基础篇网络安全核心概念1. 什么是护网行动HVV答案护网行动HVV是由公安部牵头的国家级网络安全攻防演练起始于2016年。分为红队攻击方和蓝队防守方在真实环境中进行不限制攻击手段的演练目的是评估和提升组织的网络安全能力。2. 红队、蓝队、紫队的职责分别是什么答案红队模拟真实黑客攻击使用渗透测试、社会工程学、内网渗透等手段突破防御评估系统安全性蓝队7×24小时监控网络流量分析告警、处置攻击、修复漏洞、溯源攻击源紫队制定规则、判定攻击有效性、统计得分、协调争议保障演练公平第一套1、之前参加过护网嘛能讲下你具体的工作内容吗去年参加过是qax蓝中研判岗主要工作内容分析安全设备的告警确定是攻击就提交给处置组封禁IP分析上报流量对恶意攻击进行分析和处理并撰写安全应急分析处理报告。2、毕业了吗那平时工作具体工作内容是什么已经毕业了平常在公司主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。3、讲下XSS原理吧以及它的利用原理XSS跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本获取用户的cookie控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。4、XSS有哪几种类型及区别反射型XSS反射型XSS攻击是一次性的攻击当受害者点击恶意链接url的时候恶意代码会直接在受害者的主机上的浏览器执行存储型XSS主要是将恶意代码存储到服务器中下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码DOM型客户端的脚本程序可以动态地检查和修改页面内容不与服务端进行交互5、护网期间设备误报如何处理要确认设备是否误报我们可以直接到监控设备上看请求包和响应包的流量特征在护网过程中如果确实存在异常流量应当及时进行上报确认是误报后做好事件记录6、如何区分扫描流量和手工流量扫描流量数据量大请求流量有规律可循且频率较高手工流量请求少间隔略长扫描流量比如常用的漏洞扫描工具AWVS以及APPscan在请求的URLHeaders, Body三项里随机包含了能代表自己的特征信息7、说几个php里面可以执行命令的函数exec(): 执行一个外部程序并且显示完整的输出。shell_exec(): 执行一条 shell 命令并且返回完整的输出为一个字符串。system(): 执行一个外部程序并且显示输出。8、说一下告警日志分析的思路首先需要收集所有的告警日志对收集到的告警日志进行解析根据告警的重要性和紧急程度确定告警的等级持续对告警日志进行监控和分析9、HTTP状态码200、302、403、404分别表示什么?200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在10、内网了解吗讲下黄金票据和白银票据黄金票据也称为“域管理员组帐户”拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户能够创建新的域管理员和更改现有的域管理员帐户密码白银票据通常属于本地管理员帐户只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户区别黄金票据通常指一个具有域管理员权限的票据而白银票据通常指普通用户的票据11、讲下Java反序列化Struts 2 漏洞原理以及利用方式Struts 2 是一个Java Web 应用的框架文件上传、命令执行、ognl表达式注入比较明显的就是访问的目录为.action或者.docontent-Type的值是默认的返回的页面也可能会有struts2字样ognl表达式注入就会使用ognl语法请求参数会有${}%{}字符12、护网期间怎么防范邮件钓鱼提供员工的安全意识护网期间不随意点击钓鱼邮件邮箱不使用弱口令如果被感染了直接拔网线。第二套1、面试官开始就问了我为什么要学网络安全这里我就不给师傅们回答了这个看自己的发挥了尽量显的自己特别热爱安全把安全当成自己的一个兴趣后面我就开始给师傅们介绍下面试的问题吧然后最后面我也会给师傅们一些面试的经验然后从投递简历到面试再到面试通过选择去哪家公司的一个建议大佬勿喷2、什么是sql注⼊攻击者通过在输⼊的SQL查询中注⼊恶意代码来执⾏他们想要的操作⽐如获取敏感信息、删除或篡改数据等。这种攻击通常发⽣在⽤户输⼊没有经过充分验证和清理的情况下例如在⽹站的登录表单或搜索框中输⼊SQL语句。为了防⽌SQL注⼊开发者应该使⽤参数化查询和预编译的查询对⽤户的输⼊进⾏严格的验证和清理。3、关于sql注⼊都分为那些有回显和⽆回显⽆回显称为盲注包括布尔盲注或者dnslog外带来探测有回显可以union联合查询、报错注⼊、宽字节注⼊、堆叠注⼊、⼆次注⼊4、如果在实战中遇到了防护⽐如sql注⼊过滤掉了空格怎么办将空格URL编码例如%20 %0a5、什么是tomcattomcat⽇志默认路径在安装⽬录下的logs⽂件夹下apache /etc/httpd/conf/httpd.confnginx的⽇志主要分为access.log、error.log两种可通过查看nginx.conf⽂件来查找相关⽇志路径6、简单讲解下内存⻢内存马是一种高级攻击工具利用内存的动态特性绕过传统防御。防范需结合技术手段如内存监控和安全策略如权限最小化并定期进行安全审计。7、讲下内存⻢排查思路首先判断是什么方式注入的内存马可以通过查看web日志以及看是否有类似哥斯拉、冰蝎的流量特征如果web日志中没有发现那么我们就可以排查中间件的error.log日志8、平常有对APP、小程序渗透测试嘛有的9、你是用什么工具对app进行抓包我是使用的雷电模拟器然后使用burpsuit配合进行抓取app数据包的10、针对apache的⽂件上传可以使⽤什么上传.htaccessapache解析漏洞如果上传.htaccess那么当前⽬录就会按照htaccess中的配置执⾏11、关于图⽚⻢的制作你知道那些⽅法命令⾏⽅式copy 1.png/b1.php/a 2.png在⽂件头中加⼊GIF98aBurpSuite抓包修改图⽚body打开图⽚⽂件属性在详细信息那⾥写⼊⼀句话12、蚁剑和冰蝎的区别?冰蝎的流量进⾏了aes加密相对于蚁剑更加难以被检测webshell免杀性好。冰蝎更新了4.0更加安全和易注⼊。13、平常有挖企业src嘛可以说说你的资产收集过程嘛1、首先确定我们要挖的公司资产2、使用wps新建一个exec表格里面新建好几个表格备注比如根域名、子域名、小程序、app以及漏洞提交进度等情况3、上爱企查看这个企业的知识产权然后看网站备案然后看这个公司的股权穿透图这里有一个找边缘资产的好方法就是看股权穿透图找下面的子公司但是不同的企业src收录标准不一4、使用小蓝本查该公司的一个小程序、app然后保存在exec表格里面5、使用oneforall工具进行子域名挖掘然后保存到一个txt里面再使用灯塔进行子域名挖掘再汇总然后使用无影工具里面的辅助模块进行资产分类6、使用灯塔ARL自动化跑去找一些文件泄露的漏洞14、有自己的技术博客嘛在先知、freebuf等平台发表过文章嘛都有自己一直有保持写技术博文的习惯15、关于代码审计你知道那些说说看我主要是对Java代码审计⽐较熟悉例如⼀般Spring Boot项⽬中使⽤mybatis框架处理sql语句其中${包裹的参数如果是⽤户可控的就可能存在sql注⼊。Java中的命令执⾏函数Runtime类的exec⽅法和ProcessBuilder类反序列化函数和类加载函数例如readObject、Classload.defineClass类加载⽅法等。通过pom.xml排查引⼊的框架版本是否存在漏洞。还有⽂件上传/⽂件读取接⼝是否有充⾜限制是否存在任意⽂件上传和⽂件任意读取还了解⼀些例如codeql、Fortify SCA⾃动化代码审计⼯具16、Shiro-550 反序列化漏洞有了解嘛简单讲下shiro反序列化漏洞的特征cookie里有remember字段在整个漏洞利用过程中比较重要的是AES加密的密钥该秘钥默认是默认硬编码的所以如果没有修改默认的密钥就自己可以生成恶意构造的cookie了。检测的话利用burp抓包更改cookie可以看到响应包中的rememberMedeleteMe字段17、如果⽹站有CDN你如何查看他的真实IP地址多地ping主域名、⼦域名利⽤冷⻔国家的服务器来ping查询cdn解析历史利⽤cdn⼯具通过ping错误的⼦域名如果⽬标服务器开启了模糊域名就可以直接看到真实ipddos打光cdn流量再ping就是真实IP通过ssrf绕过cdn通过反弹shell直接得到IP敏感信息泄露例如phpinfo中就有ip社⼯进⾏邮件往来邮件头上就会有IP18、在校期间打过什么比赛介绍下再讲下让你印象最深刻的比赛这里师傅们就靠自己脑补了自己就把自己打过的比赛和获奖说下大公司还是蛮注重你在大学期间的比赛成绩的。第三套1、面试官先就是很常态化的让我做了一个自我介绍自我介绍的大致内容这里就先忽略这里给大家分享下自我介绍的几个部分吧。师傅们可以看你自己是面试什么岗位比如实习啊还是社招还是一年一次的护网啊什么的。这里今天我就给师傅们分享下我的护网面试自我介绍的简单介绍吧因为是护网技术面试不像实习啊社招什么的主要还是以技术技能为主以及你的做过的项目经验等。所以你可以先跟面试官介绍下你的相关专业技能让面试官简单了解你会什么熟悉什么。其次就是介绍你的项目经验了你可以把你在学校或者在实习参加过的一些项目啊比如以前参加过的护网项目、渗透测试、漏洞挖掘等都可以跟面试官介绍下。还有就是你的工作经验要是有过工作经验以及实习网络安全相关的经验肯定是加分项的。还有就是在校获奖比如常打的CTF比赛之类的都可以跟面试官讲下。2、自我介绍不错听你讲熟悉TOP10漏洞可以讲下自己熟悉哪些方面嘛自己的话熟悉TOP10漏洞以及当前主流的web漏洞SQL注入、文件上传、XSS等漏洞的原理和防御以及相关漏洞的一些组合拳等都是有搞过的。3、sql注入原理可以讲下嘛攻击者利用SQL语句或字符串插入到服务端数据库中通过一些字符单引号、双引号括号、and、or进行报错获取数据库敏感信息。4、sql注入绕WAF有了解嘛平常有挖过相关漏洞嘛sql注入的waf绕过的话平常有做过包括src漏洞挖掘相关也是挖过sql注入的漏洞以及绕过方面也有相关经验。5、那sql报错盲注呢可以讲下嘛包括相关的常用函数报错盲注的话是xpath语法错误最大回显长度32常用函数updatexml()、floor()但是一般上waf了的话updatexml()、floor()函数一般都会被ban掉所以一般都会上网找一些别的函数替代比如ST_LatFromGeoHash()、ST_LongFromGeoHash()函数。6、可以讲下WAF的分类和原理吗WAF分类WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型指的是虚拟机WAF之类的嵌入型指的是web容器模块类型WAF。7、那你去年护网去的哪是走哪家大厂护网什么岗位去年去的山东的一个银行走的qax蓝中研判岗。8、可以简单讲下你在护网期间最让你印象深刻的是什么吗一次就是护网的钓鱼邮件有好几次的钓鱼邮件让我分析然后那个钓鱼邮件的网站是某个政府的页面但是里面需要填身份信息然后分析过好几次印象比较深。还有就是后面最后那几天情人节那天银行那边的财务部分好像就是被打穿了然后领导搁那24小时值班太累了印象深刻。9、那你护网期间使用过什么安全设备吗护网期间使用的安全设备奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等10、那简单讲下你用的天眼的一些功能以及常用的检索语法吧就是里面有很多的检索功能以及一些匹配策略还有一些小工具比如解码小工具蛮常用的。比如天眼里面的运算符有AND/OR/NOT等都是需要大写11、你做过应急响应相关的工作吗可以讲下吗这里我就给师傅们总结好吧这里我是先讲应急响应的具体思路步骤然后讲了一个我的重保期间的应急响应应急响应具体步骤1首先检测有没有可疑的账号2history指令查看历史命令3检查异常端口和进程netstat检查异常端口ps检查异常进程**4查看一些系统日志以及常见的web安全日志5然后利用**查杀工具比如D盾12、webshell连接工具菜刀的流量特征讲下连接过程中使用base64编码进行加密其中两个关键payload z1 和 z2然后还有一段以QG开头7J结尾的固定代码数据包流量特征1请求体中存在evalbase64等特征字符2请求体中传递的payload为base64编码13、Java反序列化漏洞了解吗可以讲下你了解哪些吗Shiro-550 反序列化、log4j2远程代码执行漏洞、JNDI注入漏洞、Fastjson反序列化漏洞以及Weblogic反序列化漏洞。14、有复现过吗以及挖过相关的漏洞之类的这里我说我利用vulhub以及docker和IDEA相关工具和平台这些漏洞都复现过然后挖过shiro以及weblogic的漏洞然后讲大多都是利用工具进行资产收集然后挖的。后来师傅也没多问别的了15、那内存马有了解吗以及如何进行检测内存马首先判断是什么方式注入的内存马可以通过查看web日志以及看是否有类似哥斯拉、冰蝎的流量特征如果web日志中没有发现那么我们就可以排查中间件的error.log日志16、那内存马清除呢知道吗因为内存马清除相关知识不是很了解所以我就简单的讲了下利用工具比如河马、D盾等进行webshell查杀清除。后来面试官就没问我什么了就再问了下我有时间去护网吗等一些问题。第四套面试之前面试官师傅在看我的简历说我的简历写的不错。嘿嘿嘿后面的面试基本上很多都是面试官按照我的简历来进行提问的。1、你好看你简历上写参加过护网总共参加过几次地点又在哪总共参加过三次护网两次国护一次省护两次国护都在同一个项目都在北京一个园区一次省护是在杭州2、那可以讲下你护网的工作内容嘛护网期间使用的安全设备奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等工作内容分析安全设备的告警确定是攻击就提交给处置组封禁IP分析上报流量对恶意攻击进行分析和处理并撰写安全应急分析处理报告。3、你学校成绩如何有挂科吗学习成绩优秀没有挂过科在校期间获得多次校级奖学金以及在大二那学年获得我校校园之星的称号。4、未来你想做安全的哪一个领域目前的话还是打算先以贵公司实习为目的然后以后打算安全的方向的话主要以渗透测试、安服、红蓝攻防这些方向靠。5、看你简历在很多平台都提交过很多高危严重的漏洞是嘛是的在edusrc、CNVD、漏洞盒子、补天等漏洞平台提交多个高危严重漏洞。然后平常的话自己会去学习src方面的知识以及会进行src挖掘的工作。6、那你平常会去挖一些CVE漏洞嘛讲讲你挖过这些CVE中印象最深的挖掘CVE的话比较少一般主要是在VulnHub、Hack The Box 靶场练习平台复现CVE漏洞。7、linux命令熟悉吗可以讲下你熟悉的一些Linux命令吗1.查看用户信息查看用户账号文件信息cat /etc/passwd用于存储 Linux 系统中用户的密码信息cat /etc/shadow2.查看历史命令historyhistory -c3.检查异常端口和进程杀死进程netstat -tunlp检查异常端口ps aux检查异常进程kill -9 名称杀死进程4.检查linux的启动项和系统的定时任务crontab -lcrontab查看是否有异常的任务编写进来8、讲下linux被上传了webshell如何查杀首先top查看进程是否有cpu占用率特别高的以及ID是随机数的可以尝试kill进程再次查看还会不会出现这里感觉不太好。然后可以用ps -ef|gred查看进程详细信息用/proc找到进程cpsz下载文件放入微步在线云沙箱进行分析。确认是木马就删除文件。再cat /etc/rc 排查开机启动项和cat /etc/crontab 排查定时任务lastlastlog等排查日志和可疑用户。9、简单讲下XSS漏洞原理以及对XSS的了解XSS跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本获取用户的cookie控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。10、XSS有哪几种类型及区别反射型XSS反射型XSS攻击是一次性的攻击当受害者点击恶意链接url的时候恶意代码会直接在受害者的主机上的浏览器执行存储型XSS主要是将恶意代码存储到服务器中下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码DOM型客户端的脚本程序可以动态地检查和修改页面内容不与服务端进行交互11、sqlmap使用过嘛讲下sqlmap写shell的条件改mysql.ini配置(需要去增加一条配置secure-file-priv需要使用root权限知道网站的绝对路径12、了解内网嘛了解13、永恒之蓝漏洞查看日志的特征利用端口为445且存在很多系统命令执行的流量且该资产存在被端口扫描的告警14、ms17-010是什么漏洞用了什么协议445端口、永恒之蓝漏洞、smb协议15、做过免杀吗现在主要的免杀手段是什么修改文件哈希值通过修改文件的哈希值来让杀软误判为合法文件从而突破查杀检测木马程序免杀通过将恶意代码制作成木马程序来绕过系统的安全防范机制.利用kali上的msf制作exe免杀木马16、黄金票据和白银票据了解吗可以讲下吗黄金票据也称为“域管理员组帐户”拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户能够创建新的域管理员和更改现有的域管理员帐户密码白银票据通常属于本地管理员帐户只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户区别黄金票据通常指一个具有域管理员权限的票据而白银票据通常指普通用户的票据17、可以讲下利用黄金票据前提条件吗域名称域的SID值域的KRBTGT账户的 Hash NTLM值伪造用户名可以是任意用户甚至是不存在的用户18、你知道内网横向有哪些告警类型吗cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解内网主机对内部其他主机的攻击行为该主机可能被黑客控制沦为跳板机企图控制更多的内网其他主机19、挖矿木马告警怎么判断1、可以在告警设备中查看告警的流量数据包查看是否有挖矿协议流量2、将目的ip地址放入到威胁检测平台微步在线做检测看是否被打上矿池标签第五套1.在椒图平台日志分析中result字段表示得含义是?拦截结果0:已拦截拦截结果1:未拦截2.在椒图平台中如何配置针对服务器非白名单账号和登录IP的监控?通过威胁监测-异常登录-违规登录-登录规则设置添加白名单账户和IP3.在椒图平台下发web类安全策略需要使用那个功能?通过安全防护-功能设置4.在椒图平台日志分析中P字段是攻击者IP还是受害者IP呢?攻击源IP5.告警分析payload大概在什么位置通常在请求包中的请求头url以及在post数据包中可能存在6.osi七层模型物理层-数据链路层-网络层-传输层-会话层-表示层-应用层 应用层协议: HTTPFTPTELNET、SMTP 传输层协议: TCP 、 UDP7.什么告警不能很快分析出来部分sql注入无明显回显8.哪个模块看告警的全部信息威胁感知模块9.msf用过吗设备上怎么分析的可能会存在执行系统命令的相关告警或shell告警10.攻击者利用永恒之蓝漏洞攻击之后的日志特征是什么?安全日志中存在4624登录成功日志登录类型为311.永恒之蓝漏洞查看日志的特征利用端口为445且存在很多系统命令执行的流量且该资产存在被端口扫描的告警12.分析中心有什么日志告警日志、原始日志、终端日志13.Referer字段Referer是HTTP请求header的一部分当浏览器向web服务器发送请求的时候头信息里有包含Referer14.eval函数在木马中的作用eval()函数把字符串按照PHP代码来执行15.如何确定web攻击是真实攻击还是误报攻击从多角度回答,举例说明真实攻击查看请求报文和响应报文。比如sql注入特殊字符比如and、or和id 以及union select。再查看状态码为200且出现success等字样查看防火墙、邮件网关以及安全产品告警16.护网期间如果客户的流量特别大面对很多条告警应该去首先关注筛选哪些的告警遇着这种情况一方面优先分析成功告警再分析成功之外的其他高危告警如webshell、命令执行、shell连接等。最后分析剩余告警同时对于攻击频率较高的攻击ip及时上报封堵可有效减少告警量第六套1.XSS和CSRF区别通俗点讲的话XSS通过构造恶意语句获取对方cookieCSRF通过构造恶意链接利用对方cookie但看不到cookieXSS比CSRF更加容易发生但CSRF比XSS攻击危害更大2.XSS原理XSSCross-Site Scripting跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。CSRF原理CSRFCross-Site Request Forgery跨站请求伪造是一种常见的Web安全漏洞攻击者利用用户已登录的身份在用户不知情的情况下向Web应用程序发起恶意请求以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。3.sql注入原理攻击者利用SQL语句或字符串将非法的数据插入到服务端数据库中获取用户管理权限然后将数据库管理用户权限提升至操作系统管理用户权限控制服务器操作系统4.sql注入的关键字sql注入的关键字 →select union where5.sql注入分类、绕过分类sql注入分为字符型和数字型。还可以将sql注入分为有回显的注入和无回显的注入无回显的注入又别称为盲注盲注有三大类布尔盲注、时间盲注以及报错盲注绕过大小写绕过 、注释绕过、关键字/关键函数替换、特殊符号6.如何防御sql注入1、过滤检查处理2、预编译sql语句3、使用waf防火墙安全狗阿里云盾等waf进行防护4、经常进行基线检查、漏洞扫描等工作7.渗透思路信息收集 1、获取域名whois信息 2、服务器子域名、旁站、c段查询 3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等 4、服务器开放端口22 ssh 80 web 445 3389.。。漏洞扫描 nessusawvs appscan漏洞验证 是否存在漏洞是否可以拿到webshell或者其他权限 权限提升: windows内核溢出提权数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权 linux内核漏洞提权、劫持高权限程序提权、sudoer配置文件错误提权漏洞利用日志清理8.中间件漏洞IIS ,tomcat apache nginx9.应急响应流程及windows/linux用到的命令应急响应流程1、收集信息搜集客户信息和中毒信息备份2、判断类型判断是否是安全事件、是何种安全事件勒索病毒、挖矿、断网、ddos等3、深入分析日志分析、进程分析、启动项分析、样本分析4、清理处置杀掉恶意进程、删除恶意文件、打补丁、修复文件5、产出报告整理并输出完整的安全事件报告windows应急一、查看系统账号安全1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放 2、winreventwmr.msc查看系统日志查看管理员登录时间、用户名是否存在异常二、检查异常端口、进程 1、netstat -ano 检查端口连接情况是否有远程连接、可疑连接 2、tasklist | findstr PID根据pid定位进程 3、使用功能查杀工具三、启动项检查、计划任务、服务 1、检查服务器是否有异常的启动项msconfig看一下启动项是否有可以的启动 2、检查计划任务查看计划任务属性可以发现木马文件的路径 3、见擦汗服务自启动services.msc注意服务状态和启动类型检查是否有异常服务四、检查系统相关信息 1、查看系统版本以及补丁信息 systeminfo 2、查找可以目录及文件 是否有新建用户目录 分析最近打开分析可疑文件%UserProfile%\Recent五、自动化查杀 使用360 火绒剑 webshell后门可以使用d盾 河马等六、日志分析 360星图日志分析工具 ELK分析平台linux应急1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意2、通过 who 命令查看当前登录用户tty 本地登陆 pts 远程登录、w 命令查看系统信息想知道某一时刻用户的行为、uptime查看登陆多久、多少用户负载3、修改/etc/profile的文件在尾部添加相应显示间、日期、ip、命令脚本代码这样输入history命令就会详细显示攻击者 ip、时间历史命令等4、用 netstat -antlp|more命令分析可疑端口、IP、PID查看下 pid 所对应的进程文件路径运行ls -l /proc/PID/exe 或 file /proc/PID/exe$PID 为对应的pid 号5、使用ps命令分析进程 ps aux | grep pid6、使用 vi /etc/inittab 查看系统当前运行级别通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件7、看一下crontab定时任务是否存在可疑启用脚本8、使用chkconfig --list 查看是否存在可疑服务9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀11、如果有 Web 站点可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数evel、system、shell_exec、exec、passthru system、popen进行查杀Webshell 后门。10.流量分析拿到流量包后将其导入wireshark中使用过滤规则对流量包进行分析11.Behinder流量特征冰蝎是一款基于java开发的动态加密通信流量的新型webshell客户端冰蝎的通信过程可以分为两个阶段秘钥协商 加密传输第七套1.如何识别安全设备中的无效告警通过特征规则将无效告警、误报告警过滤掉需要对告警日志进行研判分析从其中找出「真实有效」的攻击事件2.常见的威胁情报平台有哪些微步在线360威胁情报中心奇安信威胁情报分析中心3.木马驻留系统的方式有哪些木马驻留第一招利用系统启动文件木马驻留第二招文件捆绑使木马运行木马驻留第三招巧用启动文件夹4.当收到钓鱼邮件的时候说说处理思路1.推荐接入微步或奇安信的情报数据对邮件内容出现的URL做扫描2.屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问3.屏蔽钓鱼邮件4.处理接受到钓鱼邮件的用户5.事后提高提高全员的安全意识5.如何对攻击事件进行溯源溯源方式隔离webshell样本使用Web日志还原攻击路径找到安全漏洞位置进行 漏洞修复 从日志可以找到攻击者的IP地址常见的反制思路是什么IP定位技术ID定位技术网站url社交信息给攻击者画像6.如何快速检测定位网站目录下的webshell1、通过URL信息获取2、通过扫描工具扫描获取通过Webshell查杀工具进行扫描可以定位到部分免杀能力不强的Webshell文件。例如D盾、河马等工具。3、根据文件创建/修改时间获取7.如何还原失陷路径用命令提示符或PowerShell恢复利用用户配置备份文件恢复利用注册表编辑器获取路径第八套1、之前参加过护网嘛能讲下你具体的工作内容吗去年参加过是qax蓝中研判岗主要工作内容分析安全设备的告警确定是攻击就提交给处置组封禁IP分析上报流量对恶意攻击进行分析和处理并撰写安全应急分析处理报告。2、毕业了吗那平时工作具体工作内容是什么已经毕业了平常在公司主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。3、讲下XSS原理吧以及它的利用原理XSS跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本获取用户的cookie控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。4、XSS有哪几种类型及区别反射型XSS反射型XSS攻击是一次性的攻击当受害者点击恶意链接url的时候恶意代码会直接在受害者的主机上的浏览器执行存储型XSS主要是将恶意代码存储到服务器中下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码DOM型客户端的脚本程序可以动态地检查和修改页面内容不与服务端进行交互5、护网期间设备误报如何处理要确认设备是否误报我们可以直接到监控设备上看请求包和响应包的流量特征在护网过程中如果确实存在异常流量应当及时进行上报确认是误报后做好事件记录6、如何区分扫描流量和手工流量扫描流量数据量大请求流量有规律可循且频率较高手工流量请求少间隔略长扫描流量比如常用的漏洞扫描工具AWVS以及APPscan在请求的URLHeaders, Body三项里随机包含了能代表自己的特征信息7、说几个php里面可以执行命令的函数exec(): 执行一个外部程序并且显示完整的输出。shell_exec(): 执行一条 shell 命令并且返回完整的输出为一个字符串。system(): 执行一个外部程序并且显示输出。8、说一下告警日志分析的思路首先需要收集所有的告警日志对收集到的告警日志进行解析根据告警的重要性和紧急程度确定告警的等级持续对告警日志进行监控和分析9、HTTP状态码200、302、403、404分别表示什么?200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在10、内网了解吗讲下黄金票据和白银票据黄金票据也称为“域管理员组帐户”拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户能够创建新的域管理员和更改现有的域管理员帐户密码白银票据通常属于本地管理员帐户只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户区别黄金票据通常指一个具有域管理员权限的票据而白银票据通常指普通用户的票据11、讲下Java反序列化Struts 2 漏洞原理以及利用方式Struts 2 是一个Java Web 应用的框架文件上传、命令执行、ognl表达式注入比较明显的就是访问的目录为.action或者.docontent-Type的值是默认的返回的页面也可能会有struts2字样ognl表达式注入就会使用ognl语法请求参数会有${}%{}字符12、护网期间怎么防范邮件钓鱼提供员工的安全意识护网期间不随意点击钓鱼邮件邮箱不使用弱口令如果被感染了直接拔网线。第九套1.秋招的定义和时间秋招是秋季校园招聘的简称主要发生在每年的9月至11月并不这么准确,很多企业8月或者12月仍在进行秋招是针对应届毕业生的大型招聘活动。比如我参加的就是25届秋招,意思就是我是要25年入职,注意,并不是25年毕业之后才参加秋招25年秋招是在24年的9月份开始到24年12月结束此时我和众多小伙伴们理应还在学校里,处于一个大四刚开学或者是研三或研四上学期的时间,因此大家要提前准备简历准备面试不要临时磨刀乱了阵脚,切莫因为是校园生活的最后一年而掉以轻心贪图玩乐,要是错过秋招你可是错过了一个就业的大好机会要知道应届生的身份可是相当宝贵的,因为企业对于应届生的要求不高,毕竟大家都是从校园走过来的人,个人业务能力低是很正常的,入职后都需要进行培训呢。但是一旦你错过了秋招,你就只能走春招或者社招了,而春招本身招收的就少,社招你又缺乏工作经验,到那时你就处于一个相当被动的局面了。本人也是因为之前不懂秋招的时间,险些错过秋招。【比如今年大疆的校招周期就非常的短,我记得是8月中旬到九月初就结束了,我就错过了这次进入大疆的机会】好在我警醒的早,加班加点制作了自己的简历,才幸免于难QwQ。2.简历关于简历,相信70老师在就业课说的大家也都听明白了,我就不过多赘述,主要是强调一点,如果有精力的话要多准备几份简历以投递不同企业。投之前要看好企业发布的岗位要求,针对不同要求选择合适的简历描述甚至面试话术。3.秋招的心态经历长达4个月的秋招季的拷打,我深受折磨。怎么说呢,工作不是那么好找的,尤其是今年找工作真的难,应届生也是真的多。我一共投递了大约100份简历都是大中厂甲方,比如百度阿里字节这种,简历通过的不到四分之一。看抖音和各种社交平台上,985博士找工作都成了困难甚至羊毛月还因此塌房,笑哈哈了,所以大家的心态一定要放正,不能心急,大环境不好的时候大家都是不好找工作的。秋招一定是很累的原因我放在下章,大家要吃好喝好休息好,挺过这三四个月咱们就胜利了4.秋招的流程现在企业秋招的流程我总结如下1.(宣讲和)网申2.线上(下)测评(笔试)3.面试4.发放offer接下来详细说说每个流程4.1 (宣讲和)网申8月开始一些企业会进入高校进行宣讲。宣讲就是向应届生宣传自己的企业,吸引学生投递自己企业。当然企业是有选择性的进入高校,并不是所有企业都有宣讲这一步骤,也并不是所有高校都有机会与企业合作获得宣讲机会。所以理论上秋招的第一步就是网申,顾名思义,网上进行申请。一般情况下,应聘者需要在企业官网填报资料、投递简历,只需要找到类似“加入我们”、“诚聘英才”等链接即可进入招聘页面。网申这一步骤通常是最让人头痛的一步,因为大部分的企业是只能走官网投递,这就意味着每投递一个新企业你都需要重新手动填一次你的简历,从姓名到实习经历,尽管大部分填写页面都可以上传简历后自动进行解析填充,但是难免有解析不到位的时候,因而你需要仔细检查填写。如果你没有在官网找到今年的秋招页面,可能是今年的秋招还没开始,你需要关注一下相关的通告或者经常回来看看,也可能是推荐应届生走第三方招聘平台投递,我列出一些适用于应届生秋招的APP智联招聘,牛客,猎聘,国聘,前程无忧51job,应届生求职,公考雷达主要针对公务员事业编的考试。4.2 线上(下)测评(笔试)此步骤基本上是线上进行的,笔试会进行一到两轮,题目绝大部分是选择题。如果是两轮笔试,那第一轮是海笔,意思就是不论你简历是否合格,都会立马发送一个第三方考试链接进行第一轮的笔试,此时的笔试内容通常简单,考试结构因企业而异,常见的结构是“性格测试行测”,当然也有很多企业只进行性格测试。如果第一轮通过,则发送第二轮笔试链接,进行专业能力测试,考察你的岗位相关专业是否达标你是否能胜任,也有很多单位是只给简历过关的应聘者发送这唯一一轮笔试此时卷子结构是 性格测试行测专业能力,比如美团。这就是为什么我上面提到过秋招你会很累的原因,除了要不停写简历投简历外你还要忙里偷闲进行线上的笔试。下面是笔试的题目介绍4.2.1 性格测试就是判断你适不适合当前岗位,几乎没有踩雷的点,建议如实回答。题目类似“你更喜欢一个人在家还是和朋友出去玩”,毫无压力,但是有些问题如“有时候我脾气很暴躁,想和人大吵一架”,这种题目就一定一定别选“是的”。4.2.2 行测‌行测,即行政职业能力测验,主要包括以下几个部分‌1. 言语理解与表达‌这部分主要考察考生对文字材料的理解能力包括阅读理解、语句表达、篇章阅读等题型。考生需要具备良好的文字表达和逻辑分析能力。‌2. 数量关系‌主要测试考生运用数学知识解决实际问题的能力通常包括数字运算、资料分析等题型。掌握一定的数学知识是取得好成绩的关键。‌3. 判断推理‌包括图形推理、类比推理、定义判断、逻辑填空等题型测试考生的逻辑思维能力。‌4. 资料分析‌测试考生运用语言文字进行信息获取、理解和表达的能力。‌5. 常识判断‌涉及政治、经济、文化、科技等方面的常识测试考生运用基本常识解决实际问题的能力。以上这些说白了也没什么难度,我认为考试考一次就知道套路了,如果你想更有把握一些可以去网上找找相关的题目,公务员考试也是考行测的。我网盘也有一些这种题目,如果需要我可以分享在评论区。4.2.3 专业题目以我们网络安全相关岗位为例,很少有甲方会百分之百出安全相关的题目,绝大部分是算法硬件安全都有涉及甚至还有408的题目,也会有知名大厂会出两三道敲代码的题目,考查你的算法和编程语言是否过关,不过不难,只要是学计算机的小伙伴我相信都是没得问题的。用面试过我的得物面试官的话就是“我们不仅要让你们做安全,也希望你们能会安全开发,你们肯定是要涉及代码层面的”。这是好多做安全的小伙伴相对头疼的题目,建议能力薄弱的同学可以去牛客或者赛码网做点题目适应一下4.2.4 考试过程考试过程大概率是要求打开浏览器摄像头权限并共享屏幕的,个别企业变态到需要第二机位……当然这是看企业预算的,因为考试是在第三方平台,出题需要花钱,甚至摄像头和屏幕监控等服务也需要更多经费,这就是为什么有些企业不要求开摄像头,有些企业需要双机位监考的原因。4.2.5 线下考试绝大部分公司不进行线下考试,我投递这么多家也只有中国银行、农业银行、中国海油没有线上笔试,必须进行线下笔试,考点是根据你的位置就近选择考场,考试内容和线上笔试内容类似,额外加了企业文化的题目,这是国央企考试与私企考试不同的地方。4.3 面试如果你的笔试通过了,那恭喜你,已经成功了一半,此时你的竞争者已经少了一多半目前的面试几乎都是第一轮线上面试,第二轮面试有可能是线下,要求公司进行。犹豫我们是技术岗,私企的第一轮面试就是技术面,面试内容和护网面试内容类似但是又有些许不同。护网面试会仔细的考察你的技术、考察你对设备的了解,甲方面试官虽然也会问技术,但是更多的会根据你的简历中的经历对你进行行为面试。如果是国企则进行半结构化面试。拼多多面试的时候还让我现场手撕代码,真逆天了,估计是看我菜给我找了一个最简单的题目用Python写一个sql注入的告警代码,我紧张的嘞,最后我用正则匹配写的一段代码,先将输入的内容进行大写转小写,然后匹配是否有”or”,”and”,”select”,”union”,”order by”,单双引号,注释符号等。第一轮技术面不建议你询问薪资,首先他不是hr,他不能告诉你他的薪资,其次第一轮还不到谈论薪资的时候,会让技术面试官印象不好。一般情况下面试官最后会问你“你还有什么问题吗”,此时一定忍住不要问薪资给个小建议,你可以就刚刚面试中回答的不好的问题或者没回答上的问题虚心对他进行请教,这有可能会让面试官感受到你的上进心和求知欲不客气嘿嘿,这可是一个大大的小心机。第一面通过之后就是HR面了,主要需要进一步确认你和公司的文化契合度和综合能力,此时可以谈论薪资了。此时虽然通过率很高但是也不要掉以轻心,依然是注意着装注意仪容仪表,不能太随便,尤其是要线下面的情况下,一定要有礼貌,注意细节比如敲门后进办公室,不要跷二郎腿,不要抖腿等等。4.4 发放offer最后一步就是发放offer,恭喜你现在就等你的选择了,企业发放offer之后一般情况下并不会等人,基本上就只有一两周考虑的时间。我的建议是考虑清楚后就签约,因为违约可以交违约金,但是你错过之后可就没机会再次拥有offer了。就算是之后有更好的公司下offer,你也只需要和当前公司解约,支付违约金即可(一般是5K),真心不高,5K换一个offer,值5.甲方卡学历正如我开头所说,本文针对的是甲方面试,想比与乙方大厂,甲方更看重学历看重个人的全面素质,渗透技术没有厂商要求那么严格,这都可以理解。如今的甲方和国央企,几乎都是要求硕士研究生及以上的,像今年山东港集团下青岛港的招聘,全部都是要求硕士,就连一个开船的都是硕士要求,恐怖如斯。所以建议还在上学的朋友们可以选择考虑进一步提升学历,如今的就业形式也不是很好,有学习兴趣的朋友可以多努努力冲一冲研究生,说不定等你们研究生毕业了就业形势会有所好转当然大家不是赌狗,要看你的个人规划和选择。甲方看重学历,这不代表着你可以一点技术都不会,你还是需要好好听课,多打靶场,多打src进行实战,学历和技术是你的软实力和硬实力,都很重要技能是事业的助推器而学历是某个行业的敲门砖学历是决定了你的起点技能才能决定你能走多远。6.实习经历很重要通过这几个月的研究,我发现甲方尤其是大厂对实习经历是相当在意的,如果你没有3个以上实习经历,我建议你在学校期间多去实习,尽量去大厂,大厂实习还是很好进的。实习也是一个很好的学习机会,学习一下大厂的管理、业务、工作流程、团队合作等等,会让你受益终身的。我前面也说过甲方会对你进行行为面试,主要就集中于你的实习经历,你需要在面试中绘声绘色的描述你的这段经历,更多的细节能让面试官相信你确实在这实习过,也更能提现你的做事风格和性格等等。7.我的背景首先声明,仅供参考,不准笑话我的哈。我本科在山东理工大学计算机学院,硕士读的英国水硕,世界排名100左右,好了,我说了水硕之后你们就不准说了狗头。我技术一般般对不起聂风老师,我学艺不精哈哈,参加过国护当的蓝初,src没排名,就有几个cnvd,几个CVE,几十个公益的洞,属于是不怎么专心打src的那种人,见笑了兄弟们当年18期因为政策问题也没有开设scr课程,不怪我不怪我嘿嘿。然后我是党员,对进入甲方尤其是国央企公务员是有相当大帮助的,所以在学校的同学一定要思想上向组织靠拢,争挑大梁,做排头兵我在山理工担任校体育部副部长,在班级中任职组宣文体委员,这些班委或者学生会的经历甲方爸爸也是有所倾向的,他们希望你通过这些获得管理与处事方面的历练和经验。同时我也是国家二级运动员,破了好几个母校的田径记录,我爱踢球爱街健。健康的身体也是甲方希望的,因为他们可不想你在这上着上着班病退请假之类的在国企面试中面试官甚至还询问了我有关运动方面的问题,这让我开了眼了,我因此和她聊了得有一两分钟,完全是聊天的气氛,最后她给我的答复是“看来你身体真的很棒,作为运动员你的抗压能力也相当棒”。我勒个骚刚啊,兄弟们别忘了锻炼身体啊