2023年网络安全HW面试经典收藏

这篇具有很好参考价值的文章主要介绍了2023年网络安全HW面试经典收藏。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.应急响应查找内容

分析服务器上的安全问题,你关注哪些数据? 进程,日志,告警信息,威胁情报,文档编辑时间,启动项,路由管理,防火墙,最后登录时间,CPU带宽,内存,代码安全,用户账户,隐藏文件等。

2.你有没有毕业?

已经毕业,正在工作(实习)

3.护网预计在五月份,时间问题?

没有问题

4.简历有护网经历,你能谈谈护网的情况吗

根据简历,以及掌握的知识,大胆的说,角色为防守方,工作位监控组,主要使用ips,ids等设备做流量监控与日志分析工作

5.你能大概说一下,比如数据包或者日志,你的分析思路是什么,以及你会用到哪些工具或者那些网站进行查询?

用流量监测的安全设备,比如天眼,查看报文,分析报文里和host和网站目录路径,查看是否可疑,使用微步查询host是否为恶意,使用wireshark对数据包深度分析

看一下请求的网站路径,源IP与目的ip地址,host字段的值以及发包内容等

工具有wearshark,网站的话微步在线等

6.文件上传和命令执行,有看过相关日志吗

文件:可能在系统有上传功能或者有文本编辑器,看一下保重是否有base64加密或者url加密,解码验证一下是否有恶意代码

系统日志:有没有web容器做了一些危险行为,比如bash反弹shell等

网络应用日志:有没有异常的网站文件,类似webshell等,就有可能是命令执行

7.文件上传攻击特征?

能够上传文件的接口,应用程序对用户上传文件类型不校验或者校验不严格可绕过,导致任意类型文件上传,攻击者可上传webshell。

8.用过Nmap扫描工具吗

用过,具体见信安面试,nmap扫描基础命令

9.常见命令注入漏洞?php? Strust2 ?

见常见攻击告警分析以及strust2漏洞

10.你在分析数据包的时候,这个地址是一个互联网的地址,你会做一些什么样的排查或者说对IP地址进行什么样的处理呢?

把这个域名或者ip放到微步上检测一下,看一下是不是恶意链接

11.你有用过微步吗?

去了解一下微步在线

12.你做过渗透测试的工作吗?

有做过,具体看面试50题之2,渗透一个网站需要步骤

13.你能说明文件上传的原理吗?

常见的攻击告警,文件上传部分

14.文件上传加固方法?

同上

15.暴力破解加固方法?

1.添加强度较高的验证码,不易被破解。

2.修改密码设置规则,提高用户的密码强度。

3.同一账号登陆次数锁定,生成锁定日志。

4.定期排查弱口令。

16.Sql注入加固措施?

常见的攻击告警,sql注入部分

17.你对应急和溯源有过一些了解吗?

详见:溯源的思路 文档

18.一台主机在内网进行横向攻击,你应该怎么做?

确定攻击来源,是不是员工内部误操作,比如询问运维是否有自动化轮训脚本

如果没有,确定是攻击,结合时间点,根据设备信息,看一下安全事件,进程,流量

找到问题主机,开始应急响应流程:准备,检测,遏制,根除,恢复,跟踪,具体的操 作要交给现场运维去处理。

19.你能说说护网的流程吗?

护网流程参考一下链接

https://zhuanlan.zhihu.com/p/536702187

20.你还用过其他态势感知的产品吗?

Ips,ids,hids,堡垒机等

21.平时windows, linux用的多吗,Linux应用端口,比如常用数据库接口?

25:SMTP简单邮件传输服务器端口

23:telnet的端口,telnet是一种可以远程登录并管理远程机器的服务

22:ssh端口,PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh,这一服务有许多弱点

53:dns端口

3306:MySQL的默认端口

1433:SQLServer的默认端口

3389:远程桌面登录

7001:Freak88,Weblogic默认端口,Weblogic是一个application server,确切的说是一个基于JAVAEE架构的中间件

445:是一个毁誉参半的端口他和139端口一起是IPC$入侵的主要通道

139:属于TCP协议,是为NetBIOS Session Service提供的,主要提供Windows文件和打印机共享以及Unix中的Samba服务

22.命令行工具用的什么比较多?

xshell,SecureCRT,Finalshell

23.应急响应流程

准备,检测,遏制,根除,恢复,跟踪,报告一般是从第二步到第五步的过程,截图等

准备:信息收集,工具准备

检测:了解资产情况,明确影响,尝试进行攻击路径溯源

遏制:关闭端口,服务,停止进程,拔网线

根除:通过杀毒软件,清除恶意文件,进程

恢复:备份,恢复系统正常

跟踪:复盘全貌,总结汇报

24.什么是跨域,JSONP与CORS

什么是跨域?

跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!

同源策略

同源策略:域名、协议、端口均相同。

浏览器执行JavaScript脚本时,会检查这个脚本属于那个页面,如果不是同源页面,就不会被执行。

JSONP跨域

只支持GET请求,不支持POST等其它请求,也不支持复杂请求,只支持简单请求。

CORS跨域

支持所有的请求,包含GET、POST、OPTOIN、PUT、DELETE等。既支持复杂请求,也支持简单请求。

JSONP与CORS的使用目的相同,并且都需要服务端和客户端同时支持,但CORS的功能更加强大。

JSONP和CORS的优缺点

  1. JSONP的主要优势在于对浏览器的支持较好;虽然目前主流浏览器都支持CORS,但IE9及以下不支持CORS。

  2. JSONP只能用于获取资源(即只读,类似于GET请求);CORS支持所有类型的HTTP请求,功能完善。

  3. JSONP只会发一次请求;而对于复杂请求,CORS会发两次请求。

应用场景

如果需要兼容IE低版本浏览器,无疑,JSONP。

如果需要对服务端资源进行操作,无疑,CORS。

其他情况的话,根据自己的对需求的分析来决定和使用。

25.如何检测webshell

静态检测

静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,

动态检测

webshell传到服务器了,黑客总要去执行它吧,webshell执行时刻表现出来的特征,我们称为动态特征。

日志检测

使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。

语法检测

语法语义分析形式,是根据php语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式。这样可以完美解决漏报的情况。但误报上,仍存在问题。

26.三次握手与四次挥手

三次握手(three-way handshaking)

1.背景:TCP位于传输层,作用是提供可靠的字节流服务,为了准确无误地将数据送达目的地,TCP协议采纳三次握手策略。

2.原理:

1)发送端首先发送一个带有SYN(synchronize)标志地数据包给接收方。

2)接收方接收后,回传一个带有SYN/ACK标志的数据包传递确认信息,表示我收到了。

3)最后,发送方再回传一个带有ACK标志的数据包,代表我知道了,表示’握手‘结束。

四次挥手(Four-Way-Wavehand)

1)第一次挥手:Client发送一个FIN,用来关闭Client到Server的数据传送,Client进入FIN_WAIT_1状态。

2)第二次挥手:Server收到FIN后,发送一个ACK给Client,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态。

3)第三次挥手:Server发送一个FIN,用来关闭Server到Client的数据传送,Server进入LAST_ACK状态。

4)第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACK给Server,确认序号为收到序号+1,Server进入CLOSED状态,完成四次挥手

27.http状态与无连接

一.无连接

1.每一个访问都是无连接,服务器挨个处理访问队列里的访问,处理完一个就关闭连接,这事儿就完了,然后处理下一个新的

2.无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接

二.无状态

 1.协议对于事务处理没有记忆能力

 2.对同一个url请求没有上下文关系

 3.每次的请求都是独立的,它的执行情况和结果与前面的请求和之后的请求是无直接关系的,它不会受前面的请求应答情况直接影响,也不会直接影响后面的请求应答情况

 4.服务器中没有保存客户端的状态,客户端必须每次带上自己的状态去请求服务器

28.什么是路由表

在计算机网络中,路由表(routing table)或称路由择域信息库(RIB, Routing Information Base),是一个存储在路由器或者联网计算机中的电子表格(文件)或类数据库。路由表存储着指向特定网络地址的路径(在有些情况下,还记录有路径的路由度量值)。路由表中含有网络周边的拓扑信息。路由表建立的主要目标是为了实现路由协议和静态路由选择。

每个路由器中都有一个路由表和FIB(Forward Information Base)表:路由表用来决策路由,FIB用来转发分组。路由表中有三类路由:

(1)链路层协议发现的路由(即是直连路由)

(2)静态路由

(3)动态路由协议发现的路由。

29.非sql数据库

Zookeeper,HBase、Redis、MongoDB、Couchbase、LevelDB

30.Linux 系统安全加固需要注意的内容

1、关闭不必要的系统服务

2、更改SSH默认端口

3、禁止root用户远程ssh登录

4、限制用户使用SU命令切换root

5、密码复杂度策略

6、检查密码重复使用次数限制

7、检查是否存在空口令账号

8、禁止同时按下ctrl+alt+del 重启

9、禁用telnet服务

31.冰蝎,蚁剑,菜刀的流量特征

冰蝎动态二进制加密WebShell特征分析

https://www.wangan.com/p/7fy7f66970bb76af
常见WebShell客户端的流量特征及检测思路

https://www.cnblogs.com/NoCirc1e/p/16275608.html
32.常见OA系统

通达,泛微,万户,用友,致远,蓝凌,帆软,,金蝶,红帆,极限,金和,志翔等

33.横向越权漏洞的修复

横向越权:横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源
纵向越权:纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源

对于纵向越权,我们可以通过设置用户角色,为不同的角色提供不同的权限来避免。

为了防止横向越权,我们可以使用缓存来进行辅助,当登录成功或者进行操作时,我们在缓存中存储一对由用户名和一个唯一的数字组成的数据(token),然后返回放入的唯一数据。在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字,根据用户名在缓存中取出对应的数字,如果取出的数字和参数中传入的想等,则证明重置的当前用户的密码,否则不是,且不予以重置。

34.挖矿病毒

https://www.ahstu.edu.cn/wlzx/info/1137/1992.htm
https://www.ahstu.edu.cn/wlzx/info/1137/1948.htm
https://www.ahstu.edu.cn/wlzx/info/1137/2416.htm
https://web.scut.edu.cn/2022/0413/c32211a467486/page.htm
https://web.scut.edu.cn/2022/0413/c32211a467487/page.htm文章来源地址https://www.toymoban.com/news/detail-433479.html

到了这里,关于2023年网络安全HW面试经典收藏的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023年自学网络安全学习路线,收藏这一篇就够了(超详细)

    随着网络空间成为第五空间、社会基础产业全面互联网化,网络安全(或称广义的信息安全)面临的威胁越来越大,对网络安全的人才需求也呈现出井喷趋势。 即使目前很多人可以自学成才,“网络空间安全”也成为一级学科,但根据《第十一届网络空间安全学科专业建设与

    2024年02月06日
    浏览(63)
  • 2023网络安全岗面试题汇总(附答案)

    大家好,我是无涯,一个工作多年的安全老司机, 曾在奇安信集团担任高级渗透测试工程师,前后参与四届全国HVV行动、北京冬奥重保等活动。 又快到了毕业季,大四的漂亮学姐即将下架,大一的小学妹还在来的路上,每逢这时候我心中总是有些小惆怅和小激动…… 作为学

    2024年02月11日
    浏览(40)
  • 2023网络安全工程师面试题汇总(附答案)

    又到了毕业季,大四的漂亮学姐即将下架,大一的小学妹还在来的路上,每逢这时候我心中总是有些小惆怅和小激动…… 作为学长,还是要给这些马上要初出茅庐的学弟学妹们,说说走出校园、走向职场要注意哪些方面。 走出校园后的第一步就是面试啦,对于面试方面的技

    2024年02月08日
    浏览(54)
  • 2023届网络安全岗秋招面试题及面试经验分享

    Hello,各位小伙伴,我作为一名网络安全工程师曾经在秋招中斩获🔟+个offer🌼,并在国内知名互联网公司任职过的职场老油条,希望可以将我的面试的网络安全大厂面试题和好运分享给大家~ 转眼2023年秋招已经到了金银🔟的关键阶段,宝子们简历抓紧准备投递起来呀,冲冲

    2024年02月15日
    浏览(38)
  • 网络安全 hw 蓝队实战之溯源

    声明:作者所发布的文章及工具只限交流学习,不承担任何责任!如有侵权,请告知我立即删除。 对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程,一个是只溯

    2024年02月12日
    浏览(39)
  • 网络安全-应急响应

    ​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,

    2023年04月22日
    浏览(42)
  • 网络安全应急响应(归纳)

    1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认 识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分

    2024年03月23日
    浏览(49)
  • 网络安全事件应急演练方案

    1.1 应急演练定义 应急演练是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等(以下统 称演练组织单位) 组织相关单位及人员, 依据有关网络安全应急预案, 开展应对网络安全事 件的活动。 1.2 应急演练目的 ( 1)检验预案。通过开展应急演练,查找应急预案中

    2024年02月02日
    浏览(59)
  • 网络安全应急响应预案培训

    应急响应预案的培训是为了更好地应对网络突发状况,实施演 练计划所做的每一项工作,其培训过程主要针对应急预案涉及的相 关内容进行培训学习。做好应急预案的培训工作能使各级人员明确 自身职责,是做好应急响应工作的基础与前提。应急响应预案的培 训分为以下几

    2024年02月11日
    浏览(42)
  • 网络安全应急响应预案演练

    制定好的应急响应预案,只做培训还不够,还需要通过实战演 练来提高应对网络突发事件的行动力,针对网络突发事件的假想情 景,按照应急响应预案中规定的职责和程序来执行应急响应任务。 根据出现的新的网络攻击手段或其他特殊情况,不断进行预案的调 整完善。 1、

    2024年02月10日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包