【汇总】HVV面试题

护网蓝队重点知识汇总
https://cn-sec.com/archives/3019839.html

历年护网时间（有护网日记，值得一看！）
https://wiki.bafangwy.com/doc/584/

护网日薪过千是骗局吗？
https://wiki.bafangwy.com/doc/356/

------------

《hvv面试题1》
https://wiki.bafangwy.com/doc/677/

《hvv面试题2》
https://wiki.bafangwy.com/doc/678/

《hvv面试题3》
https://wiki.bafangwy.com/doc/679/

其他可以参考的面试题：
https://docs.qq.com/sheet/DSUhKYkFob3RnUHNJ

------------
2025qax
sql注入是啥 怎么防范 
挖矿病毒结合一下态势感知 如何判断是不是误报 
如果被入侵了 中间件为tomcat 可以看哪些日志 
应急响应针对linux说一下如何处理 
日志爆破的ip可以在哪个目录下可以看见 
内网渗透如何做 
内存马类型 如何判断  
shiro流量在bp上怎么看 原理 
Apache中间件日志路径

深信服厂商面
自我介绍
我看到你介绍里面有提到独立设计网络拓扑图，你知道内网有哪些攻击途径吗
护网红队有什么成果
sql注入有哪些类型
sql注入的防御方式
讲一个你工作中遇到的应急响应
怎么判断内网的攻击是不是真实攻击
Windows中了勒索病毒你应该怎么办
linux被上传了webshell应该怎么处理
文件上传怎么绕waf
log4j漏洞原理和流量分析
shiro漏洞原理
漏洞的流量分析说几个
你接触过什么安全设备
SSRF漏洞了解吗，利用方式有用过吗
spring boot rce
框架漏洞讲几个
你用过全流量设备嘛，qax的天眼这些
了解过内存马吗
预编译为什么可以防止sql注入
平时挖什么类型的漏洞多一点

------------

1. 前面根据你简历的项目经历，聊了四五分钟，主要是问你当时的角色，你的经历，用过哪些设备，然后遇到什么事，你当时怎么做（问了五六个问题吧）
2. 看你简历说，用python写过一些poc，讲讲这些（又问了一堆）
3. 能讲讲长亭那个waf嘛
4. 遇到钓鱼邮件怎么处理
5. 了解应急响应嘛
6. 服务器有挖矿木马怎么办，如何排查清除掉木马
7. 那个查看进程的命令是什么
8. 计划任务咋看
9. 对windows了解多还是linux多点
10. linux下，你用啥别的辅助工具去排查异常嘛
11. 如果说你用自己写的一些脚本的话，你会具体根据什么特征来写脚本去排查呢
12. windows下呢（跟他说360火绒就行）
13. SQL报错注入常用函数
14. 如何防御sql注入
15. xff请求头作用
16. xss常用检测方法
17. 哪些ip不能封啊，为什么0
18. xss防御方法
19. 讲讲404和403区别
20. 讲讲8080端口用来做啥服务
21. 讲讲正反向代理的区别
22. 讲讲蚁剑，冰蝎这些webshell管理工具的特征
23. 了解中间件嘛，weblogic，shiro之类的
24. 讲讲阿帕奇解析漏洞，lls，nginx之类的
25. python用request库的流量会有一些特征 能讲讲嘛
26. 了解过内网嘛
27. 那了解提权嘛
28. 讲讲suid提权原理
29. 有过溯源经历嘛
30. 如果发现一个命令执行，讲讲溯源流程
31. 反问环节，有啥问题可以问他

------------

深蓝
1.自我介绍
2.sql注入原理
3.sql注入怎么绕过
4.shiro反序列化
5.shiro550和721的区别
6.内网了解吗
7.内网信息收集工具有哪些
8.常见端口的漏洞说两个
9.我看你简历里面自己设计搭建过企业网络，请讲讲用到什么安全设备
10.都接触过什么企业级的安全设备
11.讲讲蜜罐的原理
12.webshell管理工具的流量特征

------------

沈阳深蓝，初级，
1.接触过安全设备吗，都有哪些，叫啥名字，做啥的
2.sql注入原理，以及危害
3.java反序列化漏洞什么特点怎么判断
第三个我记不太请了

------------

mysql outfile和dumpfile的区别
mssql无文件落地的利用方式
应急windows事件id
linux apache日志路径
windows安全事件常见id
冰蝎2.0强特征q=.2是为什么
冰蝎4.0 AES128加密后的密文达到多少位
最新版的冰蝎用的AES多少加密
java反序列化使用jndi注入而不用templateimpl的原因

------------

验证码的缺陷。
Ssh服务的防御。
sqlmap--level和--risk有什么区别？
钓鱼邮件的防御。
sql注入有哪些类型。
报错注入的常见函数。
Windows查进程的命令。
蜜罐的作用。

------------

深蓝
有没有护网经历，讲一下
用过什么设备，讲一下
sql漏洞原理，危害，拿shell有什么条件，用到了什么函数（没答上来用到了啥函数）
weblogic端口，weblogic上传shell一般什么路径（没答上来）
java反序列化流量特征，（刚准备开口说shiro550,被打断，说问的是一般java反序列化的流量特征，瞎回答了一些）
java反序列化利用了什么函数
/etc/passwd和/etc/shadow有什么区别
/etc/passwd的密码如何解密
还问了个，什么是正向代理和反向代理，常用的代理工具
Weblogic问了很多
意向城市，薪资

------------

1. 先简单自我介绍
2. 了解java反序列化嘛
3. 了解php反序列化嘛，讲讲thinkphp的反序列化链子
4. 讲讲thinkphp rce的两个洞
5. 讲讲redis怎么打
6. windows下的redis呢
7. 网站如果挂了cdn，该如何识别？该如何绕
8. 讲讲外围打点的流程
9. 讲讲常用工具的流量特征（蚁剑菜刀冰蝎哥斯拉之类的）
10. 问了个windows日志相关的东西
11. 如何处理误报
12. 如何判断攻击是手工还是工具
13. 外网打点的流程
14. 你知道的威胁情报库有哪些
15. 如何防御0day
16. 如何排查处理挖矿的木马病毒
17. 如何定位攻击源的ip
18. 如何排查webshell
19. 设备见过哪些
20. 讲讲ips，ids，蜜罐
21. 讲讲waf的分类

------------

1. 简单自我介绍
2. 很关注你介绍了啥，跟你简历对不对的上，还有你的一些经历等等
3. 渗透测试的一个流程
4. 企业收集资产暴露面的流程
5. SQL注入流程
6. 文件上传遇到黑名单处理方法
7. 讲讲反序列化 主要得java的（不会java，我跳过了）
8. 给你一个关于shiro漏洞的流量包 如何分析
9. 了解应急响应嘛，讲讲如果你发现主机被攻陷的话，一个响应流程

------------

1. 前面根据你简历的项目经历，聊了四五分钟，主要是问你当时的角色，你的经历，用过哪些设备，然后遇到什么事，你当时怎么做（问了五六个问题吧）
2. 看你简历说，用python写过一些poc，讲讲这些（又问了一堆）
3. 能讲讲长亭那个waf嘛
4. 遇到钓鱼邮件怎么处理
5. 了解应急响应嘛
6. 服务器有挖矿木马怎么办，如何排查清除掉木马
7. 那个查看进程的命令是什么
8. 计划任务咋看
9. 对windows了解多还是linux多点
10. linux下，你用啥别的辅助工具去排查异常嘛
11. 如果说你用自己写的一些脚本的话，你会具体根据什么特征来写脚本去排查呢
12. windows下呢（跟他说360火绒就行）
13. SQL报错注入常用函数
14. 如何防御sql注入
15. xff请求头作用
16. xss常用检测方法
17. 哪些ip不能封啊，为什么0
18. xss防御方法
19. 讲讲404和403区别
20. 讲讲8080端口用来做啥服务
21. 讲讲正反向代理的区别
22. 讲讲蚁剑，冰蝎这些webshell管理工具的特征
23. 了解中间件嘛，weblogic，shiro之类的
24. 讲讲阿帕奇解析漏洞，lls，nginx之类的
25. python用request库的流量会有一些特征 能讲讲嘛
26. 了解过内网嘛
27. 那了解提权嘛
28. 讲讲suid提权原理
29. 有过溯源经历嘛
30. 如果发现一个命令执行，讲讲溯源流程
31. 反问环节，有啥问题可以问他

------------

设备误报：外网误报，需要设备升级
内网没有降噪处理，需提前进场
如何区分扫描流量：手动处理频率差别，url分析不改ua头基本都是python
                                扫描头sqlmap等封禁ip
网站被上传webshell如何处理：和客户沟通能否关站，对网站进行查杀    防火墙隔离查杀 分析
查看webshell 删掉 拉黑ip 未跑业务的时候 关站打补丁修复
大日志如何分析，工具  对日志统计：webshell 大量请求 ls ping
安全设备：ips（防御） ids（检测）态势感知：天眼     
防火墙数据库审计系统 堡垒机 edr buff 蜜罐
系统加固：配置登陆设置
应急响应事件快速应急：
                根据具体事件流程
如何分析研判首部流量
漏洞：
java内存马：三种类型
1filter型 2 servlet型 3listener型  1和3差不多
cdn原理是资源分发，网络加速 文件缓存访问更快 遇到dos攻击帮服务器做一个负载的效果主要是资源分发
主页篡改和网页挂马：看日志是否有可疑上传新增文件
反序列化 550 主要区别在于Shiro550使用已知默认密码，只要有足够的密码，不需要Remember Cookie的
721的ase加密的key为系统随机生成，需要利用登录后的rememberMe去爆破正确的key值。
利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀，再去构造反序列化攻击。
str漏洞：提交表单错误 会进行解析
域前置和cdn效果差不多 是红队隐藏cr效果差不多
在MySQL 5.0之前，权限管理相对较弱。如参数化查询和预编译语句  如使用SHA-256哈希算法和公钥加密。
sql注入payload特征 单引号（'）’ OR ‘1’='1 UNION操作符 ’ UNION SELECT username, password FROM users –
SQL注入宽字符绕过原理是一种利用Unicode编码中的特性来绕过防御措施，从而成功执行SQL注入攻击的技术。
这种技术通常用于绕过一些过滤机制，以防止输入的特殊字符被识别为SQL注入攻击。

------------

HW面试

TCP，UDP区别：
1、基于面向连接与无连接；
2、对系统资源的要求（TCP较多，UDP少）；
3、TCP保证数据正确性，UDP可能丢包；
4、TCP保证数据顺序，UDP不保证
TCP建立连接要进行3次握手（syn-syn，ack-ack），而断开连接要进行4次（fin-ack-fin-ack）
osi七层模型：应，表，会，传，网，数，物

TOP 10（略）
    1.SQL注入
    2.失效的身份认证和会话管理
    3.跨站脚本攻击XSS
    4.直接引用不安全的对象
    5.安全配置错误
    6.敏感信息泄露
    7.缺少功能级的访问控制
    8.跨站请求伪造CSRF
    9.实验含有已知漏洞的组件
    10.未验证的重定向和转发

流量
冰蝎 2.0 强特征是 accept 里面有个 q=.2
冰蝎 3.0 Content-Type: application/octet-stream
冰蝎 4.0 ua头 referer头 accept 默认aes128 秘闻长度16整数倍
蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头
哥斯拉 pass 字段
菜刀流量存在一些特征字 eval base64
AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段
Nessus 扫描器的特征:nessus 字段

扫描工具-zgrab
user-agent字段会有rgab

openVPN通信行为
H..$.\.p+.w..8

http flood攻击流量分析
8".%0.t...X
https://blog.csdn.net/qq_36810852/article/details/107326124

palo alto networks scaninfo
响应头：ETag"603ca982-4ed"

shiro默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。

shrio550和721的区别
主要区别在于Shiro550使用已知默认密码，只要有足够的密码，不需要Remember Cookie的Shiro721的ase加密的key为系统随机生成，需要利用登录后的rememberMe去爆破正确的key值。
利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀，再去构造反序列化攻击。

fastjson（4.fastjson反序列化漏洞原理
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型，
在反序列化的时候会读取这个@type，来试图把JSON内容反序列化到对象，
并且会调用这个库的setter或者getter方法，然而，@type的类有可能被恶意构造，
只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。

weblogic原理
1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)

2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551

3.通过 javabean XML方式发送反序列化数据。(CVE2017-3506->CVE-2017-10271->CVE2019-2725->CVE-2019-2729)

**Linux 入侵排查思路**
第一步：分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->
第二步：查看/etc/passwd 分析是否存在攻击者创建的恶意用户->
第三步：查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->
第四步：分析/var/spool/mail/root Root 邮箱，当日志被删除可查询本文件->
第五步：分析中间件、Web 日志，如 access_log 文件->
第六步：调用命令 last/lastb 翻阅登录日志->
第七步：分析/var/log/cron 文件查看历史计划任务，
第八步->分析 history 日志分析操作命令记录->
最后一步：分析 redis、sql server、mysql、oracle 等日志文件

**Windows 入侵排查思路**
第一步：检查系统账号安全(查看服务器是否有弱口令，Netstat 查看网络连接对应的进程,再通
过 tasklist 进行进程定位)->
第二步：查看系统登录日志，筛查 4776、4624(登录成功)事件进行分析->
第三步：使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->
第四步：使用 compmgmt.msc 查看本地用户组有没有隐藏账户->
第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->
第六步：运行 taskschd.msc 排查有无可疑的计划任务->
第七步：输入%UserProfile%\Recent 分析最近打开过的可疑文件->
第八步：分析中间件日志，如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的access.log 日志文件。

ips
对该设备的网络流量进行分析监控，发现攻击后就会进行拦截。IPS是防火墙的重要补充，如果是防火墙是第一道防线，IPS就是第二道防线。

ids
监视记录网络中的各种攻击企图。特点就是记录，不会对攻击行为进行拦截，只能事中检测和时候追查。

蜜罐
部署一些作为诱饵的主机，诱使攻击方对蜜罐进行过攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强增强真实系统的安全防护能力。

waf
web应用防火墙，专门针对于HTTP和https请求，对客户端的请求内容进行检测，确保其合法性和安全性，还会对非法的请求进行及时的阻断。

splunk日志收集平台
fastjson（4.fastjson反序列化漏洞原理
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型，
在反序列化的时候会读取这个@type，来试图把JSON内容反序列化到对象，
并且会调用这个库的setter或者getter方法，然而，@type的类有可能被恶意构造，
只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。

http状态码
100-199		1XX 信息，服务器收到请求，需要请求者继续执行操作
200-299		2XX 成功，操作被成功接收并处理
300-399		3XX 重定向，需要进一步的操作以完成请求
400-499		4XX 客户端错误，请求包含语法错误或无法完成请求
500-599		5XX 服务器错误，服务器在处理请求的过程中发生了错误

------------

流量
冰蝎 2.0 强特征是 accept 里面有个 q=.2

冰蝎 3.0 Content-Type: application/octet-stream

冰蝎 4.0 ua头 referer头 accept 默认aes128 秘闻长度16整数倍

蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头

哥斯拉 pass 字段

菜刀流量存在一些特征字 eval base64

AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段

Nessus 扫描器的特征:nessus 字段
**java漏洞**
shiro（Apache Shiro框架提供了记住我（RememberMe）的功能，关闭浏览器再次访问时无需再登录即可访问。
shiro默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，
在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、
AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是：

获取rememberMe cookie ->base64 解码->AES解密（加密密钥硬编码）->反序列化（未作过滤处理）。
但是AES加密的密钥Key被硬编码(密钥初始就被定义好不能动态改变的)在代码里，这就意味着每个人通过源代码都能拿到AES加密的密钥。
因此，攻击者可以构造一个恶意的对象，并且对其序列化、AES加密、base64编码后，作为cookie的rememberMe字段发送。
Shiro将rememberMe进行解密并且反序列化，最终就造成了反序列化的RCE漏洞。只要rememberMe的AES加密密钥泄露，
无论shiro是什么版本都可能会导致该漏洞的产生.硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中。
如果在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段，那么就可能存在此漏洞。

**weblogic**
（Weblogic的WLS Security组件对外提供webservice服务，
其中使用了XMLDecoder来解析用户传入的XML数据，在解析的过程中出现反序列化漏洞，
导致可执行任意命令。
1.3漏洞利用

访问 /wls-wsat/CoordinatorPortType，返回如下页面，则可能存在此漏洞。）
log4j（log4j2框架下的lookup查询服务提供了{}字段解析功能，
传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。
这样如果不对lookup的出栈进行限制，就有可能让查询指向任何服务
（可能是攻击者部署好的恶意代码）。

攻击者可以利用这一点进行JNDI注入，使得受害者请求远程服务来链接本地对象，
在lookup的{}里面构造payload，调用JNDI服务（LDAP）向攻击者提前部署好的恶意站点获取恶意的.class对象，
造成了远程代码执行（可反弹shell到指定服务器）。）（流量jnd${log4j:123}i）

------------

ssrf利用redis打内网
方法二：通过【curl命令】和【gopher协议】远程攻击内网redis
gopher协议是比http协议更早出现的协议，现在已经不常用了，但是在SSRF漏洞利用中gopher可以说是万金油，因为可以使用gopher发送各种格式的请求包，这样就可以解决漏洞点不在GET参数的问题了。

gopher协议可配合linux下的curl命令伪造POST请求包发给内网主机。

此种方法能攻击成功的前提条件是：redis是以root权限运行的。

sql注入绕waf
大小写 （UnIOn SeleCT)
加密解密 (一般用于免杀、加密字符串）
编码解码 (0x23、0x61656d696e、%73elect、%27、%0a、%00)
特殊符号 (表情符号、各种形状奇奇怪怪的符号）
函数替换 （substring、mid、substr、and = && 、 or = || ‘aaa’ like ‘aaa’)
注释符号混用 (--+、/**/、#、/*!select*/、/*!12345select*/
分块传输绕过 （Transfer-Encoding: chunked )
另类字符集绕过 (ibm037)and user>0-- 字符串与整形作对比报错)
数据库特性 （and user>0-- 字符串与整形作对比报错)
换行/N绕过 （select * from admin where name = \N union select 1,2,3）
协议层绕过 （Content-Type为application/x-www-form-urlencoded 修改成 multipart/form-data）
垃圾数据溢出 （传输大量数据，超过waf识别的容量）
HTTP参数污染 (?id=1&id=2&id=3 php取最后一个）

sql注入预编译原理
众所周知，数据库会对sql进行语法分析,词法分析，语义分析，如果一条sql
采用拼接方式
例如：
select * from test where id= ’ + x + ’
x= 1’;delete from 'test
这样进入数据库就变成了
select * from test where id= ’ 1 '；
delete from 'test’
会被数据库解析成两条sql

但是预编译会让数据库跳过编译阶段，也就无法就进行词法分析，关键字不会被拆开，所有参数 直接 变成字符串 进入 数据库执行器执行。
可能数据库执行的sql是这样（推测）
select * from test where id= ’ 1 delete from test ’
(没有词法分析 所有关键字都成为了字符串的一部分)
也就失去了sql注入的能力

**mybatis漏洞原理**
作为攻击者，需要将已有key对应的value覆盖为自己的恶意序列化数据，在cache过期时间内，
如果再次执行相同的查询访问操作，恶意数据就会被作为已有key的对应value被反序列化，
从而形成MyBatis所在服务器上的RCE

mysql5.0以上和以下的区别
mysql5.0以及5.0以上的版本都存在一个系统自带的系统数据库，叫做：information_schema，
而5.0以下的版本不存。information_schema下面又包含了这几张表：schemata、tables、columns。
这三张表依次分别存放着字段：(schema_name)、(table_name、table_schema)、(table_schema、table_name、column_name)，
其次就是5.0以上都是多用户，5.0以下是单用户。

udf提权原理
关于UDF提权，也是现在比较常见的MySQL类提权方式之一。 它的提权原理也非常简单！ 即是利用了root 高权限，
创建带有调用cmd的函数的udf.dll动态链接库！ 这样一来我们就可以利用 system权限进行提权操作了！

xss漏洞区别
1.反射型 用户输入的注入代通过浏览器传入到服务器后，又被目标服务器反射回来，
在浏览器中解析并执行。 2.存储型 用户输入的注入代码，通过浏览器传入到服务器后，
被永久存放在目标服务器的数据库或文件中。 当用户再次访问这个注入代码的页面就出发了xss漏洞 3.Dom型xss 它和反射型以及存储型xss的区别在于，
dom型xss的代码并不需要服务器解析响应的直接参与，触发xss靠的是浏览器的dom解析，可以认为完全是客户端的事情。

流量
冰蝎 2.0 强特征是 accept 里面有个 q=.2
冰蝎 3.0 Content-Type: application/octet-stream
冰蝎 4.0 ua头 referer头 accept 默认aes128 秘闻长度16整数倍
蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头
哥斯拉 pass 字段
菜刀流量存在一些特征字 eval base64
AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段

Nessus 扫描器的特征:nessus 字段

------------

# sxf面试
## 评分标准
**技术能力（60分）**
		**0x01 网络基础（20分）**
		**0x02 应急响应（20分）**
		**0x03 渗透测试（20分）**
**产品能力（10分）**
**项目经验（10分）**
**沟通表达（20分）**
### 网络基础问题 
**TCP建立连接要进行3次握手（syn-syn，ack-ack），而断开连接要进行4次（fin-ack-fin-ack）**
**TCP，UDP区别：1、基于面向连接与无连接；2、对系统资源的要求（TCP较多，UDP少）；3、TCP保证数据正确性，UDP可能丢包；4、TCP保证数据顺序，UDP不保证。**
**osi七层模型：应，表，会，传，网，数，物**
### 应急响应问题
**jsp内存马形式及排查思路：**
基于servlet：基于某个指定的URL访问，后⾯跟上系统命令，如/xxxx?cmd=whoami
基于filter：只要设置filter是/*，那么访问baseURL的所有命令都可以执⾏命令，如baseURL/?
cmd=whoami
 基于listener：同样可以是所有的baseURL均可
 基于javaagent
1、如果是 jsp 注入，日志中排查可以 jsp 的访问请求。
2、如果是代码执行漏洞，排查中间件的 error.log,查看是否有可疑的报错，判断注入时
间和方法。
3、根据业务使用的组件排查可能存在的 java 代码执行漏洞，spring 的 controller 了类型
的话根据上报 webshell 的 url 查找日志，filter 或者 listener 类型，可能会有较多的 404
但是带有参数的请求
主要是通过⽇志(error.log，access.log)找到是否有执⾏相关系统命令，如果存在且访问的URL可以
任意或者指定的URL
利⽤javaagent或javaassit进⾏覆盖
**大量报警排查**：
针对于大量的报警观察时间段，是否为扫描攻击，是否有攻击成功/失陷的事件然后逐一排查
**0day攻击**：
总结实战经验发现，不管什么0day漏洞，最终都需要在内网主机执行命令，主机是防护0day漏洞攻击最后也是最关键的一道关卡。
制定以主机异常命令执行为核心，以识别网络及应用层异常行为、收敛攻击面、制定快速攻击定位及处置流程为辅助的0day漏洞防护战术
检测反弹shell等关键攻击行为，由于运维人员也会执行bash、nc等指令，为避免误报，递归分析shell日志每条命令的父进程，如果发现是web类进程调用shell则出发告警（如父进程是java、httpd 子进程是sh、python）
**webshell连接工具流量特征：**
哥斯拉：base64
弱特征：客户端是java的，ua头有java版本（取决于jdk环境版本）；
				Accept为text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2，之前冰蝎也出现过同样的Accept，JDK引入的一个特征；
强特征：Cookie中有一个非常致命的特征，最后的分号cookie=*******；
蚁剑：base64
ua头默认antsword
内容用URL加密，解密后流量最中明显的特征为ini_set("display_errors","0")
蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以“**_0x**.....=”这种形式开头
冰蝎：aes
冰蝎 2.0 强特征是 accept 里面有个 q=.2；第一阶段请求中返回包状态码为200，返回内容必定是16位的密钥
content-type为application/octet-stream；内置16个ua头；length长度5740/5720（java版本）
### 渗透测试
sql，xss原理，类型绕过，文件上传原理，绕过；反序列化漏洞，代码执行命令执行
### **产品能力（10分）**
        对于边界出口部署IPS，WAF，防火墙等安全设备（增加入侵成本及难度），特殊时期可对国外IP访问进行限制，针对于内网情况部署EDR设备及探针，及时响应内网流量及响应内网webshell落地，态势感知可对于部分内网通信加入白名单，针对于攻击情况与WAF及防火墙进行联动。
        针对于出口防火墙配置安全策略，对IP进行黑白名单限制，对于中高危漏洞次数响应封禁限制，内网探针捕获流量发送至态感进行分析，对集权设备（堡垒机等）进行重点防护保障，对靶标系统标识并进行重点监护，保障内外网全方位流量检测。
深信服 防火墙：AF 终端安全：EDR  态势感知：SIP 访问安全：深信服SSL VPN
长亭 防火墙：雷池（SafeLine） 安全评估系统：洞鉴（X-Ray） 态势感知：万象（COSMOS） 伪装欺骗系统：谛听（D-Sensor）
绿盟 IPS：NIPS IDS：NIDS 态势感知：ISOP-NDR 访问安全：绿盟VPN
启明星辰 防火墙：天清汉马 IPS：天清IPS IDS：天阗IDS 态势感知：启明星辰态势感知 访问安全：天清汉马VPN
天融信 防火墙：天融信NGFW 入侵检测和防御系统：TopSentry 态势感知：天融信态势感知系统 访问安全：天融信VPN系统
奇安信 防火墙：网神防火墙 IPS：奇安信入侵检测系统 IDS：奇安信入侵检测系统 终端安全：天擎 态势感知：天眼 访问安全：奇安信VPN
网御星云 防火墙：网御防火墙 IPS：LeadsecIPS IDS：LeadsecIDS 态势感知：Leadsec-CSA 访问安全：网御星云SSL VPN山石网科 防火墙：iNGFW 入侵检测和防御系统：IDPS
安恒 防火墙：玄武盾 入侵检测和防御系统：明御 态势感知：AiLPHA
亚信 防火墙：信舷（AISWAF） IPS：AISTPS 态势感知：信舵（MAXS）
铱迅 防火墙：YXLink WAF IPS：YXLink IPS 情报系统：YXLink NIS 态势感知：YXLink SSOC 
### **项目经验（10分）**
**渗透测试可能会问到流程**
**安服可能会问到漏扫基线安全加固**
**hw问红蓝队 摸过什么设备，做过什么应急/溯源；外网到内网穿透，信息收集流程及思路**
### **沟通表达（20分）**
重点！ 不要迷之自信，不要一本正经的胡说八道，尤其面试官纠正了之后。注意沟通细节，对面试官保持谦逊的态度（今年这个占比很大）

------------