1.應急響應查找內容

分析服務器上的安全問題，你關注哪些數(shù)據(jù)？ 進程，日志，告警信息，威脅情報，文檔編輯時間，啟動項，路由管理，防火墻，最后登錄時間，CPU帶寬，內存，代碼安全，用戶賬戶，隱藏文件等。

2.你有沒有畢業(yè)？

已經(jīng)畢業(yè)，正在工作（實習）

3.護網(wǎng)預計在五月份，時間問題？

沒有問題

4.簡歷有護網(wǎng)經(jīng)歷，你能談談護網(wǎng)的情況嗎

根據(jù)簡歷，以及掌握的知識，大膽的說，角色為防守方，工作位監(jiān)控組，主要使用ips，ids等設備做流量監(jiān)控與日志分析工作

5.你能大概說一下，比如數(shù)據(jù)包或者日志，你的分析思路是什么，以及你會用到哪些工具或者那些網(wǎng)站進行查詢？

用流量監(jiān)測的安全設備，比如天眼，查看報文，分析報文里和host和網(wǎng)站目錄路徑，查看是否可疑，使用微步查詢host是否為惡意，使用wireshark對數(shù)據(jù)包深度分析

看一下請求的網(wǎng)站路徑，源IP與目的ip地址，host字段的值以及發(fā)包內容等

工具有wearshark，網(wǎng)站的話微步在線等

6.文件上傳和命令執(zhí)行，有看過相關日志嗎

文件：可能在系統(tǒng)有上傳功能或者有文本編輯器，看一下保重是否有base64加密或者url加密，解碼驗證一下是否有惡意代碼

系統(tǒng)日志：有沒有web容器做了一些危險行為，比如bash反彈shell等

網(wǎng)絡應用日志：有沒有異常的網(wǎng)站文件，類似webshell等，就有可能是命令執(zhí)行

7.文件上傳攻擊特征？

能夠上傳文件的接口，應用程序對用戶上傳文件類型不校驗或者校驗不嚴格可繞過，導致任意類型文件上傳，攻擊者可上傳webshell。

8.用過Nmap掃描工具嗎

用過，具體見信安面試，nmap掃描基礎命令

9.常見命令注入漏洞？php? Strust2 ?

見常見攻擊告警分析以及strust2漏洞

10.你在分析數(shù)據(jù)包的時候，這個地址是一個互聯(lián)網(wǎng)的地址，你會做一些什么樣的排查或者說對IP地址進行什么樣的處理呢？

把這個域名或者ip放到微步上檢測一下，看一下是不是惡意鏈接

11.你有用過微步嗎？

去了解一下微步在線

12.你做過滲透測試的工作嗎？

有做過，具體看面試50題之2，滲透一個網(wǎng)站需要步驟

13.你能說明文件上傳的原理嗎？

常見的攻擊告警，文件上傳部分

14.文件上傳加固方法？

同上

15.暴力破解加固方法？

1.添加強度較高的驗證碼，不易被破解。

2.修改密碼設置規(guī)則，提高用戶的密碼強度。

3.同一賬號登陸次數(shù)鎖定，生成鎖定日志。

4.定期排查弱口令。

16.Sql注入加固措施？

常見的攻擊告警，sql注入部分

17.你對應急和溯源有過一些了解嗎？

詳見：溯源的思路 文檔

18.一臺主機在內網(wǎng)進行橫向攻擊，你應該怎么做？

確定攻擊來源，是不是員工內部誤操作，比如詢問運維是否有自動化輪訓腳本

如果沒有，確定是攻擊，結合時間點，根據(jù)設備信息，看一下安全事件，進程，流量

找到問題主機，開始應急響應流程：準備，檢測，遏制，根除，恢復，跟蹤，具體的操 作要交給現(xiàn)場運維去處理。

19.你能說說護網(wǎng)的流程嗎？

護網(wǎng)流程參考一下鏈接

https://zhuanlan.zhihu.com/p/536702187

20.你還用過其他態(tài)勢感知的產(chǎn)品嗎？

Ips，ids，hids，堡壘機等

21.平時windows, linux用的多嗎，Linux應用端口，比如常用數(shù)據(jù)庫接口？

25:SMTP簡單郵件傳輸服務器端口

23:telnet的端口，telnet是一種可以遠程登錄并管理遠程機器的服務

22:ssh端口，PcAnywhere建立TCP和這一端口的連接可能是為了尋找ssh，這一服務有許多弱點

53：dns端口

3306:MySQL的默認端口

1433:SQLServer的默認端口

3389：遠程桌面登錄

7001:Freak88,Weblogic默認端口，Weblogic是一個application server,確切的說是一個基于JAVAEE架構的中間件

445:是一個毀譽參半的端口他和139端口一起是IPC$入侵的主要通道

139：屬于TCP協(xié)議，是為NetBIOS Session Service提供的，主要提供Windows文件和打印機共享以及Unix中的Samba服務

22.命令行工具用的什么比較多？

xshell，SecureCRT,Finalshell

23.應急響應流程

準備，檢測，遏制，根除，恢復，跟蹤，報告一般是從第二步到第五步的過程，截圖等

準備：信息收集，工具準備

檢測：了解資產(chǎn)情況，明確影響，嘗試進行攻擊路徑溯源

遏制：關閉端口，服務，停止進程，拔網(wǎng)線

根除：通過殺毒軟件，清除惡意文件，進程

恢復：備份，恢復系統(tǒng)正常

跟蹤：復盤全貌，總結匯報

24.什么是跨域，JSONP與CORS

什么是跨域？

跨域：指的是瀏覽器不能執(zhí)行其它網(wǎng)站的腳本，它是由瀏覽器的同源策略造成的，是瀏覽器的安全限制！

同源策略

同源策略：域名、協(xié)議、端口均相同。

瀏覽器執(zhí)行JavaScript腳本時，會檢查這個腳本屬于那個頁面，如果不是同源頁面，就不會被執(zhí)行。

JSONP跨域

只支持GET請求，不支持POST等其它請求，也不支持復雜請求，只支持簡單請求。

CORS跨域

支持所有的請求，包含GET、POST、OPTOIN、PUT、DELETE等。既支持復雜請求，也支持簡單請求。

JSONP與CORS的使用目的相同，并且都需要服務端和客戶端同時支持，但CORS的功能更加強大。

JSONP和CORS的優(yōu)缺點

1. JSONP的主要優(yōu)勢在于對瀏覽器的支持較好；雖然目前主流瀏覽器都支持CORS，但IE9及以下不支持CORS。

2. JSONP只能用于獲取資源（即只讀，類似于GET請求）；CORS支持所有類型的HTTP請求，功能完善。

3. JSONP只會發(fā)一次請求；而對于復雜請求，CORS會發(fā)兩次請求。

應用場景

如果需要兼容IE低版本瀏覽器，無疑，JSONP。

如果需要對服務端資源進行操作，無疑，CORS。

其他情況的話，根據(jù)自己的對需求的分析來決定和使用。

25.如何檢測webshell

靜態(tài)檢測

靜態(tài)檢測通過匹配特征碼，特征值，危險函數(shù)函數(shù)來查找webshell的方法，只能查找已知的webshell，

動態(tài)檢測

webshell傳到服務器了，黑客總要去執(zhí)行它吧，webshell執(zhí)行時刻表現(xiàn)出來的特征，我們稱為動態(tài)特征。

日志檢測

使用Webshell一般不會在系統(tǒng)日志中留下記錄，但是會在網(wǎng)站的web日志中留下Webshell頁面的訪問數(shù)據(jù)和數(shù)據(jù)提交記錄。

語法檢測

語法語義分析形式，是根據(jù)php語言掃描編譯的實現(xiàn)方式，進行剝離代碼、注釋，分析變量、函數(shù)、字符串、語言結構的分析方式，來實現(xiàn)關鍵危險函數(shù)的捕捉方式。這樣可以完美解決漏報的情況。但誤報上，仍存在問題。

26.三次握手與四次揮手

三次握手（three-way handshaking）

1.背景：TCP位于傳輸層，作用是提供可靠的字節(jié)流服務，為了準確無誤地將數(shù)據(jù)送達目的地，TCP協(xié)議采納三次握手策略。

2.原理：

1）發(fā)送端首先發(fā)送一個帶有SYN（synchronize）標志地數(shù)據(jù)包給接收方。

2）接收方接收后，回傳一個帶有SYN/ACK標志的數(shù)據(jù)包傳遞確認信息，表示我收到了。

3）最后，發(fā)送方再回傳一個帶有ACK標志的數(shù)據(jù)包，代表我知道了，表示’握手‘結束。

四次揮手（Four-Way-Wavehand）

1）第一次揮手：Client發(fā)送一個FIN，用來關閉Client到Server的數(shù)據(jù)傳送，Client進入FIN_WAIT_1狀態(tài)。

2）第二次揮手：Server收到FIN后，發(fā)送一個ACK給Client，確認序號為收到序號+1（與SYN相同，一個FIN占用一個序號），Server進入CLOSE_WAIT狀態(tài)。

3）第三次揮手：Server發(fā)送一個FIN，用來關閉Server到Client的數(shù)據(jù)傳送，Server進入LAST_ACK狀態(tài)。

4）第四次揮手：Client收到FIN后，Client進入TIME_WAIT狀態(tài)，接著發(fā)送一個ACK給Server，確認序號為收到序號+1，Server進入CLOSED狀態(tài)，完成四次揮手

27.http狀態(tài)與無連接

一.無連接

1.每一個訪問都是無連接，服務器挨個處理訪問隊列里的訪問，處理完一個就關閉連接，這事兒就完了，然后處理下一個新的

2.無連接的含義是限制每次連接只處理一個請求。服務器處理完客戶的請求，并收到客戶的應答后，即斷開連接

二.無狀態(tài)

 1.協(xié)議對于事務處理沒有記憶能力

 2.對同一個url請求沒有上下文關系

 3.每次的請求都是獨立的，它的執(zhí)行情況和結果與前面的請求和之后的請求是無直接關系的，它不會受前面的請求應答情況直接影響，也不會直接影響后面的請求應答情況

 4.服務器中沒有保存客戶端的狀態(tài)，客戶端必須每次帶上自己的狀態(tài)去請求服務器

28.什么是路由表

在計算機網(wǎng)絡中，路由表（routing table）或稱路由擇域信息庫（RIB, Routing Information Base），是一個存儲在路由器或者聯(lián)網(wǎng)計算機中的電子表格（文件）或類數(shù)據(jù)庫。路由表存儲著指向特定網(wǎng)絡地址的路徑（在有些情況下，還記錄有路徑的路由度量值）。路由表中含有網(wǎng)絡周邊的拓撲信息。路由表建立的主要目標是為了實現(xiàn)路由協(xié)議和靜態(tài)路由選擇。

每個路由器中都有一個路由表和FIB(Forward Information Base)表：路由表用來決策路由，F(xiàn)IB用來轉發(fā)分組。路由表中有三類路由：

（1）鏈路層協(xié)議發(fā)現(xiàn)的路由（即是直連路由）

（2）靜態(tài)路由

（3）動態(tài)路由協(xié)議發(fā)現(xiàn)的路由。

29.非sql數(shù)據(jù)庫

Zookeeper，HBase、Redis、MongoDB、Couchbase、LevelDB

30.Linux 系統(tǒng)安全加固需要注意的內容

1、關閉不必要的系統(tǒng)服務

2、更改SSH默認端口

3、禁止root用戶遠程ssh登錄

4、限制用戶使用SU命令切換root

5、密碼復雜度策略

6、檢查密碼重復使用次數(shù)限制

7、檢查是否存在空口令賬號

8、禁止同時按下ctrl+alt+del 重啟

9、禁用telnet服務

31.冰蝎，蟻劍，菜刀的流量特征

冰蝎動態(tài)二進制加密WebShell特征分析

https://www.wangan.com/p/7fy7f66970bb76af
常見WebShell客戶端的流量特征及檢測思路

https://www.cnblogs.com/NoCirc1e/p/16275608.html
32.常見OA系統(tǒng)

通達，泛微，萬戶，用友，致遠，藍凌，帆軟，，金蝶，紅帆，極限，金和，志翔等

33.橫向越權漏洞的修復

橫向越權：橫向越權指的是攻擊者嘗試訪問與他擁有相同權限的用戶的資源
縱向越權：縱向越權指的是一個低級別攻擊者嘗試訪問高級別用戶的資源

對于縱向越權，我們可以通過設置用戶角色，為不同的角色提供不同的權限來避免。

為了防止橫向越權，我們可以使用緩存來進行輔助，當?shù)卿洺晒蛘哌M行操作時，我們在緩存中存儲一對由用戶名和一個唯一的數(shù)字組成的數(shù)據(jù)（token），然后返回放入的唯一數(shù)據(jù)。在重置密碼時我們的參數(shù)不僅需要用戶名和密碼還需要前面生成的唯一數(shù)字，根據(jù)用戶名在緩存中取出對應的數(shù)字，如果取出的數(shù)字和參數(shù)中傳入的想等，則證明重置的當前用戶的密碼，否則不是，且不予以重置。

34.挖礦病毒

https://www.ahstu.edu.cn/wlzx/info/1137/1992.htm
https://www.ahstu.edu.cn/wlzx/info/1137/1948.htm
https://www.ahstu.edu.cn/wlzx/info/1137/2416.htm
https://web.scut.edu.cn/2022/0413/c32211a467486/page.htm
https://web.scut.edu.cn/2022/0413/c32211a467487/page.htm文章來源地址http://www.zghlxwxcb.cn/news/detail-433479.html

到了這里，關于2023年網(wǎng)絡安全HW面試經(jīng)典收藏的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！