Web应急响应，网络安全大厂面试真题解析大全

1.3.冰蝎2.0：

建立连接后 所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；
静态分析：
各种语言的webshell中都会存在16位数的连接密码，默认变量为key

1.4.冰蝎3.11流量特征

1、header头顺序是颠倒的
2、发送包是base64，返回包是字节数组，所以会乱码
3、如果冰蝎密码不对，会出现两个连接，第一个是post 第二个是get

1. content-type为application/octet-stream ，请求包中content-length 为5740或5720（可能会根据Java版本而改变)，
   每一个请求头中存在Pragma: no-cache，Cache-Control: no-cache
   2.异常User-Agent---- 出现WOW64等
2. 频繁访问默认的路径/conn.jsp

1.5.蚁剑：

PHP 类 WebShell流量最中明显的特征为 @ini_set (“display_errors”,“0”);
同时会带有base64编码解码等字符特征， 每个请求体都存在@ini_set(“display_errors”, “0”);
@set_time_limit(0)开头。并且存在base64等字符，响应包的结果返回格式为 随机数 结果 随机数

1.6.哥斯拉：

不修改User-Agent，User-Agent会类似于Java/1.8.0_121（具体什么版本取决于JDK环境版本）
在请求包的Cookie中有一个非常致命的特征，最后的分号
标准的HTTP请求中最后一个Cookie的值是不应该出现;的

1.6.1.请求包的特征：

1. “pass=”起始
2. 请求包较长 响应包为0
3. 一个tcp包里面有三个http

1.6.2.响应包特征：

整个响应包的结构体征为：md5前十六位+base64+md5后十六位

1.7.哥斯拉4.0.1中JAVA_AES_BASE64特征流量特征：

host头
密码和base64字符串是密码=base64字符串的形式
发送包是密码=bae64字符串的形式，返回包是类base64字符串的格式

1. 对称加密算法：JAVA_AES_BASE64是哥斯拉4.0.1使用的对称加密算法;
   因此可以根据哥斯拉4.0.1的流量中是否包含JAVA_AES_BASE64来判断是否为哥斯拉4.0.1攻击流量
2. 长度固定：哥斯拉4.0.1使用JAVA_AES_BASE64算法对数据进行加密后，加密后数据的长度是固定的
   因此，可以根据攻击流量的长度是否固定来判断是否为哥斯拉4.0.1攻击流量
3. 常见数据前缀：哥斯拉4.0.1加密的数据在明文数据前会添加特定的前缀;
   因此，可以根据攻击流量中是否包含常见的数据前缀来判断是否为哥斯拉4.0.1攻击流量。

3. 内存马

先判断是通过什么方法注入的内存马，可以先查看web日志是否有可疑的web访问日志
如果是filter或者listener类型就会有**大量url请求路径相同参数不同的，或者页面不存在但是返回200的**，
查看是否有类似哥斯拉、冰蝎相同的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合
通过查找**返回200的url路径对比web目录下是否真实存在文件，如不存在大概率为内存马**
如在web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，
排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据-
业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。

java内存马类型：

filter listener servlet websocket javaagent

4. 检测Webshell方法

webshell是有名字的。

webshell是会在日志里留下痕迹的。

webshell是有属性的

webshell是一种脚本功能的展现

web扫描/爬虫/google hack检测

基于web日志的检测

基于文件属性的检测

基于文件内容的检测（关键字段，例如eval）

4.1. 通过文件名检索webshell

通常情况下hacker会起混淆的文件名，或者和业务名称相关的文件名字
baidu_search.php
asdasdasdasdasd.php
cxhsajhdaksfasg.php

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

识点，真正体系化！**

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）
[外链图片转存中…(img-UjJnQsf8-1712559895909)]