEncoder、XMLDecoder;WriteObject、readObject
Part.12
SSRF漏洞
SSRF漏洞
(1)定义
原理:SSRF 全称服务器端请求伪造,是一种由攻击者构造形成的由服务端发起请求的安全漏洞。主要攻击目标为无法直接访问的内部系统,由此利用服务端发起攻击。
产生原因:服务端提供了从其他服务器应用获取数据的功能,但并没有对输入做限制。
(2)手段
作用:从指定URL获取网页文本内容,加载指定地址图片,文件下载等。
(3)防护
限制不能访问内网的ip,以防止对内网进行攻击
屏蔽内网返回的详细信息。
Part.13
总结
总结
经过多家面试,面试官爱问的问题大致如下:
渗透测试的基本流程、SQL注入原理、XSS攻击原理、CSRF攻击原理、各类提权方法、内网渗透、各类中间件漏洞、常见服务端口号等等。
面试时一定要把简历上写了的内容完全搞懂,简历上没写的知识点回答不上不会特别严重,但写了的知识点也答不上就会非常丢分!
Part.14
结语
以上就是今天的全部内容了~
不知不觉中已经是本公众号的第26篇文章了,感谢大家一路的陪伴与鼓励。
小编也终于入门成长为了一名新手白帽,但是安全这门技术要学的东西实在是太多了,今后也会继续和大家分享、交流。
Peace!