1.去年护网期间担任什么角色?
看waf——》报警(判断是否真的攻击)——》查看分析日志
2.护网前期做什么?
资产梳理、服务器对应操作系统补丁、网络拓扑、工具准备
3.waf和ips有什么区别,分别怎么使用?waf防护的是什么?
- waf(web应用防火墙)位于OSI应用层,较为片面有深度。针对协议FTP、HTTP、HTTPS
- IPS(入侵防御系统)位于网络层、传输层、会话层、应用层、表示层,比较全面但是浅
- IPS好比大楼的保安,对出入大楼人员进行检查,发现可以人员禁止入内。但是对于貌似忠良的人混进去无能为力。
- waf好比大楼老板的贴身保镖,通常只保护特定人员(web服务器)。waf仅提供对web应用流量全部层面的监管。
- (当攻击发生时,IDS只能发出警报,并不能阻止攻击发生。而IPS却能有效阻止攻击行为的发生,因为所有流量在达到目标服务器之前,都需要流经IPS)
4.你对蜜罐有什么了解?使用过么?
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,没有业务用途。
蜜罐的流量预示着扫描或攻击行为,较好聚焦攻击流量。
没有使用过!
5.去年护网期间,红队通过蜜罐攻进内网,你知道是什么漏洞么?你知道是怎样实现的么?
什么漏洞???
蜜罐与内网相连,通过蜜罐的端口攻进内网
6.说一下SSRF漏洞?SSRF漏洞是怎样实现的?
7.给你一个网站,怎样挖掘SSRF漏洞?怎样批量扫描网页的请求第三方URL?
- 数据层面需要关注的关键字段是URL、IP地址、链接等,关键字有:share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL、domain。。。
- 业务层面需要关注任何通过URL进行资源调用(入)或者向外发起网络请求(出)的功能,如通过URL上传下载处是存在最多SSRF场景。其他具体业务场景包括:内容展示、社交分享、在线翻译、收藏功能、WebMail邮箱、各种处理工具
工具扫——》???
直接查看源代码CTRL+F搜索关键字:
8.我们这里用的中间件是weblogic,说一下weblogic的漏洞?
- 1.反序列化漏洞
- 2.SSRF漏洞
- 3.任意文件上传
- 4.war后门文件部署
9.防火墙怎样判断这是一个反序列化漏洞?
抓包,反序列化的数据包有固定格式的字符串
O:length:"value":属性数:{属性类型:属性length:属性value;属性类型:属性length:属性value;}
攻击者通过(抓包)篡改属性length和value达到目的
10.云waf怎样使用/防护?阿里云waf,华为云waf,腾讯云waf
11.溯源你怎样抓到真的IP?