护网面试题4.0

这篇具有很好参考价值的文章主要介绍了护网面试题4.0。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!


目录

1.设备误报如何处理?

2.如何区分扫描流量和手工流量?

3.网站被上传webshell如何处理?

4.给你一个比较大的日志,应该如何分析?

5.了解安全设备嘛?

6.了解过系统加固吗?

7.CS是什么东西,知道怎么使用吗?

8.WAF方面有没有了解过,清楚WAF的分类和原理吗?

9.Powershell了解过吗?

10.MSF是什么?知道怎么使用吗?

11.SQL注入怎么写入webshell?

12.常见的webshell连接工具的流量

13.windows应急响应时排查分析的相关细节


1.设备误报如何处理?

1.来自外网的误报说明安全设备需要进行策略升级,不需要处置。

2.如果是来自内网的误报可以和负责人协商一下看能不能解决

2.如何区分扫描流量和手工流量?

扫描流量数据量大,请求流量有规律可循且频率较高,手工流量请求少,间隔略长

扫描流量:比如常用的漏洞扫描工具AWVS以及APPscan在请求的URL,Headers, Body三项里随机包含了能代表自己的特征信息。

3.网站被上传webshell如何处理?

1.首先关闭网站

2.用D盾对网站目录进行查杀

3.及时安装服务器补丁

4.给你一个比较大的日志,应该如何分析?

使用日志分析工具,

白名单模式,为正常请求建立白名单

统计方法,统计请求出现次数

5.了解安全设备嘛?

入侵防御系统IPS

是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

入侵检测系统IDS

积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,尽可能地发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。

防火墙

防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络,制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

数据库审计系统

是对数据库访问行为进行监管的系统,通过镜像或者探针的方式采集所有数据库的访问流量,并基于SQL语法,语义的解析技术,记录下对数据库所有访问和操作行为,例如访问数据的用户IP,账号,时间等等,对数据进行操作的行为等等。

日志审计系统

日志审计系统能够通过主被动结合的手段,实时且不间断的采集用户网络中不同厂商的安全设备,网络设备,主机,操作系统以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储,备份,查询,审计,告警,响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。

堡垒机

是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以,不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理,单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。

漏洞扫描系统

漏洞扫描工具或者设备是基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。

数据安全态势感知平台

以大数据平台为基础,通过收集多元,异构的海量日志,利用关联分析,机器学习,威胁情报,可视化等技术,帮助用户持续监测网络安全态势,实现从被动防御向积极防御的进阶。

终端安全管理系统

是集防病毒,终端安全管控,终端准入,终端审计,外设管控,EDR等功能于一体,兼容不同操作系统和计算机平台,帮助客户实现平台一体化,功能一体化,数据一体化的终端安全立体防护。

WAF

WAF是以网站或应用系统为核心的安全产品,通过对HTTP或HTTPS的Web攻击行为进行分析并拦截,有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求。

蜜罐

蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁,提取威胁特征,蜜罐的价值在于被探测,攻陷。

6.了解过系统加固吗?

账户安全

windows

比如设置登录时不显示上次登录的用户名,防止弱口令爆破。

设置账户锁定策略,比如说登录行为限制次数,达到次数后锁定多长时间。

linux

禁用root之外的超级用户   使用password  -l   <用户名>命令来锁定用户   -u解锁

限制普通用户使用sudo提权,或者说限制提权的权限大小

锁定系统中多余的自建账号

设置账户锁定登录失败锁定次数,锁定时间   faillog   -u   <用户名>命令来解锁用户

口令安全

windows

设置密码必须符合复杂性要求,比如设置时数字,大写字母,小写字母,特殊字符都要具备

设置最小密码长度不能为0,设置不能使用历史密码

linux

检查shadow中空口令账号,修改口令复杂度,设置密码有效期vim  /etc/login.def命令

服务与端口

关闭或者限制常见的高危端口,比如说22端口(SSH),23端口(Telnet),3389端口(RDP)

compmgmt.msc排查计划任务

linux上iptables封禁IP或者限制端口

文件权限管理

linux上chmod修改文件权限  chattr重要文件设置不可修改权限

系统日志审计

linux上设置系统日志策略配置文件

系统日志 /var/log/message

cron日志/var/log/cron

安全日志/var/log/secure

设备和网络控制

比如在涉密计算机上禁止访问外网,为了避免用户绕过策略可以禁止用户修改IP

删除默认路由配置,避免利用默认路由探测网络

禁止使用USB设备比如U盘

禁止ping命令,即禁用ICMP协议访问,不让外部ping通服务器

7.CS是什么东西,知道怎么使用吗?

简介

cs是一款渗透测试工具,cs分为客户端与服务端,linux服务端是一个,windows客户端可以有多个,可用于团队分布式协同操作。

功能

cs集成了端口转发,服务扫描,自动化溢出,多模式端口监听,windows exe 木 马生成,windows dll 木马生成,java 木马生成,office 宏病毒生成,木马捆绑。钓鱼攻击等功能。

使用

一般使用步骤就是,先启动服务端,然后启动客户端连接获得一个可视化的界面,新建监听器来接收会话,生成木马文件(常见.exe可执行文件,office宏病毒,html应用程序类型的后门文件),上传到受害者主机,当受害者运行该木马文件时目标主机就在CS上线了。

8.WAF方面有没有了解过,清楚WAF的分类和原理吗?

分类:

WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的;嵌入型指的是web容器模块类型WAF、代码层WAF。

原理:

Web应用防火墙是通过执行一系列针对HTTP或者HTTPS的安全策略来专门为Web应用提供保护的一款产品。

9.Powershell了解过吗?

简介

是Windows环境所开发的shell及脚本语言技术
主要用于Windows计算机方便管理员进行系统管理

使用

常见的操作 pwd   ls   cd   mkdir   rmdir

10.MSF是什么?知道怎么使用吗?

简介:

MSF是一款渗透工具,以及开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。MSF可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。

模块:

Auxiliary(辅助模块)
为渗透测试信息搜集提供了大量的辅助模块支持
Exploits(攻击模块)
利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击,从而获得对远程目标系统访问权的代码组件。
Payload(攻击载荷模块)
攻击成功后促使靶机运行的一段植入代码
Post (后渗透攻击模块)
收集更多信息或进一步访问被利用的目标系统
Encoders(编码模块)
将攻击载荷进行编码,来绕过防护软件拦截

使用:

首先利用Auxiliary辅助探测模块扫描,嗅探,指纹识别相关漏洞,然后确认漏洞存在使用Exploit漏洞利用模块对漏洞进行利用,包括设置payload攻击载荷,设置本机监听等等。漏洞利用成功目标主机就会通过设置的端口主动连接,产生会话。进而可以进行后渗透。

功能:

木马免杀,抓取用户密码,关闭杀毒软件,屏幕截图,新建账号,远程登录,迁移进程,提权操作,网络嗅探,端口转发 ,内网代理,内网扫描,生成后门,清除日志等等。

11.SQL注入怎么写入webshell?

条件:

1、知道web绝对路径

2、有文件写入权限(一般情况只有ROOT用户有)

3、数据库开启了secure_file_priv设置

        然后就能用select into outfile写入webshell

sqlmap写入

写:(要写的文件,必须在kali本机里有)
写入到 /tmp 目录下 
 sqlmap -u "http://127.0.0.1/index.php?page=user-info.php&username=a%27f%27v&password=afv&user-info-php-submit-button=View+Account+Details" -p 'username'  --file-write="shell.php"  --file-dest="/tmp/shell.php"

12.常见的webshell连接工具的流量

中国菜刀

连接过程中使用base64编码对发送的指令进行加密,其中两个关键payload z1 和 z2,名字都是可变的。

然后还有一段以QG开头,7J结尾的固定代码。

蚁剑文章来源地址https://www.toymoban.com/news/detail-448843.html

默认的user-agent请求头是antsword xxx,不过可以修改。

一般将payload进行分段,然后分别进行base64编码,一般具有像eval这样的关键字,然后呢大概率还有@ini_set("display","0");这段代码。

13.windows应急响应时排查分析的相关细节

1.可疑账号排查  lusrmgr.msc



2.可疑进程和服务排查   taskmgr    services.msc



3.可疑启动项排查  msconfig



4. 可疑文件排查


5. 恶意样本排查

到了这里,关于护网面试题4.0的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023护网面试题200道(附答案)

    最近日入1000×+的护网行动已经开始摇人了, 不少大学生在后台私信我如何参加护网、面试问些什么、有没有护网内推 作为一个负责任的博主,收到大家反馈的我,连夜发动钞能力,收集整理了一套护网蓝初面试文档 1. 什么是DDoS攻击?如何防御DDoS攻击? 答:DDoS攻击是一种

    2024年02月09日
    浏览(38)
  • 我的2023年护网蓝初面试题(一面)

    讲一讲sql注入原理? 用户的可控的输入嵌入到sql语句中并被服务端执行,导致应用程序的信息泄露以及攻击者写入webshell 讲一讲sql注入分类? 请求头的注入、联合查询注入、报错注入、布尔盲注、堆叠注入、时间盲注 、宽字节注入 讲一讲报错注入、时间盲注主要用到的函数

    2024年02月12日
    浏览(32)
  • 告警流量特征分析(护网蓝初面试干货)

    目录 一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行 (1)对sqlmap的判断:若攻击者使用sqlmap且未加 --random-agent参数,则可以通过捕获请求包的user-agent字

    2024年02月08日
    浏览(42)
  • 网络安全中护网面试常见问题

    面试官基本都会问什么 一、护网经验和面试经验,你能介绍下学生最关心的问题么?就是护网面试都问什么问题? 护网面试有很多步骤 1、投递简历-安全服务公司HR先筛选一下简历,交给技术负责人面试一下,推荐给安全厂商(360、奇安信、安恒、绿盟) 2、安全设备厂商

    2024年02月10日
    浏览(43)
  • 2023 护网面试题(适合蓝初~蓝中),现在看还来得及,持续更新中...

    1. 题目在持续收集,欢迎各位在评论区补充。 题目还没来得及分类整理,后续答案整理的差不多了会做 题目收集比答案快太多了,有些题目还没来得及收集答案,欢迎各位大佬在评论区提供答案 如果收集到的答案有不完整的或者错误的,欢迎各位大佬指正 如果有伙伴面试遇

    2024年02月05日
    浏览(38)
  • Tomcat面试题+http面试题+Nginx面试题+常见面试题

    1、Tomcat的缺省端口是多少?怎么修改? 答:缺省端口是8080,若要修改,可以进入Tomcat的安装目录下找到conf目录下的server.xml文件,找到该文件中的Connector字段中的port。 2、Tomcat有哪几种connector运行模式(服务的请求方式)? 答:三种。修改它的运行模式需要在主配置文件中

    2023年04月10日
    浏览(44)
  • Linux常见面试题,应对面试分享

    1.cpu占⽤率太⾼了怎么办? 排查思路是什么,怎么定位这个问题,处理流程 其他程序: 1.通过top命令按照CPU使⽤率排序找出占⽤资源最⾼的进程 2.lsof查看这个进程在使⽤什么⽂件或者有哪些线程 3.询问开发或者⽼⼤,是什么业务在使⽤这个进程 4.是否可以将这台机器隔离,不影响

    2024年02月13日
    浏览(42)
  • FPGA面试试题(附个人整理答案)

    一、什么是FPGA,内部资源构成?        答:FPGA(Field-Programmable Gate Array,现场可编程门阵列)是一种可以通过编程来配置的半导体设备。FPGA由成千上万个 可配置逻辑块 (CLB)和 可编程的互联资源 组成,可以实现复杂的数字计算功能。与其他类型的集成电路相比,如专用

    2024年04月11日
    浏览(54)
  • 【面试】面试官问的几率较大的网络安全面试题

    攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。 用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现 select * from user where name = ‘lianggzone’ and password = ‘’ or

    2024年02月01日
    浏览(49)
  • 程序员面试系列,golang常见面试题

    原文链接 make(chan int, 1) 和 make(chan int) 之间有区别。 make(chan int, 1) 创建了一个有缓冲的通道,容量为1。这意味着通道可以缓存一个整数元素,即使没有接收方,发送操作也不会被阻塞,直到通道已满。如果没有接收方,发送操作会立即完成。如果通道已满,发送操作会被阻塞

    2024年02月16日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包