GitPlanet

Cheap and reliable Node.js hosting starts at $3/month, and $1/month static HTML hosting

Created with love in Canada, visit hostnodejs.com today

Feel like to post an Ad? Learn Details
All Projects → JoyChou93 → Sks

JoyChou93 / Sks

Security Knowledge Structure(安全知识汇总)

Programming Languages

python
139335 projects - #7 most used programming language
java
68154 projects - #9 most used programming language

Labels

securitywafwebshell

Projects that are alternatives of or similar to Sks

Wsmanager
Webshell Manager
Stars: ✭ 99 (-51.71%)
Mutual labels:  webshell
Curiefense
Curiefense is a unified, open source platform protecting cloud native applications.
Stars: ✭ 136 (-33.66%)
Mutual labels:  waf
Php Backdoors
A collection of PHP backdoors. For educational or testing purposes only.
Stars: ✭ 2,034 (+892.2%)
Mutual labels:  webshell
Collection Document
Collection of quality safety articles. Awesome articles.
Stars: ✭ 1,387 (+576.59%)
Mutual labels:  waf
Phpshell
php大马|php一句话|webshell|免杀过狗|渗透|黑客
Stars: ✭ 118 (-42.44%)
Mutual labels:  webshell
Whatwaf
Detect and bypass web application firewalls and protection systems
Stars: ✭ 1,881 (+817.56%)
Mutual labels:  waf
Awesome Webshell
Awesome webshell collection. Including 150 Github repo, and 200+ blog posts.
Stars: ✭ 98 (-52.2%)
Mutual labels:  webshell
Wafpass
Analysing parameters with all payloads' bypass methods, aiming at benchmarking security solutions like WAF.
Stars: ✭ 184 (-10.24%)
Mutual labels:  waf
Go Agent
Sqreen's Application Security Management for the Go language
Stars: ✭ 134 (-34.63%)
Mutual labels:  waf
Jspmaster Deprecated
一款基于webshell命令执行功能实现的GUI webshell管理工具,支持流量加密
Stars: ✭ 161 (-21.46%)
Mutual labels:  webshell
Tesla
Tesla is a gateway service that provides dynamic routing,waf,support spring cloud,gRPC,DUBBO and more.
Stars: ✭ 109 (-46.83%)
Mutual labels:  waf
Brutemap
Let's find someone's account
Stars: ✭ 113 (-44.88%)
Mutual labels:  webshell
Openrasp
🔥Open source RASP solution
Stars: ✭ 2,036 (+893.17%)
Mutual labels:  waf
Dotnetpad
The Waf DotNetPad is a simple and fast code editor that makes fun to program with C# or Visual Basic.
Stars: ✭ 101 (-50.73%)
Mutual labels:  waf
Awd Watchbird
A powerful PHP WAF for AWD
Stars: ✭ 178 (-13.17%)
Mutual labels:  waf
Awesome Cloud Security
Curated list of awesome cloud security blogs, podcasts, standards, projects, and examples.
Stars: ✭ 98 (-52.2%)
Mutual labels:  waf
Rtty
Access your terminal from anywhere via the web.
Stars: ✭ 2,434 (+1087.32%)
Mutual labels:  webshell
Webshell
入侵分析时发现的Webshell后门
Stars: ✭ 201 (-1.95%)
Mutual labels:  webshell
Docker Waf
An NGINX and ModSecurity based Web Application Firewall for Docker
Stars: ✭ 181 (-11.71%)
Mutual labels:  waf
Wso Webshell
🕹 wso php webshell
Stars: ✭ 155 (-24.39%)
Mutual labels:  webshell
View All Similar Projects ➔

Security Knowledge Structure

欢迎大家提交ISSUE和Pull Requests。

1. 企业安全

1.1 黑盒扫描

1.2 白盒扫描器

1.3 WAF自建

1.4 堡垒机

1.5 HIDS

1.6 子域名爆破

1.7 命令监控

1.8 文件监控和同步

1.9 Java安全开发组件

1.10 Github信息泄露监控

1.11 解析域名后端IP

2. 运维安全

2.1 NGINX配置安全

2.2 Tomcat配置安全

3. Backdoor

3.1 Nginx后门

3.2 Webshell

3.3 Linux SSH 后门

3.4 反弹Shell

3.5 清除Linux挖矿后门

4. WAF Bypass

4.1 菜刀

5. 主机安全

5.1 提权

6. 前端安全

7. 业务安全

7.1 PC设备指纹

7.2 安全水印

8. JAVA安全

8.1 RASP

8.2 Java反序列化

8.3 JDWP

这个漏洞可能会有意想不到的收获。

8.4 Java SSRF

8.5 Java XXE

8.6 URL白名单绕过

9. PHP安全

9.1 PHP SSRF

9.2 PHP反序列化

10. Python安全

11. Lua安全

12. Node.js安全

13. 漏洞修复

14. 黑科技

15. 基本技能

  • Linux RPM理解及使用
  • PIP理解及使用
  • Python、PHP、Java、Bash
  • iptables、定时任务、反弹shell
  • 正向和反向代理
  • Nginx使用及配置
  • 域名配置
  • TCP/IP、HTTP协议
  • BurpSuite工具使用

16. 安全面试问题

面试的问题跟自己简历相关,只是面试官会根据你回答的点继续深挖,看看你有没有回答他想要的答案。

16.1 甲方

16.1.1 技术

基础

  • 服务器的Web目录发现一个一句话webshell后门,如何排查入侵原因、后门如何清除以及排查数据是否有泄露?
  • XXE常用payload
  • DDOS如何人工防御?
  • 邮件伪造如何防御?
  • 拿到WEBSHELL,无法提权,还有什么思路?
  • Linux服务器中了DDOS木马,如何使用系统自带命令清除木马?
  • Linux服务器被抓鸡后的入侵原因检测思路?
  • Webshell检测有什么方法?
    • 静态文本匹配,存在误报和漏洞
    • 动态hook,但要运行php代码,存在风险
    • D盾的方式
    • AST
    • 离线大数据算法
  • Redis未授权访问漏洞的修复方式有哪些?入侵方式有哪些?
  • 简述JSON劫持原理以及利用方式?
  • SSRF一般如何利用和修复?
  • 入侵分析和应急响应一般如何操作?
  • XSS(反射、dom)黑盒方式一般如何检测?
  • 动态检测Webshell存在什么弊端和安全风险?
  • 新应用上线的安全流程?
    1. 应用设计阶段 - 整个架构、逻辑、框架的安全评估
    2. 应用开发阶段 - 提供安全相关组件
    3. 应用测试阶段 - 进行黑盒和白盒安全测试
    4. 应用上线阶段 - 外部SRC、日常黑白盒安全测试以及主机等监控等
  • 在PHP中,LFI如何转变为RCE?
  • CSRF漏洞一般出现在什么接口?并简述下原理以及修复方式。
  • CORS绕过有什么风险,有什么利用场景?
  • URL常见的绕过方式?
  • 哪些漏洞WAF不好拦截?
    • JDWP这种非HTTP协议请求(主机WAF另说)
    • CSRF、JSONP、CORS绕过等Referer绕过的漏洞
    • 未授权、匿名访问、弱口令等主机漏洞
    • URL跳转
    • 信息泄露
    • SSRF利用http、file协议的攻击
  • CSRF Token防御方式的整个流程?前后端分离和不分离防御有什么不同?
  • WAF漏报如何统计?

深入

  • SDL流程
  • 挖过哪些牛逼的、有意思的漏洞?
  • 安全如何闭环?
  • 越权有什么检测方式?
    • 黑盒两个账户Cookie
    • 鉴权函数 + 数据库查询
  • 类似JDWP这种传统HTTP层WAF不能拦截,可以如何检测?
    • RASP
    • 命令监控(父进程是Java,并且执行了恶意命令)
  • Java反序列化如何检测和防御?
  • HTTP请求日志和数据库日志都有的情况下,如何检测存储型XSS?
    • 只要数据库存在未编码、过滤的xss payload其实已经存在存储型XSS了,HTTP请求日志作用不是很大。
  • 如何判断WAF拦截的攻击请求中,哪些请求是人为请求,哪些是扫描器请求?

16.1.2 非技术

  • 觉得自己哪方面比较牛逼
  • 为什么离开之前公司
  • 在之前公司的成长
  • 工作成就感
  • 做的最大、最牛逼的项目
  • 对未来规划是什么
  • 安全培训怎样衡量价值?
  • 后面安全的方向是什么?
  • 对自己在安全的定位是什么?
Note that the project description data, including the texts, logos, images, and/or trademarks, for each open source project belongs to its rightful owner. If you wish to add or remove any projects, please contact us at [email protected].