Skip to content

Latest commit

 

History

History
367 lines (282 loc) · 18 KB

README.md

File metadata and controls

367 lines (282 loc) · 18 KB

被虐经历

知识清单

  • xss防御相关

    • 编码防御
      • html实体编码

      • js编码

      • url编码

      • 输出点在标签内部应该怎么防御?

      • 输出点在标签外部应该怎么防御?

      • 三种编码的关系,以及什么地方用到什么编码

      • 浏览器解码的过程

      • 开启httponly的情况下如何利用XSS漏洞

      • xss输出在注释里怎么利用 (换行符利用)

      • 如果页面是gbXXX 如何利用宽字节进行xss利用

      • 在xss利用过程中 讲 < 写成 \u003c 可以绕过安全防护 请问这个安全防护的思路是什么

      • XSS防御的7大原则

      • 心伤的瘦子XSS教程

      • 富文本防御XSS的思路

      • 如果 ”javascript“字符串被过滤了,你的绕过思路是什么?

        • 大小写
        • Tab 空格 回车(%0a)
        • 插入 “/**/” \0 \
        • 编码
      • CSS中expression表达式可以插入xss吗

      • 如果输出点在css style标签中 要注意expression表达式 import等之类

      • XSS编码方案(方案普遍性很高,具体要看业务场景)(大家自行思考为什么这么做?)

      • 关于xss编码与浏览器解码的原因 这个是个硬核知识点,基本上前端的xss安全绕过问题都是基于浏览器的特性来发现的,推荐阅读研究:深入理解浏览器解析机制和XSS向量编码 这个可以解释很多标签 比如svg标签。

        • 当输出点出现在HTML标签属性:
           < -> &lt;
           > -> &gt;
           & -> &amp;
           " -> &quot;
           ' -> &#39
        
        • 当输出点出现在<script>标签中。这种情况相当危险,不需要考虑xss触发,只需要考虑编写js即可
            ' -> \';
            " -> \";
            \ -> \\;
            / -> \/;
            (换行符) -> \n;
            (回车符) -> \r;
        
        • 当输出点出现在body中
            < -> &lt;
            > -> &gt;
            & -> &amp;
            " -> &quot;
            ' -> &#39
        
        • 当输出点出现在js事件中(onClick="你的代码")
            < -> &lt;
            > -> &gt;
            & -> &amp;
            " -> &quot;
            ' -> &#39
            \ -> \\;
            / -> \/;
            (换行符) -> \n;
            (回车符) -> \r;
        
        • 输出在URL属性中<script src="你的代码">
          • URL编码
      • 推荐阅读

  • CSRF相关

    • 只校验Refer可以吗
    • samesite防御csrf的原理。
    • token放在哪里?放在cookie里可以吗?不失效可以吗?
    • 如果后端没有session,那应该怎么防御。
  • XXE漏洞相关

    • XML文件格式
    • XXE漏洞利用的方式
    • XXE漏洞修复方案
    • XXE漏洞
  • sql注入漏洞相关

    • 注入的类型

      • 普通注入(有数据库回显)

        • 数字型注入
        • 字符型注入
      • 盲注

        • 什么是盲注
        • 三种类型
          • 基于布尔类型的盲注

            • left()
            • substr()
            • version()
            • ascii()
            • user()
            • database()
            • @@basedir
          • 基于报错的盲注

            • double数值类型超出范围
            • bigint溢出
            • xpath函数报错注入
            • extractvalue()
            • floor() rand() group by
          • 基于时间延时的盲注

            • sleep()
            • benchmark()
      • 堆叠注入

      • order by注入

      • 宽字节注入

        • 1.php?id='1%df反斜杠' (其中反斜杠为%5c,%df%5c在GBK编码下可以变成'蓮' 类似于这个字,那个字我不会打,原谅我没文化) 变成 1.php?id='1蓮'
        • 将 ' 中的 \ 过滤掉,例如可以构造 %**%5c%5c%27 ,后面的 %5c 会被前面的 %5c 注释掉。
        • 宽字节注入的修复方案
      • URLDecode二次注入

        • 浏览器编码完之后WebServer会自动解码的,如果后端程序误用urldecode函数会造成此类情况(1.php?id=1%2527==>(WebServer)1.php?id=1%27==>(urldecode)1.php?id=1')
    • 检查注入的思路

      • 通过加单引号 双引号看看是否有报错。

        • 有报错(不一定有注入):

          • 通过拼接语句来进行状态判断
            • and ,or
        • 没有报错(有可能是盲注):

          • 如果关闭错误回显的话 基于报错注入就不可能了。
          • 构造语句利用延时注入和联合注入进行攻击
            • sleep benchmark extractvalue
      • 看状态码(正常的话是200 注入的话可能会存在500 302等)

      • 特殊注入需要额外观察:

        • 宽字节注入
        • url二次注入
    • mysql注释

      • '--'
      • '#'
      • /* */ 多行注释
    • 掌握

    • 方案(参数化查询会有问题吗?)

    • ORM

    • 如果检测被拦截了怎么绕过(比如sleep被waf拦了)

    • Mysql的提权都有哪些,UDF提权的原理。

    • Sqlmap原理

    • 在SSM框架中,Mybatis注入是什么情况造成的?#{},${}有什么区别,mybaties的预编译是如何实现的。

    • 什么情况下Mybatis必须使用${},为什么只能使用${}。

  • CRLF注入

  • SSRF

    • 说一个容易出现SSRF漏洞的场景
    • 如果过滤了以http开头的协议怎么绕过
    • 利用DNS重绑定来绕过SSRF的原理。
    • SSRF的地方也是可以跟伪协议在一起利用的。
  • Waf绕过

    • 绕过的本质是什么,是在寻找2个或者多个集合之间特性的差异。利用这些差异点进行绕过。
    • 架构层绕过WAF
    • 资源限制角度绕过WAF
    • 协议层面绕过WAF的检测
    • 规则层面的绕过
      • SQL注入
        • 注释符绕过
        • 空白符绕过
        • 函数分隔符
        • 编码相关
      • 文件包含
        • 相对路径
        • 绝对路径
  • DDOS防御相关

    • DDOS攻击的类型
    • DDOS云防御的方案
    • DDOS反射攻击基于的协议?为什么基于这个协议?
  • android逆向相关

    • 脱壳的原理

    • 如何查壳

    • smali语法

    • davilk指令

    • 如何防打包

    • 如何防签名校验

    • Android App加固原理分析(说一个加固的思路)

    • 防御思路

      • 对抗静态分析
        • 代码混淆技术 ProGuard
        • NDK保护
      • 对抗动态调试
        • android:debuggable="false",让程序不可调试
        • android.os.Debug.isDebuggerConnected()
        • 检测模拟器
      • 防止重编译
        • 检查签名 Eclipse自带的调试版密钥文件生成的apk文件的hash值,与上面的函数获取的hash比较
        • 检测Dex文件的Hash
    • android 反调试原理

      • 检测/proc/pid/status文件中的tracePID 如果不为0的情况,就是说明有程序正在进行反调试,该值为调试的进程的pid。一般在native层会fork一个子进程来循环的读取/proc/pid/status文件中的tracePID字段,如果不为0,直接exit
    • 绕过反调试的思路

      • 在JNI_ONLOAD下断点
      • 修改android内核。
    • android加壳

      • 说一说每一代壳的主要技术和思路。

        • 网络上对android壳的发展历史有着多个版本,有的是认为发展到现在经历了4代壳,有的则认为是5代壳。不过这些都不重要,相关的技术和思路都提现出来。这里我以5代为版本说一下我自己的理解。
          • 一代壳最大的特点是动态加载,思路比较简单,就是在静态的情况下不让你看见整个dex文件,然后主动运行壳的入口,然后自定义类加载器进行加载,运行。这种脱壳的核心思路就是在内存中找到一个比较合适的时机,对dex文件进行dump。比如dvmDexFileOpenPartial函数下断点,这个函数是优化dex文件的函数,第一个参数就是dex文件指针。

          • 二代壳主要是实现了不落地加载。这个不落地是指文件没有流入文件系统,直接在内存中动态生成,但是由于dex文件依然是成片存在于内存中的,所以核心思路还是在合适的时机dump内存即可。由于不同厂商分别不同实现了相关函数,或者对一代壳的dvmDexFileOpenPartial函数进行了相应的保护。一般二代壳在mmap(),memcpy()等下断点依旧可以dump出dex文件。

          • 三代壳主要是在前2代的基础上增加了代码抽取。这样在你面前呈现出来的代码很多函数都是空的。那是因为在此之前你的dex文件中很多关于method_id部分中代码用00来填充,真正的代码隐藏在别处,在这个函数被执行之前,主动还原被填充的00 ins部分。这种壳脱壳可以借鉴dexhunter工具。

          • VMP壳和Ollvm混淆 目前比较领先的加固方案。

      • dex文件的加载流程:

  • 浏览器安全

    • https协议握手过程
    • burp 中间人攻击的原理
    • 分别说3个对称加密 非对称加密 哈希算法
    • CSP
    • 除了公私钥密码加密体系还有其他可以确保传输安全的吗?
    • 简述一下同源策略
    • 同源策略下如何从 a.baidu.com 去获取 www.baidu.com 的 Cookie
    • 网页木马的工作原理
    • 同源策略下如何解决跨域请求 (分别说说原理和局限性)
      • document.domain
      • jsonp
      • CORS
    • cookie遵守同源策略吗?(其实是不完全遵守的)。
    • jsonP安全
    • CORS的整个流程能说一下吗?
    • CORS跟CSRF之前有什么联系吗?能把这个问题想明白,前端跨域这块算是可以了。
  • PHP安全

    • PHP的那些魔法函数造成的安全问题(当然了,你也可以说程序员不了解php的语言特性 哈哈哈哈) 我个人觉得这些魔法函数是代码审计的基础,这也是为什么代码审计都喜欢挑php来捏,语言特性太强大。(这块的东西参考一个git吧 https://github.com/bowu678/php_bugs) 包括不限于

      • 弱比较==
      • strpos()
      • intval()
      • preg_replace /e问题
      • extract变量覆盖
      • 当然了 变量覆盖的点还有 $$ 等
      • 数字开头字符串和数字比较。
      • 00截断(这里我列的肯定是不全,这块我准备慢慢更新吧)截断应该在5.3之前把。
      • php命令注入怎么防御
      • escapeshellcmd和escapeshellargs2个函数一起使用会造成什么安全问题。
    • thinkphp SQL注入的分析过程(3.2版本中的find(),delete(),select()分析一下这几个函数,跟踪一下)(我分析的一处 https://tiaotiaolong.net/2019/07/19/Thinkphp3.2-SQL注入分析/ )收录到我的git项目 tiaoVulenv

    • php fpm未授权访问

    • php-fpm跟nginx搭配的情况下,可以通过nginx的特殊配置造成代码执行。

    • thinkphp 命令执行的分析过程(5.x的命令执行)

    • php的反序列化漏洞,和序列化中的那几个魔法函数。unserialize()

    • webshell变形(可以利用php的特性),那么问题来了,有什么好的检测方法或者思路可以杜绝任意的php变形webshell?行为检测?还是其他方案。

    • phpinfo解读 从泄露的phpinfo中你能解读写什么东西?(以前渗透测试时候基本都忽略了,下面有篇文章 http://tiandiwuji.top/posts/23527/)

    • Joomla 的反序列化 这个比较经典 涉及到了php构造对象注入。

    • php伪协议

    • typecho反序列化漏洞,这个算是一个老洞了,但是我觉得这个漏洞利用魔法函数触发可以说是较为经典。就算是告诉我这个漏洞点,我也找不到利用链啊。Typecho反序列化漏洞分析

  • Java家族安全

    • 著名java反序列化漏洞 Apache的common Collection组件里的调用链的原理和利用思路(这个文章特别多) 后续的很多软件的漏洞都是因为使用了这个apache的组件导致的。我写了一个关于我的理解( https://tiaotiaolong.net/2019/07/19/Apache-Common组件反序列化原理/ )同时也收录到我自己的git项目 tiaoVulenv 里。

    • 关于java反序列化一般都是怎么修复的,修复思路是什么?黑名单?

    • fastjson 反序列化的问题 关于fastjson我写了一个连载,在博客里,同时也在我自己的git项目tiaoVulenv里。

    • 说了fastjson 也提一下jackson,跟fastjson如出一辙,很有同感。

    • shiro 认证模块反序列化漏洞 大致原理以及利用方式。shiro在自己并不是采用class.forname()的方式进行加载的,导致无法支持数组类型的装载,在调用链上有依赖性。

    • shiro的密码学安全问题,PaddingOracle安全问题。

    • Spring 安全 jndi注入和其他好多次的SpEL表达式注入,针对表达式注入有什么好的思路修复吗。

    • Struts2 安全 我觉得和spring表达式安全问题差不多,逐渐被淘汰,可以先去理解SpEL。

    • JBoss 安全

    • Tomcat 安全 put类型文件上传 和 最近新出的GhostCat

    • WebLogic安全 原理 利用方法 本质问题是java的xmldecode的反序列化问题。这个调试起来比较有难度!

    • jenkins 安全问题

    • ysoserial你真的会了吗?里面几十种调用链,光commoncollection系列目前就7个,可以好好的用idea调试一下ysoserial,你会发现ysoserial的调用链太精彩了。

    • JVM学习 可以参考深入理解Java虚拟机。学习JVM主要对我们理解类加载器装载类的过程有很大帮助,对反序列化的理解的帮助是巨大的。

    • java动态代理,反射,spring的IOC。

    • springboot快速创建一个简单的增删改查项目,使用maven构建,有助于我们复现漏洞环境,总不能依赖于docker吧。

    • SSM框架可以不会写,但是要会看懂代码之间的逻辑运行关系,会读懂每个xml文件,便于审计,开发的话可以直接使用springboot。

    • 利用RMI JNDI注入来完成命令执行的模式是怎样的,了解一下RMI协议,说说rmi的调用过程。

    • JDK7u21 调用链 https://tiaotiaolong.net/2020/03/15/JDK7U21调用链/

    • RMI和LDAP攻击在java的高版本是有防御机制的,那如何绕过该防御机制。

  • 企业安全相关

    • Redis主从命令执行攻击的原理。
  • Python

    • python参数传递是依靠值传递还是引用传递?
      • 传入可变对象和传入不可变对象的结果一样吗? 为什么
    • python lambda表达式
    • python 闭包
    • python 装饰器
  • 应急响应 or 红蓝对抗

    • php扩展门
    • pwnginx后门 如果机器存在这种门,该怎么发现它?
    • 自己纯手动搭建一次nginx,apache,tomcat。做到了解所有目录结构和配置文件。
    • apache的扩展后门都有哪些?可以自己动手搭建一下,那这种后门的缺点是什么?
  • 安全开发

    • 利用openresty写一个简易版本的WAF。谈谈基于规则检测恶意流量的缺点和优点,那如果是基于算法呢?
    • 利用Celery实现自己的扫描器,说说扫描器的思路。
    • 如何设计一款白盒扫描器,可以定位到漏洞点和追踪数据流向。
    • 如果让你设计一个简单的web框架,你如何设计。
    • 针对白盒代码审计,应该如何设计一个系统,静态的可以针对有问题的变量进行自动的回溯?
    • 接着上面的问题,有什么思路可以动态的回溯呢?
  • 认证

    • OAUTH哪些地方容易出现安全问题
    • JWT的安全点在哪里
  • 开放问题

    • XXE跟SSRF你觉得有什么关系吗,相同点跟不同点都可以说说。