记一次蓝初HVV面试

最新推荐文章于 2024-07-15 21:11:11 发布
最新推荐文章于 2024-07-15 21:11:11 发布
阅读量1.6k 收藏 40
点赞数 30
文章标签: 面试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74271951/article/details/137866019
版权

ps(视频面 ,面得那叫一个一言难尽,这些是后续又进行了总结。 本人小白,不对请批评指正!)

1.天眼等安全设备使用的一些问题,一些基本语法  日志查看

日志检索语法:由“字段名称”  “项”  “运算符” 三大元素组成

eg:sip:"10.16.16.13" AND dip:"10.16.17.52"

范围查询:[ ] 和运算符 to构成

eg: ip范围:["192.168.200.0" to "192.168.200.5"]

2.天眼如何判断是误报还是真实攻击?

先查看告警,分析攻击ip是内网ip还是外网ip

1.若是内网ip,查看告警流量包中有无明显恶意请求,比如请求包中有whoami和ipconfig等,内网服务器极有可能失陷,ip立即上报研判组人员。

 还有内网本身系统可能存在业务逻辑问题 上交研判人员跟客户确认,还要判断攻击ip在此告警的时间段附近有没有操作过   攻击来源ip地址是否已知为恶意ip地址,查询黑白名单验证。

2.  外网ip 将请求包和响应包进行对比,分析requests中有无payload,分析payload的具体类型,查看response是否做出了对应的响应。             

3.shell地址如何排查攻击入口

1.审查shell日志:检查系统日志文件,(/var/log/auth.log/var/log/secure、var/log/message)查找异常登录或登录失败信息

2.检查ssh配置:检查ssh配置文件,(/var/log/auth.log/var/log/secure)确认是否有不安全的配置。

3.审计用户活动,用last和w命令查看最近用户登录和谁在线

4.检查可疑进程 ps -aux

5.检查恶意文件(find命令)

6.使用安全扫描工具查看系统是否被感染(chkrootkit)

7.使用netstat 查看开放的端口,ss查看网络连接

8.入侵检测系统:使用 fail2ban 等服务来监视登录尝试,并在达到阈值时屏蔽IP地址。

4.反弹shell的流量特征

5.java反序列化

字符串转化为java对象

ObjectOutputStream类的writeObject()可以实现序列化

ObjectInputStream类的readObject()可以实现反序列化

java反序列化漏洞产生原因大多是产生反序列化时没有被校验,或者校验采用黑名单方式又被绕过,最终使包含恶意代码的序列化对象在服务器端 被反序列化执行。

如何发现java反序列化漏洞?

1.流量中有序列化关键字,ac ,ed 0c,05   rO0AB(为前者经过base64编码得到)

2.Java RMI的传输100%基于反序列化,Java RMI的默认端口是1099

3.查看源码,被序列化的类一定实现了Serializable接口

4.观察反序列化时的readObject()方法是否重写

6.勒索病毒  (触发条件 )

勒索病毒特征是磁盘文件被加密,一旦完成勒索,则文件无法恢复, (重装系统)这类病毒主要以预防为主,打补丁。装杀软,做备份,防钓鱼。  

触发条件:  

邮件附件 网页挂马 服务器入侵 移动截止传播(u盘,硬盘)远程桌面协议(RDP) 网络共享   系统或软件漏洞(勒索病毒可能利用系统或软件的安全漏洞进行传播和执行,如利用永恒之蓝(EternalBlue)漏洞进行传播的WannaCry勒索病毒)

7.挖矿病毒

最大特征:CPU占用率过高

分析:

1.登录网站服务器,查看进程是否异常,

2.看异常进程,选择可疑的服务项,停止服务,

3.查看计划任务是否可疑

中挖矿如何处理?

1.首先查看cpu占用情况,windows下点任务管理器 linux下ps -aux 查看进程分析,

2.top分析算力,含有矿池服务器的流量就是挖矿病毒。

3.记住进程名,然后去搜集一些相关信息

4.kill进程,删掉程序

最后对服务器进行完整化扫描,防止木马再次被写入。

8.sql注入的一系列东西

原理 分类

天眼中sql注入告警分析:

1.查看请求包合响应包,比如请求包中有sql语句,请求包中有执行成功的回显(有数据库版本)那么sql注入执行成功。

9.堆叠注入 和宽字节注入

堆叠注入

堆叠顾名思义就是多条sql语句一起执行  

在sql中(;)标志着一个语句的结束,攻击者利用在结束一个sql语句后继续构造下一个语句。

局限性:可能受到API或数据库引擎的限制,或者由于权限不足而无法执行某些操作。

宽字节注入

代码层与数据库层的编码不一致,并且宽字节本身有“吞”ASCII字符的现象。

在 SQL 注入时,尝试使用单引号 ' 逃逸时,发现被代码层自动加上了转义符号 \,变成了 \',\编码是%5c, 在后面加上%df变成%df%5c,变成了一个有多个字节的字符,因为使用GBK编码,使这个为一个两字节,绕过了单引号闭合,逃逸了转义。

10.xss 

原理 分类  (存储型,反射性,DOM型的区别)

Cai菜努力学技术
关注
  • 30
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
HVV行动各大厂商面试总结
07-09
包括天融信、漏洞盒子、长亭、安恒、青藤、奇安信、360、极盾科技、国誉网安 阿里以及其他未知厂商的面试总结:1、HW经历(取得的成果)、主要负责什么 2、溯源和应急 3、擅长web还是内网 1、印象最深的渗透经历,技术关键点 2、是否在漏洞平台有提交过漏洞,以及排名情况 3、平时挖洞的情况,平台提交漏洞和渗透测试方面 1、 谈谈HW经历 2、 谈谈挖洞和渗透印象较深的两次,过程、方法,获取了什么权限 3、 谈谈内网流量如何出来 4、 使用过哪些溯源平台 1、 谈谈作为蓝队护网过程使用过厂商的设备, 2、 如何查看系统内存shel 3、 Linux的登录日志查看文件 4、 获得文件读取漏洞,通常会读哪些文件,Linux和windows都谈谈 配置文件 1、基础漏洞 2、溯源和应急响应 1、HW经历(取得的成果)、主要负责什么 2、溯源和应急 3、擅长web还是内网 1、印象最深的渗透经历,技术关键点 2、是否在漏洞平台有提交过漏洞,以及排名情况 3、平时挖洞的情况,平台提交漏洞和渗透测试方面 1、 谈谈HW经历 2、 谈谈挖洞和渗透印象较深的两次 ......
HVV面试的总结(超级详细)
06-03
HVV面试宝典
2024 HW蓝初面试
weixin_55762309的博客
05-22 951
HVV面试题基础
hw蓝队初级的一次面试(基础)
always_green的博客
04-04 3448
攻击者构造的攻击链接传给服务端执行造成的漏洞。有的大型网站在web应用上提供了从其他服务器获取数据的功能(比如获取别的网站的tittle等信息的)。使用户指定的URL web应用获取图片,下载文件,读取文件内容(这些东西都是外网访问不到的内网资源)。攻击者利用有缺陷的web应用作为代理攻击远程和内网的服务器(跳板)。XSS(Cross-Site Scripting)跨站脚本。CSRF:跨站请求攻击(XSRF)他还问了一个端口忘了是啥了透。SSRF:服务端请求伪造。
Hvv面试题(2023)_2023hvv面试总结+解答分享
m0_61418075的博客
04-07 944
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
设备面试题+蓝队知识题+流量
LCW991207的博客
04-02 1758
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。服务端提供了能够从其他服务器应用获取数据的功能,我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务,但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制,攻击者可通过篡改这个请求的目标地址来进行伪造请求,进行未授权访问。OA啊,等等,做的真实一点点。
使用态势感知设备如何区分告警是否为误报
weixin_44214275的博客
08-05 2356
1、挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量2、一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多IP的进行攻击用流量监测的安全设备,比如天眼,查看报文,分析报文里和 host 和网站目录路径,查看是否可疑,使用微步查询 host 是否为恶意,使用 wireshark 对数据包深度分析看一下请求的网站路径,源 IP 与目的 ip 地址,host 字段的值以及发包内容等。工具有 wearshark,网站的话微步在线。
天眼全流量系统的详细说明
m0_73803866的博客
09-27 1万+
奇安信天眼新一代威胁感知系统(以下简称“天眼”) 汇集流量传感器、文件威胁鉴定 器、邮件告警、奇安信天堤防火墙、网神云锁等多种告警数据,基于奇安信自有的多维度 海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推 送定制的专属威胁情报;同时结合部署在客户本地的软、硬件设备,奇安信天眼能够对未 知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终 达到对入侵途径及攻击者背景的研判与溯源;
常见网络安全事件研判方法及思路
热门推荐
m0_64197404的博客
11-25 1万+
常见网络安全事件研判方法及思路 分析安全事件通用方法 导出最近七天的日志(日志条件:源地址,目的地址,事件名称,时间,规则ID,发生 次数等) 将导出日志生成数据透视表(透视表制作办法见百度); 根据动作、地址、事件名称、时间等信息进行研判 说明:一般情况下,真实攻击不可能只持续一次,也不可能是断断续续,它一定是长时间、周期性、多IP的进行攻击。 通过威胁情报库https://x.threatbook.cn/对原IP地址分析,判断是否存在恶意攻击行为。 通过事件请求包和回应包分析是否为真实...
什么是误报?如何识别误报和漏报
Trinity_Techologies的博客
05-17 6506
​不管开发人员技能多么精通,误报和漏报总是会发生,很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞,开发人员通常使用代码静态分析工具,工具会根据开发人员设置的规则检查代码。 然而,代码静态分析工具并不完美,工具有时也会出现误报和漏报。这些编码错误如果没有被捕获,可能会对代码产生显著的影响。 因此,我们将阐释什么是误报,概述误报和漏报的区别,并提供一个误报示例和和一个漏报示例。
hvv面试+通用面试
10-08
hvv面试+通用面试
hvv面试.md
04-10
hvv面试.md
2022最新Hvv面试精华版,应急,研判,面试题库
06-09
蓝队初中、中级面试题库,各厂商经常提问问题总结。
小白蓝初面试题结
weixin_64683116的博客
06-04 396
护网蓝初面试
Kubernetes面试整理-Helm是什么?
不务正业的猿
07-15 581
通过 Helm,您可以轻松地打包、配置、部署和管理 Kubernetes 应用程序,从而简化了应用程序的生命周期管理。Helm 是 Kubernetes 的包管理工具,它使得在 Kubernetes 上部署和管理复杂的应用变得更加简单和高效。Chart 是 Helm 中的打包格式,包含一个应用程序的 Kubernetes 资源定义集合。通过 Helm,可以使用简单的命令来安装复杂的应用程序,而无需手动编写大量的 Kubernetes 配置文件。可以从 Helm 的官方文档获取最新的安装方法。
力扣第233题“数字1的个数”
最新发布
10年数据\经营分析经验,现任大厂数据分析负责人
07-15 661
本文详细解读了力扣第233题“数字1的个数”,通过使用逐位分析的方法高效地解决了这一问题,并提供了详细的解释和模拟面试问答。希望读者通过本文的学习,能够在力扣刷题的过程中更加得心应手。
软件测试——面试八股文(入门篇)
yjt2045263063的博客
07-15 1048
α测试:在受控的环境中进行,由用户在开发者的场所进行,并且在开发者对用户的指导下进行测试,开发者负责录发现的错误和使用中遇到的问题β测试:在开发者不能控制的环境中的真实应用,由软件的最终用户们在一个或多个客户场所下进行,由用户录在测试中遇到的一系列问题,并定期报给开发者。结语鉴于篇幅所限,选出经典17个软件测试面试题(入门篇)需要完整面经的朋友可以关注并私信我关键词“资料”免费领取。
安卓热门面试题一
hai40587的博客
07-11 1074
Android 开发中一个非常强大的组件,用于显示大量数据集合的列表。为了优化自带了 ViewHolder 模式,这是优化列表显示的关键。通过重用视图(即 ViewHolder),避免了在滚动时不断创建和销毁视图的过程,从而提高了性能。确保你的 Adapter 正确地实现了 ViewHolder 模式。如果你的列表项需要从网络或数据库异步加载数据,请确保这些数据加载操作不会阻塞 UI 线程。可以使用 AsyncTask、Loader、Kotlin 协程或 LiveData 等方式来实现异步数据加载。
hvv面试题 struts2
04-07
Struts2 是一个基于 Java 的开源 Web 应用框架,它是 Struts 框架的升级版。它提供了一种简单、灵活且可扩展的方式来开发企业级的 Java Web 应用程序。在 HVV 面试中,可能会涉及到 Struts2 相关的问题。以下是一些常见的 Struts2 面试题及其答案: 1. 什么是 Struts2? Struts2 是一个基于 MVC(Model-View-Controller)设计模式的 Web 应用框架,它通过将应用程序的不同部分分离开来,使开发更加模块化和可维护。 2. Struts2 的主要特点有哪些? - 基于 MVC 设计模式,使代码更加清晰和可维护。 - 提供了丰富的标签库和表单验证机制,简化了前端开发。 - 支持国际化和本地化,方便开发多语言应用。 - 提供了拦截器机制,可以对请求进行预处理和后处理。 - 支持 RESTful 风格的 URL 映射。 3. Struts2 的工作原理是什么? 当用户发送请求时,Struts2 的前端控制器(DispatcherServlet)接收到请求并将其分发给相应的 Action 类。Action 类处理请求并生成响应结果,然后将结果返回给前端控制器。前端控制器再将结果发送给视图层进行展示。 4. Struts2 中的拦截器是什么?有什么作用? 拦截器是 Struts2 中的一个重要组件,它可以在请求被处理前后进行预处理和后处理。拦截器可以用于实现身份验证、日志录、性能监控等功能,提高应用程序的安全性和可维护性。 5. Struts2 中的常用标签有哪些? Struts2 提供了丰富的标签库,用于简化前端开发。常用的标签有: - `<s:form>`:用于生成表单。 - `<s:textfield>`:用于生成文本输入框。 - `<s:select>`:用于生成下拉列表。 - `<s:checkbox>`:用于生成复选框。 - `<s:submit>`:用于生成提交按钮。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cai菜努力学技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值