shiro漏洞原理

shiro漏洞原理是攻击者利用shiro的默认密钥伪造cookie，触发JAVA反序列化执行命令或者写shell。

shiro工具原理

跑默认key

shiro550和721的区别

721是需要有效的登录才可以 550不用登录就可以直接跑key

log4j原理

log4j是一款通用日志记录工具，log4j有个lookup接口通过JNDI注入触发日志，在{}里面调用jndi服务反弹shell到指定的服务器
除了jndi还可以调用rmi

fastjson原理

fastjson就是为了知道传入的值是什么类型。加了autotype机制导致的。因为他为了知道是什么详细类型，每次都需要读取下@type导致的
攻击者准备rmi服务和web服务，将rmi绝对路径注入到lookup方法中，受害者JNDI接口会指向攻击者控制rmi服务器，JNDI接口向攻击者控制web服务器远程加载恶意代码，
执行构造函数形成RCE。

weblogic漏洞原理

WebLogic是Oracle发布的一个基于JAVAEE架构的web中间件
利用RMI（远程方法调用） 机制的缺陷，通过 JRMP 协议（Java远程方法协议）达到执行任意反序列化代码，进而造成远程代码执行。

Thinkphp 漏洞

该漏洞出现的原因在于ThinkPHP5框架底层对控制器名过滤不严，从而让攻击者可以通过url调用到ThinkPHP框架内部的敏感函数，进而导致getshell漏洞

Struts2 漏洞

Struts在使用某些tag等情况下可能存在 OGNL表达式注入漏洞，从而造成远程代码执行

APP抓不到包怎么办

Burp+Xposed+JustTrustMe抓包
通过反编译apk
使用安卓7.0以下的版本

DNSlog是什么？

dnslog你就把他理解成你自己的一个外网服务器，因为你自己的电脑常规来说是局域网，
所以需要一个外网服务器判断服务器是否出网或命令执行是否成功。

1.怎么判断报警是不是误报？2.用过那些安全设备？设备的功能有哪些？3.怎么判断是否是真实的外部攻击？

1.根据返回包判断是否成功 判断报警，把报警日志里IP放到情报威胁平台分析，同时分析请求包返回包包，注重xff和x-real-ip，还有webshell的流量特征
2. 设备基本分为监控 阻断 两种 3 真实攻击具备高线程 具有非正常用户访问特征，以及变异数据包

webshell特征

冰蝎2.0 强特征是accept里面有个q=.2
蚁剑是ua有answord 蚁剑的加密特征是以 "0x…="开头
哥斯拉pass字段
冰蝎3.0 Content-Type: application/octet-stream
菜刀流量存在一些特征字eval base64

SQL注入

报错注入 函数

floor()
updatexml()
extravalue()
exp()
multipoit()

布尔注入 函数

ascii()
substr()
hex()

AWVS扫描器的特征

主要是看请求包中是否含有 acunetix 或者 wvs 字段

Nessus扫描器的特征

nessus字段

XXE漏洞

修复：过滤用户提交的XML数据
使用开发语言提供的禁用外部实体的方法
禁止外部实体引入

xss

对字符实体进行转义、
使用HTTP Only来禁JavaScript读取Cookie值、
输入时校验、浏览器与Web应用端采用相同的字符编码

csrf

筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、
检验Referer

越权

对参数的白名单过滤
对权限的控制管理重新设计与限制
限制下载文件的类型

ssrf绕过

进制转换
利用句号
利用@
利用短地址
协议 Dict SFTP TFTP LDAP Gopher

修复

禁用一些协议，
设置白名单，限制访问内网ip
设置统一错误页面避免用户根据错误信息判断端口开发状态

SQL注入 原理

程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤

修复

关闭 SQL 错误回显
前端输入字符白名单验证
对输入的特殊字符使用转义处理
SQL 服务运行于专门的账号，并且使用最小权限
限制 SQL 服务的远程访问，只开放给特定开发人员
使用成熟的 waf
预编译

基线检查

对操作系统，数据库以及中间件等服务进行一些
安全配置的检查(版本,弱口令）。

正向代理和反向代理的区别

正向代理代理的是客户端,反向代理代理的是服务端
正向代理是在客户端搭建，反向代理是在服务端搭建
正向代理主要目的是解决访问限制问题
反向代理起到安全防护的作用