牛客网的题目：牛客网公司真题_免费模拟题库_企业面试|笔试真题

谈谈在WEB类安全问题的应急处置过程中web日志溯源攻击路径的思路？

首先确定受到攻击的时间范围，以此为线索，查找这个时间范围内可疑的日志，根据可疑ip、攻击特征等进一步排查（WEB日志会记录客户端对WEB应用的访问请求，这其中包括正常用户的访问请求和攻击者的恶意行为。通过大量的分析，我们发现攻击者在对网站入侵时，向网站发起的请求中会带有特定的攻击特征，如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志，当有攻击者对网站进行SQL注入漏洞探测时，WEB访问日志中通常会出现and 1=1等字样），最终锁定攻击者，确认攻击的手段，还原攻击过程。

 心脏滴血漏洞产生的原因，危害都有哪些？

产生原因：在实现TLS的心跳扩展时没有对输入进行适当验证，攻击者可以追踪Open SSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中然后再返回缓存内容。

危害：攻击者可访问敏感数据，造成敏感数据泄露。还可能暴漏其他用户的敏感请求和响应。以及可以使特定版本下的openssl成为无需钥匙的废锁。

 Apache，IIS，Nginx的文件解析漏洞都是如何解析和利用的？

Apache 解析漏洞
对URL从右往左逐层判断解析，不可解析就一直往左解析判断，直到能正确解析出文件
上传木马文件时，将合法后缀放在URL最右，绕过本地文件上传限制和服务器的类比黑名单验证，Apache服务器就会逐层从右往左解析，如xx.php.jpg.rar的一个木马文件最后会到php成功解析，那么木马也就成功执行了。

IIS解析漏洞
一种是IIS5.x/6.0解析漏洞
在网站下建立文件夹啊名称中带有.asp,.asa等可执行的脚本文件后缀为后缀的文件夹，其目录内的任何扩展名的文件都被当作可执行文件来解析
另外还有文件解析，IIS6.0下分号后面的不解析，也就是xx.asp;.jpg被当成xx.asp来解析
除了asp还有.asa,.cer,.cdx都可被解析
一种是IIS7.0/IIS7.5的畸形漏洞解析
在Fast-CGI开启下，会在例如URL为http://www.xxx.com/xx.jpg/.php中将xx.jpg当成php解析

Nginx解析漏洞
在Nginx0.5，0.6以及0.7 ⇐ 0.7.65，0.8 ⇐ 0.8.37上存在空字节代码执行漏洞
也就是在访问如以下http://www.xxx.com/xx.jpg%00.php中会将xx.jpg当作php文件解析
它将.jpg%00看成一段字符
在CVE-2013-4547 Nginx下
还存在着将如下URL http://www.xx.com/a.jpg%00\0.php中的a.jpg当作php执行漏洞

从哪些方面可以进行CSRF漏洞防御？ 

CSRF漏洞防御主要可以从三个层面进行，即服务端的防御、用户端的防御和安全设备的防御。
1.检测HTTPreferer 字段同域。根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求必须来自于同一个网站。比如某银行的转账是通过用户访问http://bank.test/test?page=10&userID=101&money=10000页面完成，用户必须先登录bank.test，然后通过点击页面上的按钮来触发转账事件。当用户提交请求时，该转账请求的Referer值就会是转账按钮所在页面的URL（本例中，通常是以bank. test域名开头的地址）。而如果攻击者要对银行网站实施CSRF攻击，他只能在自己的网站构造请求，当用户通过攻击者的网站发送请求到银行时，该请求的Referer是指向攻击者的网站。因此，要防御CSRF攻击，银行网站只需要对于每一个转账请求验证其Referer值，如果是以bank. test开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果Referer是其他网站的话，就有可能是CSRF攻击，则拒绝该请求
2.限制sessioncookie的生命周期。CSRF攻击是有条件的，当用户访问恶意链接时，认证的cookie仍然有效，所以当用户关闭页面时要及时清除认证cookie
3.使用验证码。虽然攻击者已经通过获取cookie得到用户的身份，但是通过在你的表单中包括验证码，事实上网站已经消除了跨站请求伪造攻击的风险。可以在任何需要执行操作的任何表单中使用这个流程。
4.cookie关键字段设置HttpOnly属性。可以在一定程度防御CSRF。

5.对敏感的请求增加安全的token，可以通过自定义http首部字段实现。