【护网】面试及经验分享

将安全君呀设为"星标⭐️"

第一时间收到文章更新

声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。

文章声明：本篇文章内容部分选取网络，如有侵权，请告知删除。

(1) 投递简历-丙方公司hr先筛选一下简历，交给技术负责人面试一下，推荐给乙方 (360,奇安信，安恒，绿盟等安全厂商）

(2) 乙方hr筛选一下简历，乙方安全厂商安排技术笔试和面试(技术负责人和项目负责人筛选和面试）

(3) 面试通过，乙方安排项目地是甲方公司（如某银行，某证券公司等）,甲方客户也有可能需要面试一下技术

面试态度

(1) 面试官很可能就是你以后工作中的负责人，面试的过程中，态度要端正，尊重面试官，有分歧请大家保持克制。

(2) 也要注意自己在面试的时候的言行举止。衣着打扮。

(3) 面试的时候，切记不要挤牙膏似的，就是面试官问一点你答一点，要尽量多聊自己熟悉的。面试官有可能选择一些你说的内容，提出问题，大家也需要做好这方面的准备。

面试题：

1、您是否参加过护网？
护网面试岗位监控岗，研判岗，应急和溯源岗位等。分为初级，中级，高级岗位。
根据甲方需求，分为3组：监测组，处置组，应急保障和溯源反制组。
(1) 监测组主要监测设备，监控判断不出来告警，交给研判，若确认未成功的真实攻击，提交i和告警截图给处置组封禁ip,若需要应急，需提交给处置单给应急人员；

(2) 处置组，封禁ip以及甲方自有人员自有设备处置；

(3) 应急保障和溯源反制组，应急拿到处置单，先和处置组建群沟通，根据处置单，提出处置建议，让处置组操作或者客户授权后操作：溯源根据提供的攻击ip和钓鱼邮件进行溯源和反制。

2、sqi注入告警如何处理？
(1) 是检查请求头是否是攻击行为，响应体是否出现相应的结果。

(2) 是客户授权情况下，把响应体拷贝到本地html文件，双击检查是否出现相应的数据库数据。

(3) 是客户授权情况下，漏洞验证，访问url，一定不要对数据库进行修改。

3、出现xss告警如何处理？
(1) 检查请求头是否有攻击行为，检查响应体有脚本插入进去，若有就是未对payload进行过滤。

(2) 把响应体拷贝到本地html文件中，检查是否弹窗，若弹窗判断攻击成功。

(3) 客户授权情况下，访问payload看是否弹窗。

4、给你一个登录页面有什么思路？
爆破，sql注入，xss, 任意用户注册，js文件查看敏感信息，短信轰炸，万能密码，二次注入，检查是否通用cms等等。

5、你常用的渗透工具和漏扫工具？
渗透工具： msf, nmap, fscan,sqlmap,burp等
漏扫：xray, awvs,nessus等。

6、xss和csrf的区别？
(1) xss主要诱骗用户点击恶意链接盗取用户cookie进行攻击，xss除了利用cookie还可以篡改网页等，xss不需要用户登录，xss攻击客户端。

(2) csrf跨站请求伪造，无法获取用户的cookie而是直接冒充用户。csrf需要用户处于登录状态。csrf通过伪装去访问服务端。

7、waf主要做什么的？
过滤应用层的数据。解析http请求-->匹配规则关键字-->拦截防御-->记录日志

8、waf防护哪些攻击
sql注入，xss,文件上传，命令执行等漏洞（如log4j),cc攻击，获取敏感信息。

9、请判断文件上传告警是否成功？
(1) 判断是业务行为还是攻击行为。检查请求体和响应体。请求体包含关键字eval，解析漏洞特征，大小写绕过等。响应体是否服务器返回success和uploaded等关键字。

(2) 如果响应体是乱码情况，检查攻击者ip是否访问webshell文件。有流量，并且状态码200的话，也是成功了。

(3) 客户授权情况下，上传一个无害文件，看看能不能上传成功，也能验证这个漏洞。

10、如何确认服务器是否存在隐藏账号，克隆账号？
(1) 查看隐藏用户指令 wmic useraccount get name,sid ，打开注册表，查看管理员对应键值。

(2) 使用d盾等查杀工具，对隐藏账户以及克隆账号进行检测。

(3) linux查看最近一个月更改的文件：
findtypefmtime-30

cs中级面试题
11、cs回连成功告警如何处置？
(1) 若客户同意物理断网或网卡断网。
(2) 可疑资产排查出来，做个隔离。
(3) 杀毒，最好把客户电脑拿过来检查一下，做一下应急。
(4) 若能确定cs服务器地址和域名给封禁处理。

应急中级面试题
12、如何判断被fastjson和shiro漏洞攻击成功了？
(1) 检查ids态势感知告警上下文特征。分析他的攻击代码。

(2) 若漏洞利用成功后，可能会上个webshell,查看webshell和横向移动等告警，是否做了持久化控制等。

(3) 客户授权的情况下，复现一下漏洞，检查是否可以漏洞利用成功。

13、ids和waf没有告警，但是被上传了webshell?

(1) 首先检查持久化：近期系统新增文件，隐藏账户，系统计划任务，进程（签名和描述）,注册表，启动项。

(2) 可以使用d盾和河马等工具检查webshell后门，根据后门代码和习惯能不能锁定攻击人员范围，根据加密方式具体分析。

(3) 保存木马样本，木马源码分析，上传微步或360云沙箱。能不能发现cs服务器ip和域名，进行封禁，研判是否可溯源。

防范措施：漏洞修复，升级版本，临时措施加安全设备的过滤规则。端口程序开启最小化。

14、发现勒索病毒如何处理？
(1) 备份未被加密的文件。

(2) 若客户同意物理断网或网卡断网，若不同意也可以关闭445,139,135等端口，防止横向移动。看运气能不能找到木马。看一下加密算法。

(3) 让客户对文件后缀拍照，公开勒索病毒库查询，尽量找解密工具。查看勒索病毒是否还在活动。

(4) edr和ids都结合来看。发出流量。受波及情况。然后做个研判。修补漏洞，日常人员安全意识培训等。出具事件报告。

15、钓鱼邮件如何发现的？
(1) 攻击者会伪造用户信任的人发送电子邮件（仔细检查发件人地址（显示名可以伪造）,收件人地址是否群发，邮件日期，标题措辞，目的（如疫情管控，护网需要安装安全软件）

(2) 邮件恶意链接（如系统迁移，需要输入用户名密码等）,附件检查是否exe文件或者bat文件，使用360压缩检查是否有风险）

(3) 谨慎查看公众号和github发的项目信息等。流量监测，ids设备能看到收发情况。

16、ids态势等设备告警特别多1万条。如何优先最快速度处理？

(1) 告警特别多，一般情况是大批量扫描。检查规律，如果是同一个ip扫描，直接封禁ip.

(2) 如果不是同一个ip，就分析下告警特征，爆破和盲注这种短时间会产生大量告警，主要分析是否存在漏洞，若不是在公司内测试，就封禁攻击者ip地址。

17、近源渗透如何防护？
(1) 电脑上不要插入陌生u盘。
(2) 遵守甲方管理规定。
(3) 检查安全设备的异常告警，办公楼周边拿笔记本的异常人员。
(4) 不要连接陌生wi-fi网络， wifi网络密码设置强密码。
(5) 门禁卡注意不要被克隆等。

注意事项

(1) 护网项目注意都需要签合同，最好是有信誉的大公司。
(2) 甲方合同规定预付款，住宿，交通费用是否包含。确认工作时间是8小时还是12小时，最好项目现场和安全设备厂商确认好工时。注意合同规定的结算时间。
(3) 仔细阅读合同规定。合同规定的乙方职责。甲方在合同里扣款规定。合同有没有双方特殊的规定。

(4) 薪资是税前还是税后。发票一般分为：增值税专用发票和普通发票两种，专票的税率在6%,普票的税率在3%.

(5) 审查好保密协议条款，也要做好客户保密工作。客户未脱敏的资料都不能转发。尤其注意不能发朋友圈，发朋友圈定位，告警不要随便传播，客户敏感信息要打码等等。

(6) 关注最新情报信息 (如360网络安全响应中心）,如果有新漏洞，及时修复， 升级。做好应急工作。

(7) 人际沟通方面。工作多沟通。给客户发邮件语气柔和一些。如有其他工作，跟领导沟通好。别影响工作进度。

(8) 信息的安全保护，公司敏感信息不要传到网盘，github上，个人方面注意如快递信息，身份证信息的泄露。

(9) 手机电脑及时杀毒等。

Tips

欢迎大家在下面点赞评论加关注，让我们一起在网安之路越走越远！！！

原文始发于微信公众号（安全君呀）：【护网】面试及经验分享