hvv面试题1

1. waf的一般原理
  a. 监控和过滤传入流量
  b. WAF使用预定义的规则集以及正则匹配来判断流量
  c. 高级WAF能够进行行为分析，检测异常活动，如用户请求频率、请求头、UA等
  d. 拦截恶意流量
  e. 一些现代的 WAF 具有学习功能，能够自适应地调整其规则以适应新的攻击模式。  
  f. WAF 通常会记录所有传入流量的活动，并生成报告
  g.  WAF 的一般原理是通过监视、分析和过滤传入的网络流量，以识别和阻止各种类型的网络攻击，从而保护 Web 应用程序的安全性。  
2. HTTP头部的server字段的值有哪些信息
一般包括服务器软件的相关信息——服务器名称+版本号
包括可能出现Apache/IIS/Nginx  以及版本  以及操作系统
这项字段一般隐藏，否则不安全
3. Log4j2反序列化原理
log4j2是一个底层日志组件，它的lookup接口会造成通过JNDI引用命名服务，log4j2记录日志的时候，碰到${xxx}这样的文字没有一比一地记录下来，而是去解析了，那么就可以通过jndi接口引用到dns/rmi/ldap协议接口，dns协议不用多说，dnslog可以解析请求，rmi和ldap呢，攻击者可以自启一个服务器，通过${}传入精心构造的payload让目标服务器去请求攻击者构造的ldap服务器，以及攻击者自定义的内容，攻击者的服务器就会自动生成恶意的java类，然后通过HTTP端口下发给目标服务器。目标服务器收到之后就直接把它加载到内存中执行，RCE了。
4. 未授权访问原理
需要身份认证的网站应用/目录或是服务器组件等在未经身份认证的情况下就被成功访问，服务器可能缺乏访问控制，文件权限/ACL/数据库权限错误配置，以及系统、服务或资源本身存在安全漏洞
5. XXE漏洞原理
XXE就是服务器对XML解析时没有禁掉外部实体的引用与解析，导致攻击者构造的在DTD中声明外部实体的XML文档可以成功传入服务器并被直接解析，从而加载外部实体资源，造成文件读取、信息泄露、RCE等
6. Weblogic SSRF漏洞（CVE-2014-4210）利用过程
  a. 问题出在SearchPublicRegistries.jsp下的operator参数，其参数值可以请求服务器内部资源，由此探测出内网ip+6379的开放确定Redis的存在
  b. 然后这里也是利用了一波Redis未授权，SSRF通过Gopher协议直接操纵Redis数据库，命令就是将恶意代码写入计划任务，操作就是将payload进行url编码拼接在Redis的ip端口后面
  c. 注意这里需要利用Weblogic的特性，结合CRLF传入%0a%0d来注入换行符，使得命令成功执行
7. IIS中间件PUT文件写入的修复建议
  a. 把PUT方法禁了
  b. 使用PUT方法时，对身份进行验证
  c. 通过ACL禁止未授权用户对目录进行写入操作
  d. 对文件名和内容进行输入验证
  e. 文件上传目录隔离，并不要将路径反馈给客户端
  f. 上传文件扩展名白名单
8. struts2攻击特征有哪些
  a. RCE试图传入的命令以及执行结果
  b. 参数伪造，试图传入OGNL表达式
9. struts2的特征
  a. .do .action后缀常会出现，.jsp也可能
  b. 能够处理OGNL表达式
10. fastjson原理
服务端在处理传入的json对象时，没有对@type进行过滤，导致攻击者传入恶意的TemplateImpl类，这个类有一个字段是_bytecodes，是攻击者可控的，传入这个类被生成java实例导致rce
11. fastjson的1.2.25版本，payload做了哪些变动
由于@type多了个黑名单鉴定，我们传入的类以L开头分号结尾：Lcom.sun.rowset.JdbcRowSetImpl;
fastjson的1.2.42版本，payload做了哪些变动
对@type又多了个黑名单，但是变检测正数和倒数第二个了，所以我们payload变成LL开头，两分号结尾LLcom.sun.rowset.JdbcRowSetImpl;;
12. 如何判断是否使用了fastjson组件
  a. 请求包是否以json格式传值并且内容@type开头
  b. 通过提交特殊字符拿到错误信息看这个接口是不是调用了json
13. 如何判断shiro
  a. 登录界面的“记住我”“记住密码”等
  b. 请求包Cookie中存在rememberMe字段
  c. 登录失败返回rememberMe=deleteMe字段
14. shiro550与shiro721的区别，利用方式以及原理
  a. 区别：550可直接跑默认key，shiro721默认key跑不了，需要一个登录成功的cookie
  b. 原理：Cookie中这个rememberMe字段，它是先对相关信息序列化，通过AES加密，再base64编码，然后传入服务器，到服务器那里base64解码，AES解密，然后反序列化
AES这个Key曾经是固定的一个默认key，我们轻而易举能够构造恶意代码传入服务器，对于更改过的key可以进行爆破爆出来，还是可以打这个反序列化
  c. 利用：使用ysoserial，通过检测出来的CC链子监听一个JRMP端口，我们向服务器传入的payload就是指向这个端口，然后一旦Cookie发送到服务器，服务器连接到我们的JRMP服务器，ysoserial自动通过CC链子把弹shell的命令打过去getshell
15. 客户端部署的WAF和天眼，流量先过WAF再进天眼，这种情况下天眼告警中源ip是WAF的ip，这是为什么？
这就是因为部署的防御措施太多了，WAF用来检测和过滤WEB请求，而天眼进行态势感知，实时监控分析网络流量，WAF作为第一道防线拦截和过滤恶意流量，然后将检测后的再扔给天眼进一步分析，那么天眼是看到WAF的ip表明这些流量是被WAF处理过的。
16. 告警中发现源是DNS设备，告警类型是木马病毒，这是因为什么，用不用关注
  a. 可能是DNS设备遭受了木马感染
  b. 可能DNS设备被攻击者利用（可能DNS劫持）
  c. 误报
  d. 这个还是需要关注一下的，除了误报来说，DNS设备受攻击的可能性存在的，需要检查一下DNS设备的日志和流量数据，确保安全
17. 命令执行的告警，怎样判断是不是误报
  a. 看看返回包有没有命令被成功执行的
  b. 核实命令来源，看是不是正常业务执行的
  c. 看命令内容，有没有危险命令
18. 攻击ip为负载地址怎么找源ip
  a. 查看代理头（XFF/X-Real-IP）
  b. 审查负载均衡器日志
  c. Wireshark网络流量分析
19. Windows疑似被挖矿，你的排查思路是什么
  a. 检查系统资源、CPU占用
  b. 任务管理器netstat -anp寻找异常进程PID看端口信息，然后根据端口信息定位到文件，cd /proc/PID (ls -l)	禁用可疑的服务项
Windows使用wmic分析进程参数
  c. 查看启动项，查看不明来历的自启脚本
  d. 扫描恶意软件
  e. 检查网络连接，有没有大量流量被送到挖矿池或不明IP
  f. 审查日志，找异常活动/错误信息
  g. 检查防火墙规则（有没有被篡改）
  h. 查找挖矿程序
20. linux的计划任务怎么查看
crontab -l
21. 为什么组织会使用蜜罐
  a. 识别攻击者的攻击方式
  b. 收集威胁情报，包括攻击源IP、攻击载荷、攻击目标等
  c. 减少风险损失，不会对真实业务产生影响
  d. 欺骗和迷惑攻击者，耗费其精力
  e. 捕捉0day
22. 使用天眼如何查看日志
登录后有日志查看功能，选择日志源，还可以过滤日志数据，日志详情里包括时间戳、日志级别、来源IP、事件类型、详细描述等信息。
23. ThinkPHP框架漏洞
  a. 文件包含
  b. SQL注入
  c. RCE
  d. 敏感信息泄露
  e. 文件上传