某厂 hw面试题 监测+研判都有（监测多）

内容有点多，是去年很多小伙伴一起总结的面试题，不过我今年也面完了，感觉每年都差不多

1.甲方派了任务，项目经理也派了任务你该怎么做

直接找项目经理说明情况，让项目经理帮忙协调

2.你一个人值夜班困了怎么办

喝功能饮料，洗个脸

3.你同事在值班的时候打游戏，你怎么办

和他一起打双排

正确回答：没有必要提醒，可以汇总问题告知自己的直属领导也就是项目经理，让项目经理权衡解决办法，不要直接跟客户告状，然后顺便让项目经理提醒一下咱们这边的纪律

说实话这三个问题只有某厂问过，熟悉的师傅应该就知道哪个厂了，都是经验性的问题木有固定答案，要记住安服仔一定是听项目经理的，就算被0day穿了也要先找项目经理，而不是找客户说，我们被穿了

4.参加过什么项目，做过什么岗位

5.甲方问你不知道的漏洞怎么办？

如果客户的态度不是很坚决的话，并且自己能答上来一些，就说我去查一下之前的工作记录，稍后给您一个方案，如果完全不会，委婉的转到别的部门，缓兵之计，给自己充足的求助空间

6.log4j漏洞的特征，原理，影响，在天眼中的攻击字段

在记录日志的时候会间接的调用log4j2 的 MessagePatternConverter 组件中的 format 方法。
该方法会截取美元符和花括号之间的字符串，将该字符作为查找对象的条件。如果字符是 jndi:ldap 这样的协议格式则进行jndi方式的 ldap  调用。通过JNDI这个接口传入一个可控参数，

特征是jndi:ldap

7.fastjson漏洞特征原理影响，如何判断攻击成功

JSON.toJSONString方法有一个参数SerializerFeature.WriteClassName，可以使得fastjson支持自省，开启自省之后序列化成JSON的数据就会多出一个@type，
也就是这个参数导致了FastJson的反序列化漏洞。在对JSON数据进行反序列化的时候，会去调用指定类中的get/set/is方法。这个参数实现的功能在Fastjson中被称作AutoType，即自动类型。
=> AutoType功能开启之后，FastJson就会自动解析@type参数字段

8.struct2漏洞原理

Struts2代码执行漏洞均是OGNL表达式注入导致，但是s2-053的漏洞成因主要是：Struts2在使用Freemarker模板引擎的时候，允许解析OGNL表达式。在Freemarker标记中使用错误的表达式而不是字符串文字时，攻击者可执行远程代码。

9.上传webshell如何溯源

看设备的告警，判断怎么上传的：1、通过告警可以知道恶意文件的文件名2、可以通过过滤受害ip，查看是否有文件上传的告警，如果有代表不是0   3、假如是通过0day上传可能会没有告警，这时需要进行日志检索。4、筛选文件传输日志，填写检索规则，如目的ip、文件名，就可以找出上传url   5、这时候有两种可能  通过未授权接口进行上传：攻击路径就已经找到了；通过弱口令进入后台进行上传，进一步去筛选登录日志

10.sql注入漏洞流量特征

11.说出三个未授权漏洞

redis,hadoop,docker,ftp

12.如何判断webshell上传是否成功

1、查看响应状态码2、看响应体，有没有明显的上传成功的字段  3、直接访问此文件，假如是个空白页面，不报404错误，大概率就是上传成功

13.常见的代理隧道

http socks  icmp  ipv6 DNS https  pptp 

14.wmic常用命令

wmic service where (state=”running”) get caption, name, startmode
#获取正在运行的服务列表
wmic process get /?     属性获取操作帮助
获取网络适配器信息：
wmic nic get Name, MACAddress, NetConnectionID, Speed

获取本地用户列表：
wmic useraccount where "LocalAccount=True" get Name, SID

15.内网横向怎么判断哪个先遭受的攻击，怎么溯源

日志分析：通过分析主机、应用程序和网络设备的日志记录，可以确定内网横向攻击的路径和攻击时间网络                                                                                                   

流量分析：使用网络流量监控工具，您可以捕获网络中的流量，包括横向攻击的数据包。这些工具可以帮助您确定哪些主机之间存在通信，以及哪些通信是可疑的。

恶意代码分析：通过对恶意代码的分析，可以了解攻击者是如何入侵和横向移动的。特别是查看恶意代码的行为，如通信、文件访问和进程创建等。

溯源工具：使用一些溯源工具可以帮助您查找横向攻击的来源。例如，使用Traceroute或nslookup工具可以识别网络路径和IP地址。使用端口扫描工具可以识别开放的服务和漏洞。使用进程监视工具可以监视系统中的活动进程和线

16.fastjson如何修复，log4j如何修复

（1）更新fastjson到最新版本。Fastjson的开发者在漏洞曝光后迅速发布了修复版本。
限制fastjson的反序列化功能。可以通过配置 fastjson.serializer.SerializerFeature 来限制fastjson的反序列化功能，避免受到攻击。例如，可以设置 fastjson.serializer.SerializerFeature.DisableCircularReferenceDetect 来禁用循环引用检测。                                                                                                                                                                      （2）更新log4j到2.17.0版本以上。该版本修复了漏洞，建议尽快升级。
通过配置 log4j2.xml 来限制日志文件的输出路径。攻击者通过该漏洞构造的日志消息会被写入一个恶意的JNDI URL，攻击者会利用该URL向远程服务器发送攻击代码，可以通过配置文件来限制日志文件的输出路径，从而避免受到攻击。

17.sql注入事件上报流程

看流量确认攻击行为，判断攻击事件是否成功，比如时间注入服务器执行是否有延迟，返回包是否有数据库信息。

18.说一下你自己的挖洞经历，印象最深的

这个如果你没有的话可以去找篇挖洞文章把他变成自己的

19.namp的参数

-O操作系统识别  -sT TCP扫描 -sU UDP扫描 -p- 指定端口 -min-rate 指定线程

20.文件上传绕过方式

看我另一篇博客

21.有没有在平台发过文章

22.用过burpsuite的那些插件

一些漏洞比如反序列化的利用插件，sqlmap插件

22.设备上出现了邮件服务器的告警，失陷的原因可能是什么

（1）确实被攻击，失陷了（2）dns解析（3）发送的邮件可能会有一些恶意的代码

23.设备告警源IP为114.114.114.114，此IP需要被封禁吗

不用，DNS地址

24.XFF的含义是什么

记录访问ip

25.php的命令执行函数

 system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

26.护网期间自己微信群发送的最新漏洞exe文件如何处理

在客户沟通群里：首先先提醒客户不要点，然后不要连客户那边的网，用虚机打开，下载exe，上传到威胁感知平台分析，如果是恶意的，就通知客户防范，然后去态势感知里面查日志，看有没有攻击纪录     在自己的群：首先护网期间从来不在电脑上登微信，甚至会卸载，21年微信有个0day；不下载，或者使用手机

27.常见状态码

2XX - 成功状态码                                                                                                                

3XX - 重定向状态码                                                                                                                  

400 Bad Request：请求语法错误，服务器无法理解。
403 Forbidden：请求被拒绝访问，客户端没有访问权限。
404 Not Found：请求的资源不存在                                                                                           500 Internal Server Error：服务器内部错误，无法完成请求。
502 Bad Gateway：服务器作为网关或代理，从上游服务器接收到无效响应。
503 Service Unavailable：服务器当前无法处理请求，一般用于服务器维护或过载时

28.HTTP常用请求方法。

PUT  GTE  POST  HEAD

29.wireshark常用语法（当面试官问你某一设备语法你不会时，你可以答我不会，但是我可以把流量下载后用wireshark分析）

http请求：http.request.method == "POST"                                                                                     http.request.uri.path == "/admin.php"                                                                                        http.request.uri.query.parameter ==                                                                                                  ip.addr：按照IP地址过滤                                                                                                                     ip.src：按照源IP地址过滤  

30.dnslog外带攻击天眼上怎么判断      

可以通过查看日志，查看dns解析记录

31.Sqlmap在流量设备上的特征

    sqlmap的关键字特征：user-agent、 xss测试语句、随机数的位数
    sqlmap的攻击流程具有一定的顺序和规律
    sqlmap的一些payload测试语句具有模板特征

32.客户吐槽说设备上每天大批量告警，是不是你们设备不行，你要怎么回答

不是设备不行，而是贵司业务比较多，有些高权限的操作，比如frp通信，远程桌面，wmi命令执行都是可以触发设备告警的，我们会重点分析可疑的告警，对于内对内流量确认安全的，我们可以对事件做加白处理，这样告警就会少很多了

33.分块传输在设备上这么判断

请求报文中使用了分块传输编码时，会在请求报文头部中添加"Transfer-Encoding: chunked"字段。可以通过查看请求报文头部中的字段来判断请求是否使用了分块传输编码。

34.假设响应不是200能否判断攻击失败

不能，有一些漏洞利用成功的响应码不是200，或许是500或许是其他的响应码，需要综合考虑请求报文、响应报文以及网络流量等多个方面的特征（比如weblogic反序列化利用成功返回状态就是500）

 35.如果天眼的探针放在负载服务器后面应该如何找到攻击者的ip   

在负载均衡器中开启“X-Forwarded-For”（XFF）头的支持，并将XFF头转发到天眼探针服务器。这样，在探针服务器中可以通过解析XFF头来获取真实的攻击者IP地址。

    在负载均衡器上配置源IP透传（Source IP Transparency）功能，该功能可以将源IP地址透传给探针服务器。在天眼探针服务器中，可以通过获取TCP三次握手包中的源IP地址来获取真实的攻击者IP地址。

    在探针服务器的前面增加一层“透明代理”，该代理可以将请求报文的源IP地址转发给探针服务器。在探针服务器中可以获取请求报文中的源IP地址来获取真实的攻击者IP地址。

36.cs2的链接流量怎么分析，

可能为误报，DNS服务器解析了带有恶意域名标签的地址

可能失陷，看c2的流量特征，ua有特征，有心跳包，访问地址做checksum运算为92或93，用这些特征确定是否为真实攻击，再看返回包有没有信息，是否真被打穿。可以溯源一下攻击者的IP，看有没有威胁情报，有没有开放可疑端口比如c2的默认端口50050，不过c2的流量也可能是走cdn过来的也是有溯源难度的。

37.怎么判断sql注入是误报，说一下有哪些场景

sql注入的误报，比如用户输入忘记敲密码直接点击了登录，可能会有误报，用户在用sql语句做一些高危操作，比如用了一些sql注入的常用的函数，union select ，sleep这种，也是会有误报，不过这些都是行为正常。也有确实在攻击但也有误报，比如sql注入的延时注入，服务器返回数据包可能会有延迟，设备上回弹sql注入盲注成功的告警也是正常的。

38.请求头,请求体都有数据,但是没有响应包

防火墙策略配置，响应包的流量不出网，可能是做了防火墙做了TCP流量的限制，或者端口号的限制。

（这周会面qm的研判处置，等我更新~）