2024hvv（国护）面试宝典

        （本文主要针对没有参加过hw的同学，作者的水平也不是太高，觉得本文没有用的师傅可以退出了。）

        1.问：介绍一下你自己

答：按照自己编写的简历进行介绍即可。

如果有项目经验一定要说，简历上也一定要写一些项目经历，实在没有项目经历的可以自己上网找一些漏洞的复现案例，熟悉了之后也可以作为自己的经历来写。自己主动说出的经历大概率是面试官接下来问题的中心。

        2.问：之前有没有参加过hw

答：实话实说。

        3.问：top 10漏洞有哪些

答：注入、XSS（跨站脚本）、文件上传、文件包含、代码执行、命令执行、XXE（XML外部实体）、反序列化、SSRF（服务端请求伪造）、解析

        4.问：这些类型的漏洞里你最熟悉哪些

答：实话实说。

        5.问：sql注入攻击的类型

答：sql注入攻击的类型主要可分为联合注入、堆叠注入、宽字节注入、cookie注入、XFF头注入、UA注入（user-agent注入）、Referer注入、二次注入、base64注入、万能密码

盲注类型：基于时间的盲注、基于布尔的注入、基于报错的注入

        6.问：常见的中间件有哪些

答：iis、tomcat、apache、nginx、weblogic、jboss、jetty

        7.问：weblogic默认使用的端口号是多少

答：7001

        8.问：接触过反序列化漏洞吗

答：实话实说

        9.问：说一下常见的反序列化漏洞

答：在php中通过serialize()与unserialize()来实现序列化与反序列化，反序列化漏洞点常出现在php的一些魔术方法中如：construct()、destruct()、toStrings()、sleep()、wakeup()。

        在java中通过ObjectOutputStream类中的writeObject()来实现序列化，通ObjectInputStream类中的outObject()来实现反序列化。

        10.问：命令/代码执行攻击的原理是什么

答：后台将用户的恶意输入作为代码/命令来执行。

        11.问：常见的服务端口有哪些

答：ssh协议使用22端口、dns域名解析服务使用53端口、http协议使用的端口号为80、https协议使用443端口、MYSQL数据库使用3306端口、nginx服务器使用8888端口、Oracle数据库使用1521端口、mongoDB数据库使用27017端口。

        12问：说一说你了解的状态码

答：状态码200请求成功、301资源（网页等）被永久转移到其它URL（3xx重定向）、404请求的资源不存在（4xx客户端错误），500服务器内部错误（服务器错误）。

        12.问：使用过什么安全设备

答：实话实说。（本人遇到的问的都是qax设备）

        13.问：在设备中如何判断告警信息是否为误报

答：查看页面状态码以及页面回显，同一条ip多次告警也可以排除是误报的可能。

        14.问：sql注入攻击的流量特征

答：参数长度异常、出现非法字符（如单引号，分号等）、非常规流量（短时间内发送大量请求‘同一时间窗口内多次发送相同请求）、异常请求（在http请求中包含多个语句，错误或缺失的参数）、user-agent字段出现sqlmap/1.*.*.*#dev(http://sqlmap.org)

        15.问：webshell流量特征

答：菜刀默认会有eval（用于执行传递的攻击payload）、(base64_decode($_POST[z0])):(base64_decode($_POST[z0]))（将攻击payload进行base64解码）、&z0=QGluaV9zZXQ...（传递攻击payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的，所以可以利用base64解码可以看到攻击明文。）

蚁剑会有@ini_set("display_errors","0")（这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户端会将这段编码或者加密，而蚁剑是明文，所以较好发现）、eval

        16.问：在安全设备中的日志检索运算符（qax）

答：AND、OR、NOT

        17.问：检索攻击者ip、受害者ip的字段是什么

答：攻击者ip检索字段为attack_sip、受害者ip为alarm_sip

        18.问：源ip、源端口、目的ip、目的端口的检索字段

答：源ip的检索字段为sip，源端口为sport，目的ip为dip，目的端口为dport

        19.问：在hw在岗期间群里有人发送了一份名为“今日hw情报”的文件时，如何操作

答：将文件拖入沙箱打查看是否为木马文件

        20.问：sql注入有哪些绕过方法

答：大小写绕过、双写绕过、编码绕过、内联注释绕过

        21.问：文件上传有哪些绕过方法

答：前端JS禁用绕过、修改后缀名绕过（抓包修改文件后缀名）、抓包修改MIME类型（修改文件的Content-Type值）、后缀名大小写绕过、图片马绕过（使用edjpgcom等工具或者命令将图片和WebShell制作成一个图片马）、GIF89a图片头文件欺骗（在webshell前面加上GIF89a，后台认为是图片,上传后再执行木马）、%00，0x00截断（php 版本<5.3.4 在url中%00表示ascll码的0，表示字符串结束，所以当url中出现%00时就会认为读取已结束，从而解析为木马文件）、.htaccess文件绕过、.user.ini.绕过、条件竞争绕过（在某些网站中允许任意文件上传，然后再对文件进行检查，若包含webshell则删除文件，存在时间差，可以利用这个时间进行攻击）、::$DATA绕过（在php代码中没有对::$DATA进行过滤，在windows中会将文件名::$DATA之后的数据当成文件流处理，保持::$DATA之前的文件名）、+空格+点绕过（可以利用1.php. .（点+空格+点）来绕过）、后缀名双写绕过（黑名单过滤，将黑名单里的后缀名替换为空且只替换一次，如1.pphphp）、特殊可解析后缀绕过（源代码有黑名单限制，那么就可以修改文件后缀名为根据后端的脚本语言能够解析的文件后缀）

        22.问：webshell检测思路

答：静态检测：匹配特征码，特征值，危险函数

动态检测：WAF、IDS等设备

日志检测：通过IP访问规律，页面访问规律筛选

文件完整性监控

        如果师傅面的岗位是蓝初的话基础掌握好就差不多了，问的更多的还是设备使用的问题，各位师傅在面试前如果有机会的话还是多了解一些设备，这样通过的机会更大一些。上面的问题是我遇到的一些出现过两次或以上的问题。到了面试的时候面试官问的问题更多是根据简历来，在简历上写的内容偏向开发的话也可能问出代码相关的问题（只是猜测）。写的不多，各位师傅看看就行，有用最好，祝各位师傅顺利通过面试。

文末求赞，求关注。