网安面试题总结_1

已于 2024-07-23 08:56:17 修改
阅读量760 收藏 15
点赞数 24
分类专栏: 网络安全 文章标签: 网络安全 面试
于 2024-06-06 18:10:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42041946/article/details/139490124
版权

#创作灵感#

助力网安人员顺利面试

等保测评

等保测评一般分成五个阶段,定级、备案、测评、整改、监督检查

外网

外网打点的基本流程主要分为:靶标确认、信息收集、漏洞探测、漏洞利用、权限获取,其最终目的是为了获取靶标的系统权限/关键数据。

而在整个打点流程中,信息收集较为重要。掌握靶标情报越多,后续就能够尝试更多的攻击方式进行打点。比如:钓鱼邮件、Web漏洞、边界网络设备漏洞、弱口令等等。

在外网打点过程中,常用的信息收集工具:

名称

描述

ENScan

企业信息查询工具

Oneforall

子域名收集工具

水泽

信息收集自动化工具

FOFA、Goby

网络安全资产检索\攻击面测绘工具

Masscan

端口扫描工具

ARL 资产安全灯塔 

快速侦察与目标关联的资产工具

FOFA在外网打点过程中的使用技巧:

示例 搜索语句
后台挖掘 title="后台" && body=“password” && host=“x.cn”
子域名 title!="404" && title!="302" && host="x.cn"
C段 ip="x.x.x.x/24" && body="password" [登录场景]
框架特征 body="icon-spring-boot-admin.svg" [Spring Boot Admin]
漏洞 body=“index of /” [列目录漏洞]

如何识别CDN?

a. 通过“ ping ”命令,看执行回显情况。

b. Windows系统环境下,使用“ nslookup ”进行查询,看返回的域名解析情况。

c. 超级PING工具,比如:all-tool.cn/Tools/ping。[看

最低0.47元/天 解锁文章
全攻防-kali内渗透实战
kali_Ma的博客
12-30 7409
打点 首先对web进行端口扫描,发现38080端口和22端口 访问一下38080端口发现是一个error page 用Wappalyzer看一下是什么架构,但是好像没有检测出来 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G全大厂内部的视频资料 3、100份src文档 4、常见面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线 拿着报错去百度上发现应该是springboot 索性用goby再去扫一下,应该
面试题总结1(无序)
m0_55772907的博客
05-01 2287
恒信息 -> 网络安全讲师 1做过的项目 2认为红队项目的重点 3在校成绩 4挖过的漏洞及讲述 5攻防学了多久,跟谁学的,学习路线,是否考研,加入的社团 6学校教的网络安全相关知识哪方面认为比较重要 7学习免杀后,愿意把你学的东西教授给政府或银行,是否愿意搭建攻防环境,参与攻防项目。 8路由器配置是否熟悉 9vulhub和hacker thebox靶场打了几个 10未来发展路线 11是否用过msf和cs 国誉 ->护 1给你一个登录页面,有什么想法 2sq
等保常见面试问题
qq_58774469的博客
06-04 3236
等保面试前看!包有用的!
红队攻防-外快速打点方法&技巧总结
ss810540895的博客
01-03 8650
总而言之,打点本身就是一种遍历行为,被攻击的目标就好像一个被围墙保护的城堡,红队要做的事情就是围着围墙转来转去,敲敲打打,看看围墙哪里没修好,哪里空了一块,然后趁机溜进去, 这是一个体力劳动,尤其在面对很多目标的时候,是一项繁重的体力劳动,在下文中会详细解释为什么我反复强调这是一项体力劳动。7、通过上面一番筛选,时间已经过去很久了,但是目前却毫无进展,其实心里有点郁闷,这个时候就不建议再搞了,先休息一下,调整下心态,不然后续的几天会大幅度降低工作效率,休息好了感觉又可以了,就看看下面的步骤8继续吧。
【2024HW】|3-红队 | 外快速打点方法&技巧总结
2401_84434570的博客
04-25 2300
做过红队的小伙伴,对打点一定不陌生,这是一项基本技能。所谓打点,就是拿到一台机器的shell。打点的一般目的在于利用这台机器,做一个跳板,然后进入内。通常给予充分时间的情况下,打点不是一件很难的事情,因为系统总会有漏洞,就算系统没有漏 洞,人也有漏洞,也可以进行钓鱼,甚至还可以近源,可以花钱买内鬼,一切都只是打点的时间和价格成本与打到点进内的收益的核算问题,本质就是一道数学题。但是以在公司干活的普通员工视角出发,一般项目时间很紧,同时外部资源少,基本能用的东西就是自己的技术。
网络安全等级保护十问十答
liangzixx的博客
12-19 2124
等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行全保护,对信息系统中使用的信息全产品实行按等级管理, 对信息系统中发生的信息全事件分等级响应、处置。
[有手就行]记一次艰难的外打点
include_voidmain的博客
05-24 550
声明 以下内容,来自先知社区的u21h2作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 前言 这是本系列第二篇文章,依然是某省HVV中的红队经历,这次的目标是某著名饮料企业。 上一篇写的有点水,更像是成果展示了,我这次着重写外打点的整个思路流程。PS:对于上一篇,已经稍微补充了一些,但可能还是不够丰满,主要原因是渗透过程确实简单,另一个原因是当时进入内过程比较敏感,不太方便多说(还想毕业)。 这次的整个流程大概
小厂面试题整理回顾含答案(1
m0_52556798的博客
03-29 4906
这是我第一次投暑假实习简历的面试题,小厂目前一面已过,还是有比较高的参考性。哦对了,文章最后面还有几个问题我没有解决,所以分享出来,求助大家帮我回答下呢 之后我会通过别人的面经来学习,通过别人被问的问题来学习并总结答案和大家分享 “ ` ”符号在sql中的作用是什么? select id,name from user;给查询的字段和表名加上这个符号,能提高sql查询效率。还有就是如果你的表里字段含有关键字的,用这个符号包起来就不会报错啦。 “ ` ”符号在php中的作用是什么? PHP中没什么印象,但在ba
2023面试题164道(附答案)
2301_77152761的博客
06-26 1626
为了更好地帮助大家高薪就业,今天就给大家分享网络安全工程师面试题,一共有,希望它们能够帮助大家在面试中,少走一些弯路、更快拿到offer!1、什么是SQL注入攻击2、什么是XSS攻击3、什么是CSRF攻击4、什么是文件上传漏洞5、DDos 攻击6、重要协议分布图7、arp协议的工作原理8、什么是RARP?工作原理9、dns是什么?dns的工作原理10、rip协议是什么?rip的工作原理11、RIP的缺点12、OSPF协议?OSPF的工作原理13、TCP与UDP区别总结?
2023渗透测试面试题汇总_mysql from 1 for 1
2401_89213215的博客
12-16 523
由于TCP需要三次握手连接,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中,可以伪造数据包来源 IP ,但这会让发送出去的数据包有去无回,无法实现正常的通信 但是一些DDoS攻击可以。(1)白银票据:抓取到了域控服务hash的情况下,在客户端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。可以说,它最准确,确定是,只会得到直接连服务器客户端IP。
天行公司_嵌入式-常用知识&面试题库_大厂面试真题.doc
08-07
天行公司嵌入式面试题库笔记 一、络协议和端口号总结 在信息全和络通信中,了解各个服务的默认端口号非常重要。以下是一些常见的服务和它们的默认端口号: * FTP:21 * SSH (Secure Shell):22 * ...
各大全厂商网络安全面试题汇总(7份).zip
11-18
各大全厂商网络安全面试题汇总,共7份。适合找工作的全同志。...京东护面试题总结+DD全工程师笔试问题 渗透测试初级面试题 渗透测试面试题 天融信 网络安全面试题及答案 网络安全、Web全、渗透测试笔试总结
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8704
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 络时代生活越来越离不开络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
面试中的线程题
yingzi的技术博客
05-18 1183
工作机制:初始化一个计数器,此计数器的值表示需要等待的事件数量。示例:在两个工作线程结束后再调用主线程工作机制:允许一组线程相互等待到达一个共同屏障点示例:当四个线程都达到屏障后,打印一句话,然后每个线程继续执行它们的任务上述完成了两线程交叉打印"A"、“B”,具体说明下模版中是两线程交叉打印 A、B,只需要做简单替换就能实现三线程交叉打印 A、B、C新增线程 C 如下比如要求打印到两线程交叉打印到 10state 控制线程进行轮次,此时可以换为 while 条件,用来控制跳出循环。
软件测试—接口测试面试题及jmeter面试题
2301_80119579的博客
05-16 1123
接口测试就是对系统或组件之间的接口进行测试,主要是。
C++面试4-sizeof解析
caowei880123的专栏
05-19 1031
掌握`sizeof`的每个细节,相当于获得了窥探C++对象内存模型的X光机——既能诊断内存问题,又能优化性能瓶颈。在面试中,这不仅是技术能力的试金石,更是对候选人系统理解能力的终极考验。
【超详细】面试中问到事件循环(Event Loop)机制?
2401_83475219的博客
05-18 984
事件循环机制是浏览器V8引擎处理JavaScript代码的核心策略,通过宏任务和微任务的调度实现异步操作。宏任务包括定时器、络请求等,而微任务如Promise.then则在当前宏任务结束后立即执行。
Redis面试题全面解析:从基础到底层实现
最新发布
jnimiijabc的博客
05-21 893
Redis面试问题通常围绕其数据结构、持久化、高可用、分布式和底层实现展开。掌握这些知识点不仅有助于面试,也能帮助我们在实际工作中更好地使用Redis。建议在理解原理的基础上,结合实际使用经验,这样才能在面试中游刃有余。
Redis篇-使用场景与面试技巧【分布式锁及其他场景与问题】
qq_65250839的博客
05-19 1017
Redis分布式锁的实现主要依赖于setnx命令,确保在集群环境下任务的幂等性,如抢单、抢券等场景。Redisson提供了分布式锁的实现,支持可重入锁,并通过WatchDog机制自动续期锁的有效时长,避免锁过期。Redis集群方案包括主从复制、哨兵模式和分片集群,分别解决高可用、高并发读和海量数据存储问题。分片集群通过哈希槽分配数据,确保数据存储和读取的高效性。Redis的高性能得益于其单线程模型、纯内存操作和I/O多路复用技术,有效避免了线程切换和资源竞争问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值