2025国家护网HVV高频面试题总结来了02(题目+回答)
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
0x1 高频面试题第一套
0x2 高频面试题第二套
0x3 高频面试题第三套
0x4 高频面试题第四套
0x5 高频面试题第五套
0x1 高频面试题第一套
1.在椒图平台日志分析中result字段表示得含义是?
拦截结果0:已拦截,拦截结果1:未拦截
2.在椒图平台中如何配置针对服务器非白名单账号和登录IP的监控?
通过威胁监测-异常登录-违规登录-登录规则设置,添加白名单账户和IP
3.在椒图平台下发web类安全策略需要使用那个功能?
通过安全防护-功能设置
4.在椒图平台日志分析中P字段是攻击者IP还是受害者IP呢?
攻击源IP
5.告警分析payload大概在什么位置?
通常在请求包中的请求头url,以及在post数据包中可能存在
6.osi七层模型?
物理层-数据链路层-网络层-传输层-会话层-表示层-应用层 应用层协议: HTTP,FTP,TELNET、SMTP 传输层协议: TCP 、 UDP
7.什么告警不能很快分析出来?
部分sql注入无明显回显
8.哪个模块看告警的全部信息?
威胁感知模块
9.msf用过吗,设备上怎么分析的?
可能会存在执行系统命令的相关告警或shell告警
10.攻击者利用永恒之蓝漏洞攻击之后的日志特征是什么?
安全日志中,存在4624登录成功日志,登录类型为3
11.永恒之蓝漏洞查看日志的特征?
利用端口为445,且存在很多系统命令执行的流量,且该资产存在被端口扫描的告警
12.分析中心有什么日志?
告警日志、原始日志、终端日志
13.Referer字段?
Referer是HTTP请求header的一部分,当浏览器向web服务器发送请求的时候,头信息里有包含Referer
14.eval函数在木马中的作用?
eval()函数把字符串按照PHP代码来执行
15.如何确定web攻击是真实攻击还是误报攻击,从多角度回答,举例说明?
真实攻击查看请求报文和响应报文。比如:sql注入,特殊字符,比如and、or和id' 以及union select。再查看状态码为200,且出现success等字样查看防火墙、邮件网关以及安全产品告警
16.护网期间,如果客户的流量特别大,面对很多条告警应该去首先关注筛选哪些的告警?
遇着这种情况一方面优先分析成功告警再分析成功之外的其他高危告警,如webshell、命令执行、shell连接等。最后分析剩余告警同时对于攻击频率较高的攻击ip及时上报封堵,可有效减少告警量。
0x2 高频面试题第二套
1.XSS和CSRF区别
通俗点讲的话:XSS通过构造恶意语句获取对方cookie,
CSRF通过构造恶意链接利用对方cookie,但看不到cookie
XSS比CSRF更加容易发生,但CSRF比XSS攻击危害更大
2.XSS原理
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的Web安全漏洞,攻击者可以通过注入恶意脚本,获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。
CSRF原理CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全漏洞,攻击者利用用户已登录的身份,在用户不知情的情况下,向Web应用程序发起恶意请求,以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。
3.sql注入原理
攻击者利用SQL语句或字符串将非法的数据插入到服务端数据库中,获取用户管理权限,然后将数据库管理用户权限提升至操作系统管理用户权限,控制服务器操作系统,
4.sql注入的关键字
sql注入的关键字 →select ,union, where
5.sql注入分类、绕过
分类:sql注入分为字符型和数字型。还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大类,布尔盲注、时间盲注以及报错盲注;
绕过:大小写绕过 、注释绕过、关键字/关键函数替换、特殊符号
6.如何防御sql注入
1、过滤,检查,处理
2、预编译sql语句
3、使用waf防火墙,安全狗,阿里云盾等waf进行防护
4、经常进行基线检查、漏洞扫描等工作
7.渗透思路
信息收集: 1、获取域名whois信息 2、服务器子域名、旁站、c段查询 3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等 4、服务器开放端口:22 ssh 80 web 445 3389.。。
漏洞扫描: nessus,awvs ,appscan
漏洞验证: 是否存在漏洞,是否可以拿到webshell或者其他权限 权限提升: windows内核溢出提权,数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权 linux内核漏洞提权、劫持高权限程序提权、sudoer配置文件错误提权
漏洞利用:
日志清理:
8.中间件漏洞
IIS ,tomcat ,apache ,nginx
9.应急响应流程及windows/linux用到的命令
应急响应流程
1、收集信息:搜集客户信息和中毒信息,备份
2、判断类型:判断是否是安全事件、是何种安全事件(勒索病毒、挖矿、断网、ddos等)
3、深入分析:日志分析、进程分析、启动项分析、样本分析
4、清理处置:杀掉恶意进程、删除恶意文件、打补丁、修复文件
5、产出报告:整理并输出完整的安全事件报告
windows应急
一、查看系统账号安全
1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放 2、win+r(eventwmr.msc)查看系统日志,查看管理员登录时间、用户名是否存在异常
二、检查异常端口、进程 1、netstat -ano 检查端口连接情况,是否有远程连接、可疑连接 2、tasklist | findstr "PID"根据pid定位进程 3、使用功能查杀工具
三、启动项检查、计划任务、服务 1、检查服务器是否有异常的启动项,msconfig看一下启动项是否有可以的启动 2、检查计划任务,查看计划任务属性,可以发现木马文件的路径 3、见擦汗服务自启动,services.msc注意服务状态和启动类型,检查是否有异常服务
四、检查系统相关信息 1、查看系统版本以及补丁信息 systeminfo 2、查找可以目录及文件 是否有新建用户目录 分析最近打开分析可疑文件(%UserProfile%\Recent)
五、自动化查杀 使用360 火绒剑 webshell后门可以使用d盾 河马等
六、日志分析 360星图日志分析工具 ELK分析平台
linux应急
1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号,主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意;
2、通过 who 命令查看当前登录用户(tty 本地登陆 pts 远程登录)、w 命令查看系统信息,想知道某一时刻用户的行为、uptime查看登陆多久、多少用户,负载;
3、修改/etc/profile的文件,在尾部添加相应显示间、日期、ip、命令脚本代码,这样输入history命令就会详细显示攻击者 ip、时间历史命令等;
4、用 netstat -antlp|more命令分析可疑端口、IP、PID,查看下 pid 所对应的进程文件路径,运行ls -l /proc/PID/exe 或 file /proc/PID/exe($PID 为对应的pid 号);
5、使用ps命令,分析进程 ps aux | grep pid
6、使用 vi /etc/inittab 查看系统当前运行级别,通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件;
7、看一下crontab定时任务是否存在可疑启用脚本;
8、使用chkconfig --list 查看是否存在可疑服务;
9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹;
10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀;
11、如果有 Web 站点,可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数(evel、system、shell_exec、exec、passthru system、popen)进行查杀Webshell 后门。
10.流量分析
拿到流量包后将其导入wireshark中,使用过滤规则对流量包进行分析
11.Behinder流量特征
冰蝎是一款基于java开发的动态加密通信流量的新型webshell客户端,冰蝎的通信过程可以分为两个阶段:秘钥协商 加密传输
0x3 高频面试题第三套
1.如何识别安全设备中的无效告警
通过特征规则将无效告警、误报告警过滤掉
需要对告警日志进行研判分析,从其中找出「真实有效」的攻击事件
2.常见的威胁情报平台有哪些?
微步在线
360威胁情报中心
奇安信威胁情报分析中心
3.木马驻留系统的方式有哪些
木马驻留第一招:利用系统启动文件
木马驻留第二招:文件捆绑使木马运行
木马驻留第三招:巧用启动文件夹
4.当收到钓鱼邮件的时候,说说处理思路
1.推荐接入微步或奇安信的情报数据,对邮件内容出现的URL做扫描
2.屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问
3.屏蔽钓鱼邮件
4.处理接受到钓鱼邮件的用户
5.事后提高提高全员的安全意识
5.如何对攻击事件进行溯源?
溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安
全漏洞位置进行 漏洞修复 ,从日志可以找到攻击者的IP地址
常见的反制思路是什么?IP定位技术
ID定位技术
网站url
社交信息
给攻击者画像
6.如何快速检测定位网站目录下的webshell
1、通过URL信息获取2、通过扫描工具扫描获取通过Webshell查杀工具进行扫描,可以定位到部分免杀能力不强的Webshell文件。例如:D盾、河马等工具。
3、根据文件创建/修改时间获取
7.如何还原失陷路径
用命令提示符或PowerShell恢复
利用用户配置备份文件恢复
利用注册表编辑器获取路径
0x4 高频面试题第四套
1、之前参加过护网嘛,能讲下你具体的工作内容吗?
去年参加过,是qax蓝中研判岗;
主要工作内容:分析安全设备的告警,确定是攻击就提交给处置组封禁IP,分析上报流量,对恶意攻击进行分析和处理,并撰写安全应急分析处理报告。2、毕业了吗,那平时工作具体工作内容是什么?
已经毕业了;
平常在公司,主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。3、讲下XSS原理吧,以及它的利用原理
XSS(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者可以通过注入恶意脚本,获取用户的cookie,控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。
4、XSS有哪几种类型及区别
反射型XSS:反射型XSS攻击是一次性的攻击,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行
存储型XSS:主要是将恶意代码存储到服务器中,下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码
DOM型:客户端的脚本程序可以动态地检查和修改页面内容,不与服务端进行交互
5、护网期间设备误报如何处理?
要确认设备是否误报,我们可以直接到监控设备上看请求包和响应包的流量特征,
在护网过程中如果确实存在异常流量应当及时进行上报,确认是误报后做好事件记录6、如何区分扫描流量和手工流量?
扫描流量数据量大,请求流量有规律可循且频率较高,手工流量请求少,间隔略长
扫描流量:比如常用的漏洞扫描工具AWVS以及APPscan在请求的URL,Headers, Body三项里随机包含了能代表自己的特征信息7、说几个php里面可以执行命令的函数?
exec(): 执行一个外部程序并且显示完整的输出。
shell_exec(): 执行一条 shell 命令并且返回完整的输出为一个字符串。
system(): 执行一个外部程序,并且显示输出。
8、说一下告警日志分析的思路?
首先需要收集所有的告警日志
对收集到的告警日志进行解析
根据告警的重要性和紧急程度,确定告警的等级
持续对告警日志进行监控和分析
9、HTTP状态码200、302、403、404分别表示什么?
200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在
10、内网了解吗,讲下黄金票据和白银票据?
黄金票据:
也称为“域管理员组帐户”,拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户,能够创建新的域管理员和更改现有的域管理员帐户密码
白银票据:
通常属于本地管理员帐户,只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户
区别:
黄金票据通常指一个**具有域管理员权限的票据,而白银票据通常指普通用户的票据**
11、讲下Java反序列化Struts 2 漏洞原理以及利用方式
Struts 2 是一个Java Web 应用的框架
文件上传、命令执行、ognl表达式注入
比较明显的就是访问的目录为.action或者.do,content-Type的值是默认的,返回的页面也可能会有struts2字样,
ognl表达式注入就会使用ognl语法,请求参数会有${},%{}字符
12、护网期间怎么防范邮件钓鱼?
提供员工的安全意识,护网期间不随意点击钓鱼邮件;
邮箱不使用弱口令,如果被感染了直接拔网线。
0x5 高频面试题第五套
所面试的公司:某安全厂商
所在城市:北京
面试职位:国护蓝中研判岗
面试过程:
腾讯会议(视频)
面试过程:整体流程就是自我介绍加上一些问题问题balabalabala。。。这次面试是我前几天的真实护网面试,面的是长亭的研判岗。回答部分基本上是我的原答案,不保证正确。面试官是从简单到难,然后开始进行面试的,后面问了很多Java反序列化、免杀以及内存马的相关问题。(后面感觉还是蛮难的)面试官的问题:
1、面试官先就是很常态化的让我做了一个自我介绍
自我介绍的大致内容这里就先忽略,这里给大家分享下自我介绍的几个部分吧。
师傅们可以看你自己是面试什么岗位,比如实习啊还是社招还是一年一次的护网啊什么的。
这里今天我就给师傅们分享下我的护网面试自我介绍的简单介绍吧:
因为是护网,技术面试,不像实习啊社招什么的,主要还是以技术技能为主,以及你的做过的项目经验等。所以你可以先跟面试官介绍下你的相关专业技能让面试官简单了解你会什么,熟悉什么。其次就是介绍你的项目经验了,你可以把你在学校或者在实习参加过的一些项目啊,比如以前参加过的护网项目、渗透测试、漏洞挖掘等都可以跟面试官介绍下。还有就是你的工作经验,要是有过工作经验以及实习网络安全相关的经验,肯定是加分项的。还有就是在校获奖,比如常打的CTF比赛之类的都可以跟面试官讲下。2、自我介绍不错,听你讲熟悉TOP10漏洞,可以讲下自己熟悉哪些方面吗?
自己的话熟悉TOP10漏洞,以及当前主流的web漏洞SQL注入、文件上传、XSS等漏洞的原理和防御,以及相关漏洞的一些组合拳等都是有搞过的。
3、sql注入原理可以讲下吗?
攻击者利用SQL语句或字符串插入到服务端数据库中,通过一些字符单引号、双引号,括号、and、or进行报错,获取数据库敏感信息。
4、sql注入绕WAF有了解吗,平常有挖过相关漏洞吗?
sql注入的waf绕过的话平常有做过,包括src漏洞挖掘相关也是挖过sql注入的漏洞,以及绕过方面也有相关经验。
5、那sql报错盲注呢,可以讲下嘛,包括相关的常用函数?
报错盲注的话是xpath语法错误,,最大回显长度32;
常用函数:updatexml()、floor()
但是一般上waf了的话updatexml()、floor()函数一般都会被ban掉,所以一般都会上网找一些别的函数替代,比如ST_LatFromGeoHash()、ST_LongFromGeoHash()函数。6、可以讲下WAF的分类和原理吗?
WAF分类:WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型指的是虚拟机WAF之类的,嵌入型指的是web容器模块类型WAF。
7、那你去年护网去的哪?是走哪家大厂护网?什么岗位?
去年去的山东烟台恒丰一个银行;
走的奇安信;
蓝中研判岗。8、可以简单讲下你在护网期间最让你印象深刻的是什么吗?
一次就是护网的钓鱼邮件,有好几次的钓鱼邮件让我分析,然后那个钓鱼邮件的网站是某个政府的页面,但是里面需要填身份信息,然后分析过好几次,印象比较深。还有就是后面最后那几天,情人节那天,银行那边的财务部分好像就是被打穿了,然后领导搁那24小时值班,太累了,印象深刻。
9、那你护网期间使用过什么安全设备吗?
护网期间使用的安全设备:奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等
10、那简单讲下你用的天眼的一些功能以及常用的检索语法吧?
就是里面有很多的检索功能,以及一些匹配策略,还有一些小工具,比如解码小工具蛮常用的。比如天眼里面的运算符有:AND/OR/NOT等,都是需要大写
11、你做过应急响应相关的工作吗,可以讲下吗?
(这里我就给师傅们总结好吧,这里我是先讲应急响应的具体思路步骤,然后讲了一个我的重保期间的应急响应)
应急响应具体步骤:
(1)首先检测有没有可疑的账号
(2)history指令查看历史命令
(3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程
(4)查看一些系统日志以及常见的web安全日志
(5)然后利用查杀工具,比如D盾12、webshell连接工具菜刀的流量特征讲下?
连接过程中使用base64编码进行加密,其中两个关键payload z1 和 z2
然后还有一段以QG开头,7J结尾的固定代码数据包流量特征:
1,请求体中存在eval,base64等特征字符
2,请求体中传递的payload为base64编码13、Java反序列化漏洞了解吗?可以讲下你了解哪些吗?
Shiro-550 反序列化、log4j2远程代码执行漏洞、JNDI注入漏洞、Fastjson反序列化漏洞以及Weblogic反序列化漏洞。
14、有复现过吗,以及挖过相关的漏洞之类的?
这里我说我利用vulhub以及docker和IDEA相关工具和平台这些漏洞都复现过,然后挖过shiro以及weblogic的漏洞,然后讲大多都是利用工具进行资产收集然后挖的。(后来师傅也没多问别的了)
15、那内存马有了解吗,以及如何进行检测内存马?
首先判断是什么方式注入的内存马,
可以通过查看web日志,以及看是否有类似哥斯拉、冰蝎的流量特征,
如果web日志中没有发现,那么我们就可以排查中间件的error.log日志16、那内存马清除呢,知道吗?
因为内存马清除相关知识不是很了解,所以我就简单的讲了下利用工具,比如河马、D盾等进行webshell查杀清除。
后来面试官就没问我什么了,就再问了下我有时间去护网吗等一些问题。
面试结果:通过
面试难度:一般
面试感受:
护网面试的话,这次我感觉面的相对去年来讲不是很好,去年面试了一个多小时才去的蓝中研判岗,今年问了半个小时就结束了,但是面试还是通过了,我觉得主要是自我介绍以及简历相关做的比较好。
给大家的建议:
这次面试是前一个星期面试的,面试是通过了,但是今年全国的各单位护网都是改成两个月的常态化了,所以时间方面没有协调好,时间太长了,护网12小时身体吃不消以及一些资金方面怕没保障,就没有同意签合同。
这里还是开头讲的,简历以及自我介绍大家一定要搞好,自我介绍最好是背背模板啥的,这样面试官对你的第一印象要好点。最好希望这篇护网面试能够对师傅们有帮助!!!