t :设置粘着位,一个文件可读写的用户并一定相让他有删除此文件的权限,如果文件设置了t权限则只用属主和root有删除文件的权限,通过chmod +t filename 来设置t权限。
i:不可修改权限 例:chattr u+i filename 则filename文件就不可修改,无论任何人,如果需要修改需要先删除i权限,用chattr -i filename就可以了。查看文件是否设置了i权限用lsattr filename。
a:只追加权限, 对于日志系统很好用,这个权限让目标文件只能追加,不能删除,而且不能通过编辑器追加。可以使用chattr +a设置追加权限。
3.说说VLAN中能不能实现IP欺骗?
这个也是去年的原题,啥都不说了,我又不是学网络了,就是一个软工菜,这个就只能试这来了,这个题目的意思一猜就知道是在一定的技术下可以实现,下面看看Google来的答案吧:VLAN是建立虚拟子网的意思,就是进一步隔离的多个网络,在一篇文章中看到可以借助内网代理来实现跨VLAN的通信,实际达到的了同一IP在不同子网,都能通讯,这里要完全欺骗还是要利用劫持原来IP和网关的数据通信,将原来的双向TCP拆解成两个单向的通信,当然劫持数据之后,就可以分别伪造数据到网关和受欺骗端,其实VLAN技术是一种强化IP管理的的技术,但是在没有IP-Mac绑定的情况下就同样有被欺骗的危险,这个算是我自己总结的答案,当时在题目中举的例子是DHCP的情况请而不是静态IP绑定的情况下就会有问题,呵呵,也算是沾点边吧。
4.其实HUB、SWITCH、ROUTER三者的区别?
这个说实际有点不清楚,只知道他们各自的用途,知道是HUB是负责份分发信号了,实现并行上网的,SWITCH 是网络数据交换的,知道ROUTER是在网络层的,负责将数据包转发到不同网络 ,但是还是不能细致的说明,下面看看Answer 吧:
1)HUB:只负责信息广播,不对包进行任何封装,只是一个很简单的信号放大器,处于第一层
2)SWITCH:会对包进行封装处理,把包里的MAC地址分析出来,发向目标端口,所以SWITCH有处理速度上的区别,而且进行VLAN划分,端口复用等功能,有基于第二层和第三层的交换机,第三层交换机对IP进行分析,功能上较接近ROUTER
3)ROUTER:基于第三层的网络设备,把包拆分,获取目标IP信息,重新把包封装进行发送,具有路由功能,用在不同的网段上进行传输。
5.说所Web服务器被入侵后,怎样进行排查?
这个我是从几个方面想的,1.代码审计是必不可少的,查找网站是否有逻辑设计缺陷,并且找出加入的那些猥琐的webShell,一般可以通过字符串搜索等(前提知道常见的一句话,webShell的关键函数等)2.web 登录账户密码强度,是不是弱密码,3.网站管理员远程登录是否有不符合安全规范的习惯,比如远程连接弱密码的,4.网站管理员实地操作的习惯问题,比如用Vim修改了文件,但是加~的备份文件没删除等。但是貌似我答的和题目有点跑题了,汗!,最简单就是1.查看下web 服务器日主,2.看看有没有异常端口开放,3.使用安全狗等服务器安全软件清扫。
6.说说什么是DLL劫持?
当时就想这个是不是Windows 的DLL预加载漏洞,其实是差不多的,就是利用加载器加载DLL的时候优先选择当前路径,然后是windows系统路径,最后是环境变量,只要做一个导入表的同名DLL放在程序执行的目录下,然后当执行同名函数时就跳到自己想去的地址空间执行,执行完了再回来到真正的系统DLL里执行,(Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中)。
7.如何伪造发件人发送欺诈邮件?
SMTP简单邮件协议中,所有的发件人信息和邮件内容都是可以实现用户自定义的,这就是协议本身的问题,允许用户伪造任意发件人,关键是SMTP服务器还具有转发功能,可以实现为已知目的服务器投递转发的功能,那只要构造一个转发邮件,邮件服务器看了自然就转发投递出去了,现在腾讯等邮件都做了用户身份验证,而有一些SMTP服务器没有做用户身份验证,这些机器就可以被充当为垃圾诈骗邮件的发送机了。