自我介绍
面试官您好!我叫王鹏宇,本科是在西南石油大学读的,是一所双一流大学。我本人对网络安全领域比较有兴趣的,并且想对国家网络安全建设做出贡献。我去年也参加了护网,在那边主要就是负责流量研判,然后其他像应急,溯源也多少做了一些,现在是在一家安全企业做安服,目前主要的工作就是,清点客户设备,看一下客户的设备,测试客户网站。
工作介绍
我们开展渗透测试工作,项目经理接到甲方的项目,一般就派35个人过去,甲方那边会给到我们资产信息表,领导给我们下发任务,一个平均每天5-10个站点。
有时候会甲方只给域名,这就需要我们自己去收集信息。看有哪些资产对外暴露,真实ip,域名子域名相关域名,目录,端口,组件
在甲方给到我们资产信息表后,我们针对资产信息表里的 ip 进行渗透测试,我们项目经理都会先拿着甲方的授权书给我们说,可以用扫描器的话,我们就会上漏洞扫描工具去扫。如果不让用的话,我们就会手工的去测。主要就是测试一下top10漏洞,然后收集网站信息,找一找nday。
手工挖的话,就是针对站点的每一个功能,挨个去测。就先去测一下,sql,文件上传,xss,csrf等等是否脆弱,如果没问题,就截图留证,然后重点找的就是逻辑漏洞,越权,并发,未授权等等
如果有挖出来漏洞,等甲方的人员修复后,我们在复测一下,看漏洞是否还存在,然后重新扫描一遍,如果没什么问题,就写写复测报告交上去。
这就是我正常做渗透测试的一个流程。
登录页测试
看到一个登录页的话,就测一下登录,注册,密码重置的功能点有没有什么问题,比如像什么,弱口令暴力破解啊,sql注入xss啊,万能密码啊,用户名手机号邮箱的枚举啊,越权登录啊,用户任意注册啊,任意用户覆盖啊,任意密码重置啊,然后就是电话号码,邮箱的轰炸,有没有做时间限制,能不能并发,然后就看看验证码的问题,验证码的可重放,可爆破,可识别,可绕过等等。然后可以看一看js前端泄露,用findsometing,看看有没有接口未授权
逻辑漏洞
首先逻辑漏洞就是根据功能点和数据包来测试的。
越权漏洞,就看看数据包参数中有没有用户id或者用户权限的相关字段,增删改一下尝试一下
并发漏洞,万物皆可并发啊,什么功能点都有可能因为同步机制问题出现漏洞,比如一个视频网站,点赞取消点赞并发,是不是可以搞事情,一个购物网站优惠券并发是不是可以薅羊毛,一个抽奖并发是不是可以白嫖。
支付漏洞,支付漏洞就看一下商品金额/数量篡改,比如金额数量负数小数,整数溢出有没有问题,账户充值的时候可不可以修改充值账户,可不可以绕过支付验证,让网站以为已经支付了等等
评论漏洞,有评论的地方就可以试试,xss,csrf发评论,并发刷评论啊,并发刷点赞啊什么的
hw
我去年就是在成都的一家公司护网的,负责的基本上就是流量研判,然后其他像应急,溯源也多少做了一些
告警
看告警,基本上就看各种的攻击流量啊,基本上就一些sql注入,xss,命令执行,反序列化啥的,很多是一些网站组件的nday。
有时候会看到一些钓鱼邮件,但钓鱼邮箱一般看不出什么,但是点一下右上角箭头,然后查看邮件原文可以看到ip,有时这个ip会是真实地址。
png图片后面跟参数,太明显了
应急,溯源
当时是态势感知报了一个服务器的可疑外联行为,项目经理就让我先去看一看,那是一台windows的服务器,我用rdp连上之后就先看外联ip嘛,netstat -ano,把那个可疑ip放到威胁平台上面,哦嚯,确实是一个恶意ip,然后就根据这个外联程序的pid找到对应进程和恶意文件,是一个png文件,取了样之后,我就把进程和恶意文件杀掉了,看了一下日志,后门是通过一个反序列化利用的的,就上报一下交给其他师傅去加固,然后去看其他的一些权限维持嘛,我下载了一个火绒剑去看当时,就看到攻击者做了一个定时任务和注册表的维持,然后对着应急手册查了一下其他的后门,也没发现什么,然后就是写报告上报。
就是当时有一个的恶意文件样本,我先上传到微步,报出后门的ip,查了一下ip,一台腾讯云服务器,然后在把这个ip放到威胁情报平台发现报了远控后门,漏洞利用,扫描器什么的,然后我查了一下那个恶意ip的备案信息和whois,就发现whois上面暴露了他攻击者的姓名和邮箱,然后我就把邮箱放在社工平台上面,就找到了这个一条和这个人姓名一样的信息,拿到了对方的姓名,住址,手机号等等,是个湖北人啊,那基本上可以确定了,然后就是写报告上报嘛。
