深信服SCSA-S

渗透测试概述

第01测-渗透测试标准与流程

  1. 渗透测试的“后渗透攻击”阶段通常从(已经攻陷了客户组织的一些系统或者取得管理员权限之后)开始。
  2. 在渗透测试过程中,“确定渗透测试的范围和目标”事项,应在(前期交互)阶段完成。
  3. 渗透测试标准将渗透测试过程分为七个阶段(前期交互、信息收集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、报告)
  4. 在渗透测试的“渗透攻击”阶段,针对目标系统实施深入研究和测试的渗透攻击,主要包括(检测和防御机制绕过、触发攻击响应控制措施、渗透代码测试)。
  5. 渗透测试过程中主要以检测常规漏洞为主,一般不会用0day漏洞作为攻击手段。

第02测-渗透测试报告

  1. 编写渗透测试报告的两大宗旨及难点是(如何准确定位问题、如何让甲方认识到问题的严重性)
  2. 撰写渗透测试报告的内容摘要部分时,要求(明确指出客户所要求测试的系统是否安全、让客户明白渗透过程中做了什么以及接下来要做什么)
  3. 撰写渗透测试报告的主体部分时,要求(列出渗透测试中发现的所有漏洞、列举发现漏洞用的工具,payload,exp,影响范围,存在的隐患和危害等、给出漏洞修复建议)

渗透测试环境搭建与工具使用

第01测-Kali_Linux基础

  1. Kali是基于(Debian)Linux的发行版。
  2. 在Kali操作系统中,既属于“数据库评估工具”,又属于“漏洞利用工具”的是(sqlmap)。
  3. 在终端命令行中输入(shutdown -h now或init 0)命令,可立即关闭Kali操作系统。
  4. 在Kali操作系统中,具有密码破解功能的工具包括(John、Hashcat、Ophcrack)。

第02测-渗透测试目标环境构建

  1. WAMP Server搭建的网站默认情况下只有本地访问权限,如果要开通远程访问权限,则应该将Apache配置文件中<Directory “${INSTALL_DIR}/www/”>标签下的“Require local”修改成(Require all granted)。
  2. 以下哪些选项属于“Apache+MySQL+PHP”的程序集成包?(PHPStudy、WAMP Server)
  3. PHPstudy是一个PHP调试环境的程序集成包,它包含了以下哪些组件?(Apache、MySQL、phpMyAdmin)
  4. DVWA是一款开源的渗透测试漏洞练习平台,基于Apache+MySQL+PHP运行,包含了XSS、SQL注入、文件上传、文件包含、CSRF、暴力破解等各个难度的测试环境。

第03测-Nmap

  1. 在局域网内(即Nmap主机和目标机在同一个局域网中),无论采用哪一种选项,Nmap都是通过(ARP)报文来进行主机发现的。
  2. 使用-sP或-sn选项扫描跨网段目标主机时,Nmap会默认发送4个报文用于探测,以下哪个选项不属于这4个默认报文之一?(发往目标80端口的TCP SYN报文)应为443端口
  3. -sS表示TCP SYN扫描方式
  4. 当Nmap向目标端口发送TCP SYN报文后,如果收到了目标回复的(TCP SYN+ACK)报文,则可以判定目标端口处于开放状态。
  5. 在Nmap端口扫描相关的选项中,(-sA)单独使用时,主要用于探测防火墙是否对目标端口进行了过滤,而无法用于判定端口是否处于开放状态。
  6. 在Nmap中,用于操作系统侦测的选项是(-O)。
  7. 在Nmap中,可以利用(--script)选项指定扫描过程中所用的NSE脚本名称。
  8. Nmap支持的主机发现方法包括(ICMP ECHO、ICMP TIMESTAMP、TCP SYN、TCP ACK)。
  9. 在Nmap中,可以用-p选项指定扫描的目标端口,默认情况下,Nmap会扫描由-p选项指定的全部TCP端口。(不扫UDP)
  10. Nmap向目标端口发送TCP FIN报文,对于Linux系统的目标机,如果目标机未响应,则说明目标端口处于开放状态或被防火墙屏蔽;如果目标机返回TCP RST+ACK报文,则说明目标端口处于关闭状态。(Windows任何状况下都回复TCP RST+ACK)

第04测-BurpSuite

  1. BurpSuite基于(java)语言开发。
  2. 以下BurpSuite模块中,(Intruder)模块最适合用于对网站登录凭证实施暴力破解。
  3. BurpSuite的Proxy模块可以对(HTTP、HTTPS)协议报文进行拦截、修改和转发。
  4. BurpSuite可以使用下列哪些语言编写的扩展插件?(Java、Ruby、python)
  5. BurpSuite的Intruder模块,哪些攻击模式可用于“多个攻击位置,多个payload集合”的场景?(草叉模式Pitchfork、集束炸弹模式Cluster bomb) 狙击手模式Sniper是单位置单集合、攻城锤模式Battering ram是多位置单集合
  6. BurpSuite的Intruder模块支持下列哪些payload类型?(简单列表、自定义迭代器、递归提取、运行时文件)
  7. 利用BurpSuite对目标网站进行重放攻击时,可直接利用Proxy模块拦截并手工修改HTTP请求报文。

第05测-Metasploit

  1. Metasploit基本命令行对应的文件是(msfconsole)。
  2. Metasploit系统模块中,(post)模块主要用于在渗透攻击取得目标系统远程控制权之后,在受控系统中进行各式各样的后渗透攻击动作,比如获取敏感信息、进一步横向拓展、实施跳板攻击等。
  3. 用于初始化数据库并启动msf终端的命令是(msfdb init && msfconsole)。
  4. 在msf终端下,选择使用某一模块的命令为(use)。
  5. 利用Metasploit进行渗透测试的一般流程:扫描目标机系统,寻找可用漏洞;选择并配置一个渗透攻击(漏洞利用)模块(exploits);选择并配置一个攻击载荷模块(payloads);选择一种编码技术(encoders),用来绕过杀毒软件的查杀;执行渗透攻击;后渗透阶段的操作。
  6. 在msf终端下,可以用(show options)命令查看某模块需要设置哪些参数。
  7. ms17-010漏洞,即我们熟知的“永恒之蓝”,从本质上说是一种(缓冲区溢出)漏洞。
  8. 以下选项均为Metasploit中meterpreter模块的常用命令,可用于查看当前目标机上运行的进程列表的命令为(ps)。
  9. Metasploit是一款开源的安全漏洞检测工具,其核心代码中绝大部分由Ruby语言实现。
  10. 在Metasploit中,auxiliary模块主要用于执行扫描、嗅探、指纹识别等相关功能以辅助渗透测试,不需要和payloads模块联合使用。

第06测-FireFox浏览器渗透测试插件

  1. 在Firefox浏览器的插件中,(FoxyProxy)能够提高Firefox的内置代理的兼容性,可基于URL的参数在一个或多个代理之间进行切换。
  2. 在Firefox浏览器的插件中,(User-Agent Switcher)可用于改变HTTP头部中的某字段,以实现隐藏(伪装)客户端浏览器信息的目的。
  3. 在Firefox浏览器的插件中,(Wappalyzer)可用于分析目标网站所采用的平台构架、网站环境、服务器配置环境、JavaScript框架、编程语言等参数。
  4. Hackbar V2能够提供(XSS、SQL注入、XXE、本地文件包含)漏洞的测试攻击payload
  5. 利用Hackbar插件,可以对攻击payload中的字符串进行16进制编码。

第07测-SET

  1. SET(Social Engineering Toolkit)是Kali Linux中集成的一款社会工程学工具包,它是一个基于(python)语言的开源社会工程学渗透测试工具。
  2. 在Kali终端输入(setoolkit)命令即可启动SET。
  3. SET支持的攻击方法包括(收集网站认证信息、email钓鱼攻击、二维码攻击、Java Applet攻击)。
  4. SET不可用于端口扫描和漏洞检测。

第08测-密码攻击工具

  1. 在Hashcat中,可以用(-a)选项指定破解模式。
  2. 在Hashcat中,可以用(-m)选项指定Hash类型。
  3. 已知目标密码为8位字符串,其中前4位为小写字母,后4位为数字,利用Hashcat对其进行掩码暴力破解时,可以使用(?l?l?l?l?d?d?d?d)掩码
  4. 在Hashcat中,(hashcat.potfile)文件记录了近期Hashcat破解的所有Hash值和密码明文的对应关系。
  5. 在Hydra中,可以用(-P)选项指定用于存储密码的字典。
  6. 利用Crunch生成长度为6、以123元素为组合的字典集,并输出到/usr/number.txt。应输入(crunch 6 6 123 -o /usr/number.txt)命令实现
  7. 利用Crunch生成长度为3的字典集,第一位为数字,第二位为特殊字符,第三位是小写字母,并输出到/usr/pass.txt。应输入(crunch 3 3 -t %^@ -o /usr/pass.txt)命令实现
  8. Hashcat支持的散列算法包括(LM、NTLM、SHA2-224、SHA2-256)。

第09测-漏洞扫描工具

  1. 微软为安全漏洞设置了4个风险等级,从低到高依次为低危、中危、(重要)和(严重)。
  2. 在AWVS 14中,在(Target)菜单下可以设置扫描对象的相关参数,如IP地址、描述信息等。
  3. Nikto是一款基于(Pert)语言开发的开源Web扫描评估软件。
  4. CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)是一种行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。CVSS对漏洞的评分标准包括(基本评估指标、时效性评估指标、环境评估指标)
  5. AWVS 11和11以后的版本都是web版,之前的都是客户端版
  6. Nikto可以用于扫描目标的Web类型、主机名、指定目录、特定CGI漏洞、返回主机允许的HTTP模式等。
  7. OWASP ZAP具有Web安全漏洞模糊测试功能。(不能修复漏洞)

第10测-Webshell管理工具

  1. 如果要利用Weevely生成一个专用木马a.php(连接密码设为1234)并保存至/usr路径下,则需要在Kali终端执行(weevely generate 1234 /user/a.php)命令
  2. 常见的Webshell管理工具包括(菜刀、蚁剑、冰蝎)。
  3. “蚁剑”程序由(项目核心源码)和(加载器)两部分组成。
  4. 蚁剑的常用功能包括(虚拟终端、数据操作、文件管理)。
  5. Weevely不可用于管理由ASP语言编写的Webshell。

信息收集

第1课 信息收集总览

  1. DNS主要是完成域名和IP地址对应,提供解析服务,根域名服务器不提供具体的域名解析服务。
  2. DNS协议在传输层用到了TCP和UDP协议进行承载。

第2课 DNS介绍

  1. whois是一种传输协议,时常用于域名相关注册信息查询,它通常采用的的协议端口是TCP协议的43号端口。
  2. DNS记录类型:A(域名到IP)、NS(域名到域名服务器)、TXT(主机或域名的说明)、MX(邮件服务器)、CNAME(不同域名到统一域名)

第3课 子域名收集

  1. 以下哪一项不是子域名信息收集的原因?(确定子域名是否与私网地址对应)
  2. (利用搜索引擎语法、thehavester、aquatone)可以通过搜索引擎查询子域名

第4课 C段扫描

  1. 在使用“Nmap –sn –PE -n 192.168.1.1/24 –oX out.xml”命令扫描C段时,“sn”代表不扫描端口,“PE”代表采用ICMP方式进行探测,“n”代表不进行DNS解析

第5课 Web目录扫描

  1. 为了防止网络爬虫爬去网站敏感路径,通常采用“网络爬虫排除”协议,在网站根目录下新建一个文档文件,其名称通常是(robots.txt)
  2. (dirb、dirbuster、御剑)可以实现web目录扫描测试

第6课 指纹识别

  1. (-sV)是nmap工具对服务版本探测的配置参数
  2. sqlmap工具能实现对数据库注入的自动化探测和防火墙探测。

第7课 GoogleHacking

  1. google可以对指定的域名或IP地址类进行指定查询。

第8课 网络空间搜索引擎

  1. (shodan、zoomeye、fofa)是常见的网络空间搜索引擎
  2. shodan可以实现指定图标的搜索功能。

第9课 情报分析

  1. Meltego是一款网络情报收集展示工具,可以收集(网站域名、AS号、网络段、NS记录)
  2. Meltego是一款网络情报收集展示工具,支持第三方信息收集功能插件

Web安全综述

第1课-Web技术发展

  1. 早期静态页面Web站点入侵的方式有哪些(歪曲网站内容、暗链)

第2课-Web安全概述

  1. 中国黑客的发展经过了哪些时代(启蒙、黄金、黑暗)
  2. 在目前的网络犯罪中,造成主要破环的是脚本小子

第3课-常见Web安全漏洞

  1. 信息泄露漏洞是Web服务器或应用程序没有正确处理一些特殊请求造成的。
  2. 目录遍历漏洞最大的危害是能够让任意用户访问系统的敏感文件,继而攻陷整个服务器。

第4课-OWASP Top 10安全风险与防护

  1. 下列情况会导致不足日志记录、检测、监控和响应的是(未记录可审计性事件、日志仅在本地存储、没有定义合理的告警阈值和响应处理流程、扫描没有触发告警)

HTTP协议基础

第1课-HTTP协议-基础

  1. 万维网(WWW)主要由(超文本标记语言HTML、超文本传输协议HTTP、统一资源定位符URL)构成
  2. 统一资源标识符(URI)中字段包括协议、服务器地址、文件路径、登录认证字段

第2课-HTTP协议-特点

第3课-HTTP协议-请求方式

第4课-HTTP协议-状态码

  1. (403)代表请求资源的访问被服务器拒绝了。
  2. HTTP响应状态码是由3位数字和原因短语共同组成。

第5课-HTTP协议-报文头部

  1. HTTP报文首部有通用首部字段和实体首部字段,(Allow、Content-Language、Content-Length)属于实体首部字段

第6课-HTTP协议-请求响应过程

第7课-HTTP协议-HTTPS扩展

  1. TLS协议协商的(ClientHello)过程中,客户端向服务端展示可支持的密码套件
  2. TLS协议协商过程(Handshake Protocol)中的服务器会回复客户端一个ServerHello包,该包包括的内容有(服务器的随机数、会话ID、选定的密码套件、数据压缩方式)

SQL注入

第01测-数据库基础

  1. MySQL数据库(5.5以上版本)中哪个系统数据库保存着MySQL服务器所维护的所有其他数据库的信息?(information_schema)
  2. 假如MySQL数据库的登录用户名为root,密码为pass123,在本地用命令行方式连接MySQL数据库的命令为(mysql -h 127.0.0.1 -u root -p 或 mysql -h 127.0.0.1 -uroot -ppass123)。
  3. 在MySQL数据库中,不可以对默认的管理员账户root进行账户名修改和降权。

第02测-SQL注入漏洞利用

  1. (select username,password from users where username='textvalue' or 1=1 -- ' and password='textvalue2')将导致“万能密码”登录
  2. POST注入:Hackbar、Burpsuite;GET注入:导航栏、Hackbar

第03测-SQL报错注入

  1. 函数updatexml(p1,p2,p3)中有三个参数p1、p2、p3,利用updatexml进行报错注入时,攻击者可在(p2)位置设置payload
  2. 在MySQL数据库中,(exp、name_const)函数具有报错功能。

第04测-SQL盲注

  1. 在盲注中,攻击者根据其返回页面的不同来判断信息。一般情况下,盲注可分为两类,即(基于布尔的盲注、基于时间的盲注)。

第05测-HTTP文件头注入

  1. 假如某Web服务器会对HTTP报文头部某字段内容进行获取,用以验证客户端的身份。那么,该Web服务器最有可能存在以下哪种HTTP头部注入点?(cookie)
  2. 常见的HTTP头部注入类型包括(cookie注入、Referer注入、User-Agent注入、XFF注入)。
  3. 如果某Web服务器存在HTTP头部注入点,则可以通过下列哪些方式修改头部信息实现注入?(Hackbar、Burpsuite)

第06测-SQLMAP基础

  1. SQLMAP是用(python)语言开发的自动化SQL注入工具。
  2. 在SQLMap中使用sqlmap -u (ip地址)?id=33 -D cms --tables命令可达到什么效果?(得到服务器数据库的表信息)
  3. 在SQLMAP中,(-r)可用于从文件(如文本文档)中取出保存的HTTP请求包进行检测
  4. SQLMAP支持的数据库类型(关系型数据库)。
  5. 作为自动化SQL注入工具,SQLMAP可以与BurpSuite联动实现注入。

XSS

第1课-会话管理

  1. cookie存储在客户端,session存储在服务端
  2. Token支持跨域访问,cookie不能跨浏览器使用

第2课-Session攻击

  1. 通过(预测、劫持、固定)方式可以获取Session标识符
  2. (document.cookie、标签增加Set-cookie属性)方法可以用于对Session固定
  3. 窃取Session ID的方式大多通过攻击网络数据通讯层获取,使用SSL可以防御

第3课-Cookie安全

  1. HttpOnly可以有效防御XSS攻击获取Cookie

第4课-HTTP协议安全

  1. SSL协议由(记录协议、握手协议、警告协议、密码规范改变协议)组成

第5课-XSS跨站脚本攻击

  1. 常用于XSS漏洞验证的弹窗语句包括(alert、confirm、prompt)
  2. XSS漏洞的危害包括(盗取账号、劫持会话、刷流量)

第6课-Cookie攻击

  1. 同一个网站所有页面共享一个Cookie
  2. Cookie可以存储在硬盘中

第7课-XSS Worm

  1. DOM元素包括(文本、元素)

第8课-XSS攻击防御

  1. XSS Filter是通过正则的方式对用户请求的参数做脚本过滤,从而防范XSS攻击
  2. htmlspecialchars函数可以将字符转换成实体编码

第9课-XSS相关工具使用

  1. Dom型XSS中Payload:English #,#之后的语句不会发送给服务器验证
  2. BruteXSS误报量不高

文件包含

第1课-文件包含

  1. 下列属于文件包含函数的是(include、include_once、require、require_once)
  2. PHP文件包含漏洞在利用时无视后缀名,任何扩展名的文件都可以被PHP解析器解析。

命令执行

第1课-命令执行漏洞概述

  1. 命令执行常见的场景有(ping主机、DNS请求、Office文档、框架缺陷)
  2. Windows中管道符"|"是直接执行后一个命令

第2课-远程命令执行

  1. eval是一个语言构造器,不能被可变函数调用,可以实现远程代码执行

第3课-系统命令执行

  1. 以下哪种方法不能执行命令(system('eval(whoami);');)
  2. 反引号可能造成系统命令执行

第4课-命令执行漏洞及防御

  1. Windows和Linux都可以用"&&"来执行多条命令
  2. esacpeshellarg函数会将任何引起参数或命令结束的字符转义
  3. 使用自定义函数可以防御命令执行漏洞

文件上传与解析

第1课-文件上传漏洞概述

  1. 造成文件上传漏洞的成因有哪些(对上传文件没有足够的限制、操作系统特性、web服务器解析漏洞)(注意危险函数不是)

第2课-文件上传检测与绕过

  1. 文件上传客户端检测绕过方法包括(删除浏览器事件、bp抓包修改后缀名、伪造上传表单)
  2. 点、空格、::$DATA等特殊文件名在Windows是不被允许的,但在Linux中是允许的

第3课-Web容器及IIS

  1. IIS默认的Web目录是(C:\Inetpub\wwwroot)
  2. IIS在正常配置、无漏洞的情况下,可以解析后缀名为(.asp、.cer、.asa)的脚本文件

第4课-Apache文件解析漏洞

  1. Apache和PHP的结合方法有(CGI、FastCGI、Module)
  2. /etc/mime.types文件记录了大量文件后缀和MIME类型
  3. 使用AddHandler不可以完全避免Apache解析漏洞

第5课-Nginx文件解析漏洞

  1. Nginx识别文件的mime.types文件的路径是(/etc/nginx/mime.types)
  2. php.ini文件将cgi.fix_pathinfo的值设置为0可以在一定程度上防止Nginx文件解析漏洞。
  3. Nginx文件解析漏洞的攻击形式是xxx.jpg/xxx.php。

第6课-Tomcat任意文件上传

  1. readonly参数默认是true。
  2. Tomcat运行环境需要依赖Java环境。

第7课-上传漏洞防御

  1. IIS只有6.0版本有解析漏洞,5.1和7.5都没有。
  2. 将上传的文件存放于Web Server之外的远程服务器可以在一定程度上预防文件上传漏洞。

逻辑漏洞

第1课-逻辑漏洞概述

  1. 访问控制包含的要素有(主体、客体、控制策略)
  2. 访问是主体和客体之间的信息流动
  3. 强制访问控制中安全策略高于一切
  4. 一般的安全设备无法防御逻辑漏洞

第2课-验证机制问题

  1. 验证机制是应用程序防御恶意攻击的中心机制。
  2. 在实际暴力破解的过程中,统通常使用字典攻击。

第3课-会话管理问题

  1. 会话令牌使用的情景有(发送到用户注册邮箱的密码恢复令牌、防止CSRF的会话令牌、用于一次性访问受保护资源的令牌、未使用验证的购物应用程序的消费者用于检索现有订单状态的令牌)
  2. 网站存在(XSS、CSRF、会话固定)等攻击时,容易造成会话令牌被劫持
  3. Cookie的属性值expires如果不设置,浏览器关闭后令牌失效。

第4课-权限控制问题

  1. 权限控制一般有哪些步骤(身份验证、授权)
  2. 越权可以分为平行越权、垂直越权和交叉越权。

第5课-业务逻辑问题

  1. 业务逻辑包含的部分(领域实体、业务规则、数据完整性、工作流)
  2. 支付逻辑漏洞是指系统的支付流程存在业务逻辑层面的漏洞。

网络安全运营概述

第01课-什么是安全运营

  1. 我们提出网络安全运营的概念,是因为当下的网络安全存在哪些问题(安全运维工作量大、安全人员不足、安全运维效率底下)
  2. 在实现安全运营时,我们可以重点参考ISO 27001中的信息系统服务管理标准

第02课-安全运营产品与模式

  1. SIEM产品不包含(安全态势感知)功能
  2. 安全运营中心产品,以(资产)为核心
  3. 态势感知产品中使用的关键技术有(UEBA、大量关联分析、SOAR)
  4. MSSP服务主要提供(漏洞管理、安全设备日志分析)等服务
  5. MDR服务主要提供(威胁分析、专家服务、威胁发现与检测)等服务

第03课-安全运营技术架构

  1. 在安全运营中数据采集的常用手段不包含(smb共享)
  2. Elasticserach的特点有(高扩散、分布式、快速存储、快速检索)
  3. SOAR的主要作用是定义标准化工作流,便于自动化的响应

第04课-安全运营流程

  1. MSS服务漏洞管理的工作包含(漏洞分析、弱口令分析、新漏洞预警)
  2. 技术有效的安全运营包含(漏洞管理、威胁管理、事件管理、运营可视)等
  3. MSS服务的流程可以分为运营准备和持续运营两个阶段
  4. MSS服务中针对威胁的处置流程通常是威胁上报、威胁研判、安全通告、远程排查、溯源分析、闭环总结六个步骤

网络安全运营服务

第01课-安全运营服务基础

  1. 安全运营服务通常衡量的标准是(资产数量)
  2. 安全运营服务组件包括(下一代防火墙、EDR系统、漏洞分析工具)
  3. 安全运营服务的标准原则包含(业务主导规则、规范性原则、保密性原则、最小影响原则)

第02课-安全运营服务技术

  1. 安全运营中的"关键"技术包括(SORA、Playbook、USE CASE)等
  2. SOAR的三大支柱是(安全团队、安全技术、流程)
  3. 安全运营服务流程可以分为四个阶段,收集数据、分析数据、发出工单、专家介入
  4. USE CASE用于海量碎片化的信息中分析出真实的威胁存在,但不负责威胁处理
  5. SOAR的主要目的是为了自动化处理标准事件,减少安全运营人员工作

网络安全运营流程建设

第01课-安全运营中心的准备和规划

  1. IT部门无法为SOC提供(威胁检测)
  2. 在构建SOC时,我们需谨记SOC是(技术、人员、流程)融合的
  3. 构建SOC时,组织不应该外包(组织高度自定义的业务、组织独有的业务、依赖于组织流程的业务)等业务
  4. 通过调查,我们发现企业建设安全运营中心时,人员的应用比流程和技术更为关键
  5. 组织建立安全运营中心通常是希望改善安全状况,侧重于威胁检测

第02课-安全运营中心的实施

  1. SOC中的工具可以分为三大类,分别是(分析、行管和管理、威胁可见性)
  2. (EDR、NTA、VA、CASB)属于SOC工具中的威胁可见性类
  3. (SIEM、UEBA、沙箱)属于SOC工具中的分析类

基线管理与安全配置

第01课-基线管理概述

  1. 自动化基线检查的缺点是(可能造成未知影响)
  2. 常见的基线标准可以参照(CIS、OWASP、等级保护制度)
  3. 基线检查的维度通常包含(访问控制、授权管理、日志审计、入侵防范)
  4. (用户口令复杂度、访问控制颗粒度、用户权限分离)属于基线管理的访问控制维度检查,账号自动锁定属于授权管理
  5. 自动化基线检查的方式有(安装agent检查、使用脚本检查、提供账号给扫描平台检查)
  6. 基线检查的前提是将资产清单整理完成,否则整个基线检测工作会失去意义

第02课-windows安全配置

  1. windows基线人工配置的主要通过(组策略)
  2. windows基线自动化检查主要通过(注册表)
  3. 用户账户控制位于组策略的(安全选项)
  4. windows基线检查的账户策略包含(密码策略、账户锁定策略)
  5. 系统审核策略属于组策略的计算机配置(?)

第03课-linux安全配置

  1. 在基线管理中,Linux路径/var/log下的日志文件权限默认应配置为(600)
  2. 在基线管理中,Linux路径/etc/passwd的权限默认应配置为(644)
  3. linux安全配置原则有(最小安装、不影响业务可用、职责分离、审计记录)
  4. 通过/etc/ssh/sshd_config可以配置(是否允许root登录SSH、SSH登录失败次数、SSH会话的最大连接数)
  5. PAM模块是Linux中的认证管理模块,所有认证相关可以PAM管理

第04课-apache安全配置

  1. 为了保证系统安全,apache服务应该以非root的身份来运行
  2. 为了保证系统安全,apache网站目录下的文件所有者有应设为root
  3. apache的.htaccess文件可以控制当前目录的配置选项
  4. apache可以通过安装ModSecurity模块来实现WAF的功能
  5. apache通过编辑配置文件,加入requestreadtimeout选项来防止http的(慢速请求攻击)

安全事件管理处置

第01课-应急响应简介

  1. 通常,应急响应中心服务的内容有(安全事件响应、信息发布、安全事件分析)
  2. 在应急响应的准备阶段,要完成的事有(风险评估、业务影响分析、系统恢复能力等级设定、恢复目标确定)
  3. 在应急响应的检测和分析阶段,分析主要为了(确定事件性质、将事件分级分类、确定事件原因)
  4. 在应急响应的恢复阶段,恢复的优先级应当参照(业务影响分析、服务级别协议SLA)
  5. 应急响应不仅是技术层面的响应,也包含管理行动

第05课-windows应急响应

  1. Windows操作系统中,使用(wmic process命令)工具可以看到进程运行的选项。
  2. windows应急响应主要包含(账户排查、网络排查、进程排查、注册排查、内存分析)维度
  3. windows中使用net user命令看不到隐藏账户、
  4. windows操作系统中,使用tasklist命令,查看进程
  5. 通过分析windows操作系统的内存文件,我们可以发现系统被hook的API函数

第07课-linux应急响应

  1. Linux下使用find命令的(mtime)参数可以查找修改时间小于1天的文件。
  2. Linux系统中last命令的作用是(显示用户最后登录时间)
  3. Linux操作系统默认的wheel组的作用是(允许用户以sudo执行命令)
  4. linux系统中/etc/rc5.d的文件夹的作用是(图形模式下的启动脚本)
posted on 2024-12-02 13:24  ww0809  阅读(394)  评论(0)    收藏  举报