渗透测试驻场面试真实经验分享

不点蓝字，我们哪来故事？

面试经验分享

 

 最近接到一个渗透测试驻场项目。几位同事去面试了下，下面对面试的问题进行一个汇总。

1.json的csrf的利用

2.小程序的渗透和普通渗透的差异

3.app本身的漏洞测试 四大组件

4.业务上线前，怎么测试，从哪些角度测试

5.java应用上传漏洞利用,如何绕过

6.应用有漏洞，但是无法修复和停用，你怎么办

7.cookie你会测试什么内容

8.用户登录你会测试哪些内容

9.你审计java代码挖到的漏洞，怎么挖的，怎么修复的

10.如果开发通过加referer的方式修复csrf，怎么判断这个referer是不是有效

11.json格式的数据包可以测哪些漏洞

12.如果网站评论区的复选框存在xss，怎么修复

13.绕过验证码有哪些思路

14.除了各种服务的未授权，网站的未授权怎么测

15.关于会话你会测哪些内容

16.文件上传

01 json的csrf的利用和防御

攻击：

1）服务器只接受

Content-Type: application/json的包文

2）POSTbody需要以JSON格式发送,可以使用XHR、fetch来实现csrf

防御：

1）用户操作验证，在提交数据时需要输入验证码

2）请求来源验证，验证请求来源的referer

3）表单token验证（令牌）

02 小程序的渗透和普通渗透的差异

1）微信小程序的包储存在本地的，只要是访问过微信小程序，他的包自动下载到本地

把wxapkg包下载到了本地，然后下载个解包工具，就可以得到小程序前端的代码

2）Proxifier代理客户端 安卓模拟器全局代理

3）常见支付宝和微信中

ios:推荐抓包工具Stream、网络三件套

安卓:推荐抓包工具package capture

4）小程序未进行https证书强校验，所以用安卓手机配合burp即可进行抓包。

如果小程序开启了https证书强校验，那我们就需要hook微信或者反编译小程序后替换证书

5）微信pc端测试版

https://dldir1.qq.com/weixin/Windows/Beta/WeChat2.9.0_Beta.exe

6）在线扫描

https://wetest.qq.com/console/miniapp/scan

03 app本身的漏洞测试 四大组件

1）APP面临的主要风险可以分为客户端风险和服务端风险。

    a. 客户端风险

    传统逆向分析类（反编译、调试、四大组件漏洞、加密/签名破解…）

    用户已经中招类（输入记录、导出组件、进程注入…）。

    b. 服务端风险

    系统组件类（MS12-020、ShellShock、心血、ST2…）

    业务应用类（注入跨站越权执行上传下载弱口令…）。

2）安卓系统的四大组件：

    Activity：呈现可供用户交互的界面，是最常见的组件；

    Service：长时间执行后台作业，常见于监控类应用；

    ContentProvider：在多个APP间共享数据，比如通讯录；

    BroadcastReceiver：注册特定事件，并在其发生时被激活

组件测试工具-drozer

04 业务上线前，怎么测试，从哪些角度测试

      在测试环境下,根据测试类型（web、APP、小程序、公众号）进行测试

按功能点进行测试。

1)黑盒:按照功能点的划分进行测试,OWASP TOP 10,checklist

2)白盒:代码审计

3)灰盒

05 java应用上传漏洞利用,如何绕过

1）客户端绕过

2）服务端绕过

    a. 文件类型绕过

    b. 文件头绕过

    c. 文件后缀名绕过

3）配合文件包含漏洞

4）配合服务器解析漏洞

5）配合操作系统文件命令规则

6）CMS、编辑器漏洞

7）配合其他规则

8）WAF绕过

    a. 垃圾数据

    b. filename

    c. POST/GET

    d. 利用waf本身缺陷

06 应用有漏洞，

但是无法修复和停用，你怎么办

1）上安全设备，如waf

2） ACL

3）临时性补丁

4）加认证

5）二次封装

07 cookie你会测试什么内容

1）字段分析, 递减到剩下关键的鉴别字段

2）算法分析, JWT等等

3） 注入类测试，sql注入

4） xss

5） 反序列化

08 用户登录你会测试哪些内容

1）明确登陆涉及的接口,顺序和关系

2）针对顺序可能涉及, 多重认证绕过bypass

3）针对接口,可以涉及注入类,url跳转,用户名枚举,验证码失效问题, 弱口令

    a. 注入也可以二次注入 （万能密码）

    b.xss

    c.  短信炸弹

    d.验证码爆破

    e.验证邮箱或短信绕过

    f.找回密码处跳过验证 等等

09 你审计java代码挖到的漏洞，

怎么挖，怎么修复

    Java代码审计可以发现的漏洞分为两类：

1） 程序员由于编码不当产生的漏洞，典型包括后门、SQL注入、文件上传、任意文件下载、接口非授权访问、垂直越权。对于水平越权、XSS、CSRF、逻辑类漏洞也可以检测；

2）第三方组件使用不当产生的漏洞，从POM文件中可以找到使用了低版本的组件。从应用配置文件中可以找到配置不当问题。

Fortify SCA扫描

10 如果开发通过加referer的方式修复csrf，

怎么判断referer是不是有效

    总而言之, 先明确这个接口从referer取出了什么值, 那么对这个值有怎样的校验逻辑：

1）利用ftp://,http://,https://,file://,javascript:,data

2）判断Referer是某域情况下绕过 referer: 

[email protected]

3）判断Referer是否存在某关键词

4）判断referer是否有某域名

11 json格式的数据包可以测哪些漏洞

敏感信息泄漏

注入

XSS

CSRF

xxe

12 如果网站评论区的复选框存在xss,

怎么修复

xss修复从3个角度

1）httponly cookie

2）输入检查 参数的位置 限制住输入的点

3）输出编码 实体化

13 绕过验证码有哪些思路

1）爆破

2）前端校验

3）生成的验证码会在请求包，前端生成性, 写出对应算法即可

4）万能验证码 000000 888888 8888888

5）删除验证码字段

6）不刷新

7）验证码可识别

14 除了各种服务的未授权，

网站的未授权怎么测

目前主要服务存在未授权访问漏洞的有：

NFS服务、Samba服务、LDAP、Rsync、FTP、GitLab、Jenkins、MongoDB、Redis、ZooKeeper、ElasticSearch、Memcached、CouchDB、Docker、Solr、Hadoop、Dubbo、JBOSS 、VNC

网站的未授权

1）字典枚举

2）JS/HTML接口提取

JSFinder   https://github.com/Threezh1/JSFinder

以上内容纯属个人见解，欢迎一起来探讨  

      雷石安全实验室由漠坦尼科技内部资深技术人员组建而成，实验室旨在研究安全前沿技术及发展方向、生成高效的安全工具、制定优质的安全服务方案，同时以红蓝攻防助推公司技术能力提升。

      雷石实验室以团队公众号为平台向安全工作者不定期分享渗透、APT、企业安全建设等新鲜干货，团队公众号致力于成为一个实用干货分享型公众号。

实验室网站：https://leishianquan.github.io/

我就知道你“在看”

本文始发于微信公众号（Khan安全攻防实验室）：渗透测试驻场面试真实经验分享