最近我们公司准备有几个实习生要转正了,领导让我亲自出一些结合实际安全工作的题目,题目的由来都是从工作中遇到过的问题到解决的的过程中产生的。从简单到难的题目,既能考到实习生的知识基础,又能考到他们的学习能力(面对不同未接触过的难题如何去应对),还有就是情景开放式答题,网上能查到一点资料,但是又需要自己思考的,结合实际工作来回答的。好的话不多说,由简至难奉上题目,以及参考答案,希望我的工作经验中发现的问题能帮到大家。
1.Zookeeper默认的端口
三个端口:
:对cline端提供服务:选举leader使用:集群内机器通讯使用(Leader监听此端口)
2.Zookeeper主要的作用:(留言或私信获取链接)
开源的、分布式的、应用程序协调服务
推荐:参考资料1(ZooKeeper是什么)——
参考资料2(ZooKeeper详解)——
参考资料3(漫画图解ZooKeeper)——
3.Zookeeper未授权访问的检查方法
telnetzookeeper端口输入envi,回显路径等信息则存在zookeeper未授权访问漏洞
4.请列出让客户满意的Zookeeper未授权访问漏洞的修复方案(留言或私信获取链接)
根据客户实际情况可以提供以下修复方案:
禁止将zookeeper暴露在公网使用iptables对端口进行访问控制添加访问控制,根据情况选择对应方式(认证用户,用户名密码)绑定指定IP访问
5.Weblogic后台默认密码
weblogic/weblogic
6.weblogicCVE--漏洞描述与让客户满意的修复方案(留言或私信获取链接)
漏洞描述:由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意HTTP请求,利用该漏洞获取服务器权限,实现远程代码执行。
修复建议:官方目前已发布针对此漏洞的紧急修复补丁,可以采取以下4种方式进行防护。
及时打上官方CVE--补丁包官方已于4月26日公布紧急补丁包,下载