HW行动作为国家级网络安全攻防演练的重要环节,对安全工程师的技术能力和实战经验提出了极高要求。本文结合近年护网面试高频考点与实战经验,整理出20道面试题及详细解析,涵盖渗透测试、漏洞分析、防御技术、应急响应等方向,助力从业者系统备战。
一、基础概念与攻防技术
-
1. 什么是DDoS攻击?如何防御?
答:DDoS攻击通过向目标发送海量请求耗尽资源,导致服务瘫痪。防御需结合流量清洗(CDN)、负载均衡、IPS/IDS监控,并部署云防护服务(如阿里云盾)。 -
2. 黑盒测试与白盒测试的区别
答:黑盒测试无源码权限,通过外部输入输出验证功能;白盒测试可访问源码,检查内部逻辑与安全性。 -
3. 社交工程攻击的常见形式与防御措施
答:如钓鱼邮件、伪装客服等,需加强员工安全意识培训,设置多因素认证(MFA),限制敏感信息访问权限。 -
4. 如何识别CDN并判断真实IP?
答:使用nslookup查询域名解析差异,或通过超级Ping工具检测多地响应;若TTL值异常(如固定为10秒),可能为CDN节点。 -
5. 正向Shell与反向Shell的区别
答:正向Shell由攻击者主动连接目标内网设备;反向Shell由目标设备主动连接攻击者(常用于绕过防火墙)。
二、渗透测试与漏洞利用
-
6. 列举5种未授权访问漏洞
答:Redis未授权访问、Docker API未授权、Elasticsearch未授权、Kubernetes API未授权、ActiveMQ未授权。 -
7. 文件上传漏洞的检测点
答: -
• 客户端绕过(如修改JS后缀检测)
-
• 服务端绕过(MIME类型、文件头、路径解析漏洞)
-
• 结合目录穿越或
.htaccess文件控制。 -
8. SQL注入类型及绕过WAF的方法
答: -
• 类型:联合注入、报错注入、盲注(时间/布尔)、堆叠注入。
-
• 绕过:大小写混淆、内联注释(
/*!*/)、编码(十六进制/URL编码)、分块传输。 -
9. Windows隐藏用户的创建方法
答:net user test$ 123456 /add
net localgroup administrators test$ /add用户名末尾加
$可隐藏。 -
10. Weblogic T3协议反序列化漏洞原理
答:T3协议在序列化数据传输时未严格过滤,攻击者可构造恶意序列化数据触发RCE(远程代码执行)。
三、防御体系与安全架构
-
11. 如何构建安全内网拓扑?
答: -
• 边界层:防火墙+NAT隔离外部流量。
-
• 检测层:全流量分析设备+IDS实时监控异常行为。
-
• 应用层:WAF防护Web漏洞(如SQL注入、XSS)。
-
• 数据层:加密传输(TLS)+数据库审计。
-
12. 全流量检测与态势感知的异同
答: -
• 全流量:聚焦网络层流量分析,实时拦截攻击。
-
• 态势感知:整合多源数据(日志、威胁情报),提供全局威胁可视化。
-
13. HTTPS如何防范中间人攻击?
答:严格校验证书链,启用HSTS强制加密,禁用弱密码套件(如SSLv3)。 -
14. 多因素认证(MFA)的实现方式
答:结合知识因素(密码)、持有因素(手机令牌)、生物因素(指纹)。 -
15. 日志分析中如何识别APT攻击?
答:关注低频敏感操作(如异常登录、权限提升)、长时间潜伏行为、横向移动痕迹。
四、高级攻防与应急响应
-
16. 内网横向移动的常见手法
答: -
• 利用SMB/Windows共享漏洞(如永恒之蓝)。
-
• 传递哈希(Pass-the-Hash)攻击。
-
• 钓鱼邮件+恶意宏代码。
-
17. 如何检测内存马?
答: -
• 对比进程内存与磁盘文件差异。
-
• 使用Volatility分析内存镜像。
-
• 监控非常规JSP/ASPX文件加载。
-
18. Windows应急响应取证步骤
答: -
1. 隔离环境,保存内存快照。
-
2. 提取日志(EventLog、PowerShell日志)。
-
3. 检查计划任务、服务、注册表启动项。
-
4. 分析网络连接(
netstat -ano)。 -
19. Linux系统被植入Rootkit后如何排查?
答: -
• 使用
rkhunter扫描内核模块。 -
• 检查
/etc/ld.so.preload是否被篡改。 -
• 对比
ps与/proc目录进程列表。 -
20. HW行动中蓝队的核心职责
答: -
• 实时监控告警,分析攻击链。
-
• 封禁恶意IP,修复漏洞。
-
• 编写攻击溯源报告。
原文始发于微信公众号(HACK之道):2025HW行动面试题20道全解析(附答案)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论