作为一个测试人需要知道的安全测试

1. 什么是安全测试（Security Testing）？

在所有类型的软件测试中，安全测试可以被认为是最重要的测试之一，其主要目的是在任何软件（Web或基于网络）的应用程序中找到漏洞，并保护其数据免受可额能的攻击或入侵，忧郁许多应用程序包含机密数据，需要被保护，因此需要定期在这样的应用层下上开展健全测试。

2. 什么是漏洞（Vulnerability）？

流动可以被定义为任何系统的弱点（Vulnerability），入侵者或破坏者可以通过该漏洞对系统进行攻击。如果系统没有严格执行安全性测试，那么出现漏洞的机会增加。可以通过打补丁或修复程序来防止系统出现漏洞。

Web 服务器被入侵后，该怎么排查？

先查看Web日志，检查是否有可疑的日志信息和操作，然后判断是是什么类型的攻击；
如果过是CC，则可以在网站程序上增加防攻击代码或用软防火墙；
如果是DDOS，可疑及配置具有硬防抗DDOS攻击的设施；
如果是入侵，需找响应的防入侵方法；
如果是被外挂刷网站流量，则可以增加防盗链方法，避免盗链；
也可以使用安全狗等服务安全软件清扫。

3. 什么事WebShell？

WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境光，也可以将其称为一种网页后门。黑客在入侵了网站后，通常会将这些asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问这些asp或者php后门，得到一个命令执行环境，达到控制网站服务器的目的（可以上传下载文件，查看数据库，执行任意程序命令等）常用的WebShell有b374k， missile， c99shell等。

4.什么是网络钓鱼？

网络钓鱼是通过大量发送声称来自于银行或其它知名机构的期盼性邮件，意图引诱收件人给出敏感信息（如用户名，口令，账号IO，ATMPIN码或信用卡详细信息）的一种攻击方式。

最典型的网络钓鱼攻击将收信人引诱到一个公国精心设计与目标组织的网站非常相似的钓鱼网站上，并非获取收信人在此网站上输入的一个人敏感信息，通常这个攻击过程不会让受害者警觉。

它常常引导用户到URL地址外的在外观上与真正网站高度相似的假冒网站输入个人数据。就算使用枪支加密的SSL服务器认证，要侦测网站是否仿冒实际上任很困难。网钓是一种列用社会工程技术来愚弄用户的实例。它凭借的现行网络安全技术的低亲和度。、

5. 什么是CC攻击？

CC攻击是DDOS（分布式拒绝服务）的一种，相比其它的DDOS攻击CC似乎共有技术含量一些，这种攻击你见不到真是源IP，见不到特别大的异常流量，但造成服务器无法进行正常连接。CC公共机的原理就是攻击者控制某些主机不停地发大量书籍包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。

CC主要是用来攻击页面的，每个人都是这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（导师啊线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间出于100%，永远都有处理不完的联机直至网络拥塞，正常的访问被终止。

6. 0day 漏洞？

是已经发现但是官方还没有发布补丁的漏洞。信息安全意义上的0day是指在安全补丁发布浅而被了解和掌握的漏洞信息。

7. 什么是Rootkit？

Rootkit 是一种特殊类型的malware（恶意软件）。Rootkit之所以特殊是因为您不知道他们在做什么事情。Rootkit基本上是无法检测到的，而且几乎不能删除他们。虽然检测工具在不断增多，但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹。

Rootkit的目的在于隐藏自己以及其它软件不被发现。它可以通过组织用户识别和删除攻击者的软件来达到这个目的。Rootkit几乎可以隐藏任何软件，包括文件服务器，键盘记录器、Botnet和Remailer。许多Rootkit甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件，而您无法看到这些文件。

8. 什么是蜜罐？

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击入侵后，你就可以知道它是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，手机黑客所用过的种种工具，并且掌握他们的社交网络。

9. 什么是DDOS ？

分布式拒绝服务（DDOS：Distributed denial of service）攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS公共机，从而成倍地提高决绝服务攻击的威力。

通常，攻击者使用一个窃听账号将DDOS只控程序安装在一个计算机上，在一个设定的时间主控程序将于大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

10. 什么是一句话木马？大马和小马的作用个是什么？

一句话木马是在网页里插入一句话代码，也就是说在网页里插入了一个漏洞！

小马体积小，容易隐藏，隐蔽性强，最重要在于与图片结合一起上次之后可以利用nginx或者IIS6 的界限漏洞来运行，不过功能少，一般只有上传等功能。不过中国猜到留的一句话功能不逊大马的功能。

大马体积较大一般50K 以上。功能也多，一般都包括提取命令，磁盘管理，数据库连接接口，执行命令甚至有些以具备自带提权限功能和压缩，解压缩网站程序的功能。这种马隐蔽性不好，而大多代码如不加密的话很多杀毒厂商开始追杀此类程序。

Asp 一句话木马： <% execute(request(“value”))%>

Php 一句话木马： <?php@eval($_POST[value];?>

变形： <?Pphp$x=$_GET[“z”];@eval(“$x”);?>

Aspx 一句话木马： <%@PageLanguage=”Jscript”%>

<%eval(Request.ltem[“value”]%>

11. 什么是内网穿透？

即NAT 穿透，采用端口映射，让外网的电脑找到出于内网的电脑，同时也可基于HTTP/2实现web内网穿透。

渗透测试一个网站是怎样的思路，通过渗透发现网站漏洞，以遍更好的修复，提高网站安全性？

收集信息

服务器的相关信息（真实IP，系统类型，版本，开放端口，waf等）；
网站指纹识别（包括，cms，cdn，证书等），dns记录；
Whois信息，姓名，备案，有些，电话反差（邮箱丢社工库，社工准备等）；
Google hacking针对搜索，pdf文件，中间件版本，若口令扫描等；
扫描网站目录结构，爆后台，网站banner，测试文件，备份敏感文件漏洞等；
传输协议，通用漏洞，exp，github源码等。

12. 漏洞挖掘：

浏览网站，看看网站规模，功能，特点等；

端口，弱口令，目录等扫描；

Xss，sql注入，命令注入，csrf，cookie安全检测，敏感信息，通信数据重放攻击（短信轰炸）服务器漏洞检测，最后使用漏洞扫描攻击等。

漏洞利用、权限提升

Musql 提取，serv-u 提权，linux内核版本提权

2. 清除测试数据输出报告

日志，册数数据的清理

总结，输出渗透测试报告，附修复方案；

3. 复测

验证并发发现是否有新漏洞，输出报告，归档。

13. Xss 的原理是什么？

跨站脚本攻击（Cross site Scriptingg）缩写为xss。恶意攻击者网web 页面里面插入恶意javaScript代码，当用户浏览该页之时，嵌入其中web里面的javaScript 代码会被执行，从而达到恶意攻击用户的目的。XSS攻击的类型有反射型，存储型，DOM型。

14.XSS 攻击者有什么危害？

盗取各类用户账号；

控制缺氧数据，包括读取，篡改，添加，删除企业敏感数据的能力；

盗窃企业重要的具有商业价值的资料；

非法转账；

强制发送电子邮件；

网站挂马；

控制受害者机器向其它网站发起攻击。

15. SQL 注入有那些类型？

Boolean-based blind SQL injection（布尔型注入）；

Error-based SQL injection（报错型注入）；

UNION query SQL injection（可联合查询注入）；

Stacked queries SQL injection（可多语句查询注入）；

Time-based blind SQL injection（基于时间延迟注入）

16. 请描述对称加密与非对称加密？

对成绩按：指的就是加密使用的同一串秘钥，所以被称作对称加密。对称加密只有一个秘钥作为私钥。厂家的对称加密算法：DES，AES等。

非对称加密：指的是加密/解密使用不同的秘钥，一把作为公开的公钥，另一把作为私钥。公钥加密的信息，只有私钥才能解密。繁殖，塞药加密的信息，只有公钥才能解密。

MD5是加密码？如何根据MD5 算尺之前的原始数据？

MD5不是加密算法，是散列算法，或者叫做哈希算法。

加密算法一般指对称或非对称加密算法。

MD5是不可逆的，也就是没有对应的算法，从生产的MD5值逆向得到原始数据，但是可以通过暴力破解或彩虹表来排查。

17.坏人通过XSS 漏洞获取到QQ 用户的身份后，可以进行的下一步操作是进入qq空间

注释： xss漏洞是获取用户cookie的，即是获得用户cookie 等敏感信息。

偷取Q币，需要用户进行确认或者输入密码，具有很轻的交互性，因此无法进行

控制用户的用户摄像头，因为开启摄像头，需要用户手动确认，因此无法进行。

劫持微信用户，因为微信登录会验证手机信息甚至短信验证，并且只能同时在一个设备上登录一个微信账号，因此无法进行。

进入QQ空间，因为登录QQ空间是不需要用户交互操作的，并且使用cookie获得用户身份后，就好像正常用户一样可以查看请求空间，QQ资料等。

如果一个网站存在CSRF漏洞，可以通过CSRF 漏洞做下面获取网站用户注册的个人资料信息，修改网站用户注册的个人资料信息，毛用网站用户的身份发布信息。

18. Web系统的安全性和访问控制测试的重点有那些？

安全性和访问控制测试重点与安全性的两个方面：

应用程序级别的安全性，包括对数据或业务功能的访问

系统级别的安全性，包括对系统的登录或远程访问。

例如：Web 系统安全与访问控制测试

目录设置：正确设置目录：拷贝web应用程序的某一功能点的URL地址，然后打开新的页面输入该URL地址看其是否能跨过系统的登录模块直接进入该功能点；
SSL：进入或离开安全站点时，确认有相应的提示信息；
登录：验证系统组织非法的用户名/口令登录，能够通过有效登录；用户登录是否有次数限制；是否限制从某些IP地址，MAC地址登陆；如果允许登陆失败的次数为3，在第三次登陆的时候输入正确的用户名和口令，是否能通过验证；口令选择是否有规则限制；是否有超时的限制（用户登录后再一定时间内无任何操作是否需要重新登录）；用户认证：检查用户是否能够登录系统，并且查看所赋予的应用和数据；用户授权：检查某用户是否能够对登录系统，查看应用和数据进行授权；
日志文件：日志是否记录所有的事务处理；是否记录失败的注册企图；是否在每次事务完成的时候都进行保存；是否记录IP地址；是否记录用户名；
脚本语言：不同的脚本语言进行验证。