红蓝对抗之蓝队面试题part 6

OceanSec
306 阅读5分钟

本文已参与「新人创作礼」活动,一起开启掘金创作之路

非sql数据库

Zookeeper,HBase、Redis、MongoDB、Couchbase、LevelDB

常见OA系统

PHP:通达OA、泛微 Eoffice

Java:泛微OA/云桥、致远OA、蓝凌OA、用友OA

ASP:启莱OA

横向越权漏洞的修复

横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源

纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源

对于纵向越权,我们可以通过设置用户角色,为不同的角色提供不同的权限来避免

为了防止横向越权,我们可以使用缓存来进行辅助,当登录成功或者进行操作时,我们在缓存中存储一对由用户名和一个唯一的数字组成的数据(token),然后返回放入的唯一数据在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字,根据用户名在缓存中取出对应的数字,如果取出的数字和参数中传入的想等,则证明重置的当前用户的密码,否则不是,且不予以重置

如何打击黑灰产工具

  1. 全面监控和快速响应(溯源):对黑灰进行长期跟进,了解黑灰产工具的传播链条和路径,第一时间捕获活跃的黑灰产工具(建立特征词监控,数据取样、交叉分析)

  2. 建立软件指纹库,增加风险识别能力

  3. 建立黑灰产情报共享,最大化情报价值

如何反爬

  1. 后台对访问进行统计,如果单个 IP 访问超过阈值,予以封锁

  2. 后台对访问进行统计,如果单个 session 访问超过阈值,予以封锁

  3. 后台对访问进行统计,如果单个 userAgent 访问超过阈值,予以封锁

  4. 以上的组合

Linux下查找服务端口的命令

Linux下查找服务端口的命令?一句话查找80端口服务的命令?

使用grep 命令 要使用 grep 命令在Linux 中查找指定服务的默认端口号,只需运行

grep <port> /etc/services
grep services /etc/services

image.png

如何发现钓鱼邮件

钓鱼邮件发现

发现途径如下:

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警

推荐接入微步或奇安信的情报数据。对邮件内容出现的 URL 做扫描,可以发现大量的异常链接

钓鱼邮件处置

www.freebuf.com/articles/es…

  1. 屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问

    根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽

    邮件内容涉及域名、IP 均都应该进行屏蔽

    对访问钓鱼网站的内网 IP 进行记录,以便后续排查溯源可能的后果

  2. 屏蔽钓鱼邮件

    屏蔽钓鱼邮件来源邮箱域名

    屏蔽钓鱼邮件来源 IP

    有条件的可以根据邮件内容进行屏蔽

    删除还在邮件服务器未被客户端收取钓鱼邮件

  3. 处理接收到钓鱼邮件的用户

    • 根据钓鱼邮件发件人进行日志回溯

      此处除了需要排查有多少人接收到钓鱼邮件之外,还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

    • 通知已接收钓鱼邮件的用户进行处理

    • 删除钓鱼邮件

    • 系统改密

    • 全盘扫毒

  4. 后续:溯源、员工培训提升安全意识

如何查看区分是扫描流量和手动流量

(扫描数据量大,请求有规律,手动扫描间隔较少)

遇到.exe文件如何处理?

首先看它的来源和去向,然后可以下载但不运行,放入微步沙箱中,看是否有后门,若有后门,就用 IDA 反汇编得到恶意攻击者的有用信息,再进一步描绘出攻击者画像进行溯源

Linux 的 Selinux 是什么?如何设置 Selinux?

SELinux 是一种安全子系统,它能控制程序只能访问特定文件使用 setup 工具进入图形化关闭搜索或者修改/etc/sysconfig/selinux 文件

SELINUX=disabled

防火墙打开使用 service iptables start 或则/etc/init.d/iptables start

iptables 工作在 TCP/IP 模型中的哪层?

网络层

日志分析ELK的使用和分析

www.zhihu.com/question/21…

  • Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
  • Logstash是一个完全开源的工具,他可以对你的日志进行收集、过滤,并将其存储供以后使用(如,搜索)。
  • Kibana 也是一个开源和免费的工具,它Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。

举例-阿里规范 用户历史命令记录

缺点:安全性不够。使用x-pack实现安全认证及权限管理功能

awk sed的使用

Log4j

log4j 是 javaweb 的日志组件,用来记录 web 日志

去指定下载文件的 url 在搜索框或者搜索的 url 里面,加上 jndi:ldap://127.0.0.1/testlog4j会对这串代码进行表达式解析,给lookup传递一个恶意的参数指定,参数指的是比如ldap不存在的资源{jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意文件。比如是 x.class 下载完成后,并且会执行代码块

修复:升级 Log4j 到最新版本,根据业务判断是否关闭 lookup

如何证明恶意的宏被启用和点击了?

HKEY_LOCAL_MACHINE\USERDAT\Software\Microsoft\Office\<VERS>\<PROGRAM>\Security\Trusted Documents\TrustRecords

只寻找最后四个字节是 "FF FF FF 7F "的值。

这些文件已经启用了宏程序

avatar
文章
阅读
粉丝