2025护网HVV面试笔记

 

0x1 高频面试题第一套

1、之前参加过护网嘛，能讲下你具体的工作内容吗？

去年参加过，是qax蓝中研判岗；主要工作内容：分析安全设备的告警，确定是攻击就提交给处置组封禁IP，分析上报流量，对恶意攻击进行分析和处理，并撰写安全应急分析处理报告。

2、毕业了吗，那平时工作具体工作内容是什么？

已经毕业了；平常在公司，主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。

3、讲下XSS原理吧，以及它的利用原理

XSS（跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的cookie，控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。

4、XSS有哪几种类型及区别

• 反射型XSS：反射型XSS攻击是一次性的攻击，当受害者点击恶意链接url的时候，恶意代码会直接在受害者的主机上的浏览器执行
• 存储型XSS：主要是将恶意代码存储到服务器中，下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码
• DOM型：客户端的脚本程序可以动态地检查和修改页面内容，不与服务端进行交互

5、护网期间设备误报如何处理？

要确认设备是否误报，我们可以直接到监控设备上看请求包和响应包的流量特征，在护网过程中如果确实存在异常流量应当及时进行上报，确认是误报后做好事件记录

6、如何区分扫描流量和手工流量？

扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长扫描流量：比如常用的漏洞扫描工具AWVS以及APPscan在请求的URL，Headers, Body三项里随机包含了能代表自己的特征信息

7、说几个php里面可以执行命令的函数？

1. exec(): 执行一个外部程序并且显示完整的输出。
2. shell_exec(): 执行一条 shell 命令并且返回完整的输出为一个字符串。
3. system(): 执行一个外部程序，并且显示输出。

8、说一下告警日志分析的思路？

1. 首先需要收集所有的告警日志
2. 对收集到的告警日志进行解析
3. 根据告警的重要性和紧急程度，确定告警的等级
4. 持续对告警日志进行监控和分析

9、HTTP状态码200、302、403、404分别表示什么?

200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在

10、内网了解吗，讲下黄金票据和白银票据？

黄金票据：

也称为“域管理员组帐户”，拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户，能够创建新的域管理员和更改现有的域管理员帐户密码

白银票据：

通常属于本地管理员帐户，只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户

区别：

黄金票据通常指一个具有域管理员权限的票据，而白银票据通常指普通用户的票据

11、讲下Java反序列化Struts 2 漏洞原理以及利用方式

Struts 2 是一个Java Web 应用的框架

文件上传、命令执行、ognl表达式注入

比较明显的就是访问的目录为.action或者.do，content-Type的值是默认的，返回的页面也可能会有struts2字样，

ognl表达式注入就会使用ognl语法，请求参数会有${}，%{}字符

12、护网期间怎么防范邮件钓鱼？

• 提供员工的安全意识，护网期间不随意点击钓鱼邮件；
• 邮箱不使用弱口令，如果被感染了直接拔网线。

0x2 高频面试题第二套

这里我就不给师傅们回答了，这个看自己的发挥了（尽量显的自己特别热爱安全，把安全当成自己的一个兴趣）后面我就开始给师傅们介绍下面试的问题吧，然后最后面我也会给师傅们一些面试的经验，然后从投递简历到面试再到面试通过选择去哪家公司的一个建议（大佬勿喷）

攻击者通过在输⼊的SQL查询中注⼊恶意代码，来执⾏他们想要的操作，⽐如获取敏感信息、删除或篡改数据等。这种攻击通常发⽣在⽤户输⼊没有经过充分验证和清理的情况下，例如在⽹站的登录表单或搜索框中输⼊SQL语句。为了防⽌SQL注⼊，开发者应该使⽤参数化查询和预编译的查询，对⽤户的输⼊进⾏严格的验证和清理。

1. 有回显和⽆回显
2. ⽆回显称为盲注，包括布尔盲注或者dnslog外带来探测
3. 有回显可以union联合查询、报错注⼊、宽字节注⼊、堆叠注⼊、⼆次注⼊

将空格URL编码，例如%20 %0a

tomcat⽇志默认路径：在安装⽬录下的logs⽂件夹下apache /etc/httpd/conf/httpd.confnginx的⽇志主要分为access.log、error.log两种，可通过查看nginx.conf⽂件来查找相关⽇志路径

内存马是一种高级攻击工具，利用内存的动态特性绕过传统防御。防范需结合技术手段（如内存监控）和安全策略（如权限最小化），并定期进行安全审计。

1. 首先判断是什么方式注入的内存马
2. 可以通过查看web日志，以及看是否有类似哥斯拉、冰蝎的流量特征
3. 如果web日志中没有发现，那么我们就可以排查中间件的error.log日志

有的

我是使用的雷电模拟器然后使用burpsuit配合进行抓取app数据包的

上传.htaccessapache解析漏洞，如果上传.htaccess，那么当前⽬录就会按照htaccess中的配置执⾏

命令⾏⽅式：copy 1.png/b+1.php/a 2.png在⽂件头中加⼊GIF98aBurpSuite抓包修改图⽚body打开图⽚⽂件属性，在详细信息那⾥写⼊⼀句话

冰蝎的流量进⾏了aes加密，相对于蚁剑更加难以被检测，webshell免杀性好。冰蝎更新了4.0更加安全和易注⼊。

• 1、首先确定我们要挖的公司资产
• 2、使用wps，新建一个exec表格，里面新建好几个表格，备注比如：根域名、子域名、小程序、app以及漏洞提交进度等情况
• 3、上爱企查看这个企业的知识产权，然后看网站备案，然后看这个公司的股权穿透图，这里有一个找边缘资产的好方法，就是看股权穿透图找下面的子公司，但是不同的企业src收录标准不一
• 4、使用小蓝本查该公司的一个小程序、app，然后保存在exec表格里面
• 5、使用oneforall工具进行子域名挖掘，然后保存到一个txt里面，再使用灯塔进行子域名挖掘，再汇总，然后使用无影工具里面的辅助模块进行资产分类
• 6、使用灯塔ARL自动化跑，去找一些文件泄露的漏洞

都有，自己一直有保持写技术博文的习惯

1. 我主要是对Java代码审计⽐较熟悉，例如⼀般Spring Boot项⽬中，
2. 使⽤mybatis框架处理sql语句，其中${包裹的参数如果是⽤户可控的就可能存在sql注⼊。
3. Java中的命令执⾏函数，Runtime类的exec⽅法和ProcessBuilder类
4. 反序列化函数和类加载函数，例如readObject、Classload.defineClass类加载⽅法等。
5. 通过pom.xml排查引⼊的框架版本是否存在漏洞。
6. 还有⽂件上传/⽂件读取接⼝是否有充⾜限制，是否存在任意⽂件上传和⽂件任意读取
7. 还了解⼀些例如codeql、Fortify SCA⾃动化代码审计⼯具

shiro反序列化漏洞的特征：cookie里有remember字段在整个漏洞利用过程中，比较重要的是AES加密的密钥，该秘钥默认是默认硬编码的，所以如果没有修改默认的密钥，就自己可以生成恶意构造的cookie了。检测的话，利用burp抓包，更改cookie，可以看到响应包中的rememberMe=deleteMe字段

1. 多地ping主域名、⼦域名，利⽤冷⻔国家的服务器来ping
2. 查询cdn解析历史
3. 利⽤cdn⼯具
4. 通过ping错误的⼦域名，如果⽬标服务器开启了模糊域名，就可以直接看到真实ip
5. ddos打光cdn流量，再ping就是真实IP
6. 通过ssrf绕过cdn
7. 通过反弹shell直接得到IP
8. 敏感信息泄露，例如phpinfo中就有ip
9. 社⼯，进⾏邮件往来，邮件头上就会有IP

（这里师傅们就靠自己脑补了）自己就把自己打过的比赛和获奖说下，大公司还是蛮注重你在大学期间的比赛成绩的。

0x3 高频面试题第三套

自我介绍的大致内容这里就先忽略，这里给大家分享下自我介绍的几个部分吧。师傅们可以看你自己是面试什么岗位，比如实习啊还是社招还是一年一次的护网啊什么的。这里今天我就给师傅们分享下我的护网面试自我介绍的简单介绍吧：因为是护网，技术面试，不像实习啊社招什么的，主要还是以技术技能为主，以及你的做过的项目经验等。所以你可以先跟面试官介绍下你的相关专业技能让面试官简单了解你会什么，熟悉什么。其次就是介绍你的项目经验了，你可以把你在学校或者在实习参加过的一些项目啊，比如以前参加过的护网项目、渗透测试、漏洞挖掘等都可以跟面试官介绍下。还有就是你的工作经验，要是有过工作经验以及实习网络安全相关的经验，肯定是加分项的。还有就是在校获奖，比如常打的CTF比赛之类的都可以跟面试官讲下。

自己的话熟悉TOP10漏洞，以及当前主流的web漏洞SQL注入、文件上传、XSS等漏洞的原理和防御，以及相关漏洞的一些组合拳等都是有搞过的。

攻击者利用SQL语句或字符串插入到服务端数据库中，通过一些字符单引号、双引号，括号、and、or进行报错，获取数据库敏感信息。

sql注入的waf绕过的话平常有做过，包括src漏洞挖掘相关也是挖过sql注入的漏洞，以及绕过方面也有相关经验。

报错盲注的话是xpath语法错误，，最大回显长度32；常用函数：updatexml()、floor()但是一般上waf了的话updatexml()、floor()函数一般都会被ban掉，所以一般都会上网找一些别的函数替代，比如ST_LatFromGeoHash()、ST_LongFromGeoHash()函数。

WAF分类：WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型指的是虚拟机WAF之类的，嵌入型指的是web容器模块类型WAF。

去年去的山东的一个银行；走的qax；蓝中研判岗。

一次就是护网的钓鱼邮件，有好几次的钓鱼邮件让我分析，然后那个钓鱼邮件的网站是某个政府的页面，但是里面需要填身份信息，然后分析过好几次，印象比较深。还有就是后面最后那几天，情人节那天，银行那边的财务部分好像就是被打穿了，然后领导搁那24小时值班，太累了，印象深刻。

护网期间使用的安全设备：奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等

就是里面有很多的检索功能，以及一些匹配策略，还有一些小工具，比如解码小工具蛮常用的。比如天眼里面的运算符有：AND/OR/NOT等，都是需要大写

（这里我就给师傅们总结好吧，这里我是先讲应急响应的具体思路步骤，然后讲了一个我的重保期间的应急响应）应急响应具体步骤：（1）首先检测有没有可疑的账号**（2）history指令查看历史命令**（3）检查异常端口和进程，netstat检查异常端口，ps检查异常进程**（4）查看一些系统日志以及常见的web安全日志（5）然后利用**查杀工具，比如D盾

连接过程中使用base64编码进行加密，其中两个关键payload z1 和 z2然后还有一段以QG开头，7J结尾的固定代码

数据包流量特征：1，请求体中存在eval，base64等特征字符2，请求体中传递的payload为base64编码

Shiro-550 反序列化、log4j2远程代码执行漏洞、JNDI注入漏洞、Fastjson反序列化漏洞以及Weblogic反序列化漏洞。

####14、有复现过吗，以及挖过相关的漏洞之类的？这里我说我利用vulhub以及docker和IDEA相关工具和平台这些漏洞都复现过，然后挖过shiro以及weblogic的漏洞，然后讲大多都是利用工具进行资产收集然后挖的。（后来师傅也没多问别的了）

首先判断是什么方式注入的内存马，可以通过查看web日志，以及看是否有类似哥斯拉、冰蝎的流量特征，如果web日志中没有发现，那么我们就可以排查中间件的error.log日志

因为内存马清除相关知识不是很了解，所以我就简单的讲了下利用工具，比如河马、D盾等进行webshell查杀清除。

后来面试官就没问我什么了，就再问了下我有时间去护网吗等一些问题。

0x4 高频面试题第四套

面试之前，面试官师傅在看我的简历，说我的简历写的不错。嘿嘿嘿！！！后面的面试基本上很多都是面试官按照我的简历来进行提问的。

总共参加过三次护网，两次国护，一次省护两次国护都在同一个项目，都在北京一个园区一次省护是在杭州

护网期间使用的安全设备：奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等工作内容：分析安全设备的告警，确定是攻击就提交给处置组封禁IP，分析上报流量，对恶意攻击进行分析和处理，并撰写安全应急分析处理报告。

学习成绩优秀，没有挂过科；在校期间获得多次校级奖学金以及在大二那学年获得我校"校园之星"的称号。

目前的话还是打算先以贵公司实习为目的，然后以后打算安全的方向的话主要以渗透测试、安服、红蓝攻防这些方向靠。

是的，在edusrc、CNVD、漏洞盒子、补天等漏洞平台提交多个高危严重漏洞。然后平常的话自己会去学习src方面的知识以及会进行src挖掘的工作。

挖掘CVE的话比较少，一般主要是在VulnHub、Hack The Box 靶场练习平台复现CVE漏洞。

1.查看用户信息查看用户账号文件信息cat /etc/passwd用于存储 Linux 系统中用户的密码信息cat /etc/shadow2.查看历史命令：historyhistory -c3.检查异常端口和进程，杀死进程netstat  -tunlp检查异常端口，ps  aux   检查异常进程**  ，kill -9  名称  杀死进程**4.检查linux的启动项和系统的定时任务crontab -lcrontab查看是否有异常的任务编写进来

首先top查看进程，是否有cpu占用率特别高的以及ID是随机数的，可以尝试kill进程，再次查看还会不会出现（这里感觉不太好）。然后可以用ps -ef|gred查看进程详细信息，用/proc找到进程，cp+sz下载文件放入微步在线云沙箱进行分析。确认是木马就删除文件。再cat /etc/rc 排查开机启动项和cat /etc/crontab 排查定时任务，last，lastlog等排查日志和可疑用户。

XSS（跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的cookie，控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。

1. 反射型XSS：反射型XSS攻击是一次性的攻击，当受害者点击恶意链接url的时候，恶意代码会直接在受害者的主机上的浏览器执行
2. 存储型XSS：主要是将恶意代码存储到服务器中，下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码
3. DOM型：客户端的脚本程序可以动态地检查和修改页面内容，不与服务端进行交互

1. 改mysql.ini配置(需要去增加一条配置）secure-file-priv=
2. 需要使用root权限
3. 知道网站的绝对路径

了解

利用端口为445，且存在很多系统命令执行的流量，且该资产存在被端口扫描的告警

445端口、永恒之蓝漏洞、smb协议

1. 修改文件哈希值：通过修改文件的哈希值，来让杀软误判为合法文件，从而突破查杀检测
2. 木马程序免杀：通过将恶意代码制作成木马程序，来绕过系统的安全防范机制.
3. 利用kali上的msf制作exe免杀木马

黄金票据：也称为“域管理员组帐户”，拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户，能够创建新的域管理员和更改现有的域管理员帐户密码白银票据：通常属于本地管理员帐户，只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户区别：黄金票据通常指一个具有域管理员权限的票据，而白银票据通常指普通用户的票据

17、可以讲下利用黄金票据前提条件吗？

• 域名称
• 域的SID值
• 域的KRBTGT账户的 Hash NTLM值
• 伪造用户名，可以是任意用户甚至是不存在的用户

18、你知道内网横向有哪些告警类型吗？

cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解内网主机对内部其他主机的攻击行为，该主机可能被黑客控制沦为跳板机，企图控制更多的内网其他主机

19、挖矿木马告警怎么判断？

1、可以在告警设备中查看告警的流量数据包，查看是否有挖矿协议流量

2、将目的ip地址放入到威胁检测平台（微步在线）做检测，看是否被打上矿池标签

0x5 高频面试题第五套

1.在椒图平台日志分析中result字段表示得含义是?

拦截结果0:已拦截，拦截结果1:未拦截

2.在椒图平台中如何配置针对服务器非白名单账号和登录IP的监控?

通过威胁监测-异常登录-违规登录-登录规则设置，添加白名单账户和IP

3.在椒图平台下发web类安全策略需要使用那个功能?

通过安全防护-功能设置

4.在椒图平台日志分析中P字段是攻击者IP还是受害者IP呢?

攻击源IP

5.告警分析payload大概在什么位置？

通常在请求包中的请求头url，以及在post数据包中可能存在

6.osi七层模型？

物理层-数据链路层-网络层-传输层-会话层-表示层-应用层 应用层协议: HTTP，FTP，TELNET、SMTP 传输层协议: TCP 、 UDP

7.什么告警不能很快分析出来？

部分sql注入无明显回显

8.哪个模块看告警的全部信息？

威胁感知模块

9.msf用过吗，设备上怎么分析的？

可能会存在执行系统命令的相关告警或shell告警

10.攻击者利用永恒之蓝漏洞攻击之后的日志特征是什么?

安全日志中，存在4624登录成功日志，登录类型为3

11.永恒之蓝漏洞查看日志的特征？

利用端口为445，且存在很多系统命令执行的流量，且该资产存在被端口扫描的告警

12.分析中心有什么日志？

告警日志、原始日志、终端日志

13.Referer字段？

Referer是HTTP请求header的一部分，当浏览器向web服务器发送请求的时候，头信息里有包含Referer

14.eval函数在木马中的作用？

eval()函数把字符串按照PHP代码来执行

15.如何确定web攻击是真实攻击还是误报攻击，从多角度回答,举例说明？

真实攻击查看请求报文和响应报文。比如：sql注入，特殊字符，比如and、or和id' 以及union select。再查看状态码为200，且出现success等字样查看防火墙、邮件网关以及安全产品告警

16.护网期间，如果客户的流量特别大，面对很多条告警应该去首先关注筛选哪些的告警？

遇着这种情况一方面优先分析成功告警再分析成功之外的其他高危告警，如webshell、命令执行、shell连接等。最后分析剩余告警同时对于攻击频率较高的攻击ip及时上报封堵，可有效减少告警量。

0x6 高频面试题第六套

1.XSS和CSRF区别

通俗点讲的话：XSS通过构造恶意语句获取对方cookie，

CSRF通过构造恶意链接利用对方cookie，但看不到cookie

XSS比CSRF更加容易发生，但CSRF比XSS攻击危害更大

2.XSS原理

XSS（Cross-Site Scripting，跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。

CSRF原理CSRF（Cross-Site Request Forgery，跨站请求伪造）是一种常见的Web安全漏洞，攻击者利用用户已登录的身份，在用户不知情的情况下，向Web应用程序发起恶意请求，以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。

3.sql注入原理

攻击者利用SQL语句或字符串将非法的数据插入到服务端数据库中，获取用户管理权限，然后将数据库管理用户权限提升至操作系统管理用户权限，控制服务器操作系统，

4.sql注入的关键字

sql注入的关键字 →select ，union， where

5.sql注入分类、绕过

分类：sql注入分为字符型和数字型。还可以将sql注入分为有回显的注入和无回显的注入，无回显的注入又别称为盲注，盲注有三大类，布尔盲注、时间盲注以及报错盲注；

绕过：大小写绕过 、注释绕过、关键字/关键函数替换、特殊符号

6.如何防御sql注入

1、过滤，检查，处理

2、预编译sql语句

3、使用waf防火墙，安全狗，阿里云盾等waf进行防护

4、经常进行基线检查、漏洞扫描等工作

7.渗透思路

信息收集： 1、获取域名whois信息 2、服务器子域名、旁站、c段查询 3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等 4、服务器开放端口：22 ssh 80 web 445 3389.。。

漏洞扫描： nessus，awvs ，appscan

漏洞验证： 是否存在漏洞，是否可以拿到webshell或者其他权限 权限提升: windows内核溢出提权，数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权 linux内核漏洞提权、劫持高权限程序提权、sudoer配置文件错误提权

漏洞利用：

日志清理：

8.中间件漏洞

IIS ,tomcat ，apache ，nginx

9.应急响应流程及windows/linux用到的命令

1、收集信息：搜集客户信息和中毒信息，备份

2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）

3、深入分析：日志分析、进程分析、启动项分析、样本分析

4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件

5、产出报告：整理并输出完整的安全事件报告

一、查看系统账号安全

1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放 2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常

二、检查异常端口、进程 1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接 2、tasklist | findstr "PID"根据pid定位进程 3、使用功能查杀工具

三、启动项检查、计划任务、服务 1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可以的启动 2、检查计划任务，查看计划任务属性，可以发现木马文件的路径 3、见擦汗服务自启动，services.msc注意服务状态和启动类型，检查是否有异常服务

四、检查系统相关信息 1、查看系统版本以及补丁信息 systeminfo 2、查找可以目录及文件 是否有新建用户目录 分析最近打开分析可疑文件（%UserProfile%Recent）

五、自动化查杀 使用360 火绒剑 webshell后门可以使用d盾 河马等

六、日志分析 360星图日志分析工具 ELK分析平台

1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号，主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意；

2、通过 who 命令查看当前登录用户（tty 本地登陆 pts 远程登录）、w 命令查看系统信息，想知道某一时刻用户的行为、uptime查看登陆多久、多少用户，负载；

3、修改/etc/profile的文件，在尾部添加相应显示间、日期、ip、命令脚本代码，这样输入history命令就会详细显示攻击者 ip、时间历史命令等；

4、用 netstat -antlp|more命令分析可疑端口、IP、PID，查看下 pid 所对应的进程文件路径，运行ls -l /proc/PID/exe 或 file /proc/PID/exe（$PID 为对应的pid 号）；

5、使用ps命令，分析进程 ps aux | grep pid

6、使用 vi /etc/inittab 查看系统当前运行级别，通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件；

7、看一下crontab定时任务是否存在可疑启用脚本；

8、使用chkconfig --list 查看是否存在可疑服务；

9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹；

10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀；

11、如果有 Web 站点，可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数（evel、system、shell_exec、exec、passthru system、popen）进行查杀Webshell 后门。

10.流量分析

拿到流量包后将其导入wireshark中，使用过滤规则对流量包进行分析

11.Behinder流量特征

冰蝎是一款基于java开发的动态加密通信流量的新型webshell客户端，冰蝎的通信过程可以分为两个阶段：秘钥协商 加密传输

0x7 高频面试题第七套

1.如何识别安全设备中的无效告警

通过特征规则将无效告警、误报告警过滤掉

需要对告警日志进行研判分析，从其中找出「真实有效」的攻击事件

2.常见的威胁情报平台有哪些？

微步在线

360威胁情报中心

奇安信威胁情报分析中心

3.木马驻留系统的方式有哪些

木马驻留第一招：利用系统启动文件

木马驻留第二招：文件捆绑使木马运行

木马驻留第三招：巧用启动文件夹

4.当收到钓鱼邮件的时候，说说处理思路

1.推荐接入微步或奇安信的情报数据，对邮件内容出现的URL做扫描

2.屏蔽办公区域对钓鱼邮件内容涉及站点、URL访问

3.屏蔽钓鱼邮件

4.处理接受到钓鱼邮件的用户

5.事后提高提高全员的安全意识

5.如何对攻击事件进行溯源？

溯源方式：隔离webshell样本，使用Web日志还原攻击路径，找到安

全漏洞位置进行 漏洞修复 ，从日志可以找到攻击者的IP地址

常见的反制思路是什么？IP定位技术

ID定位技术

网站url

社交信息

给攻击者画像

6.如何快速检测定位网站目录下的webshell

1、通过URL信息获取2、通过扫描工具扫描获取通过Webshell查杀工具进行扫描，可以定位到部分免杀能力不强的Webshell文件。例如：D盾、河马等工具。

3、根据文件创建/修改时间获取

7.如何还原失陷路径

用命令提示符或PowerShell恢复

利用用户配置备份文件恢复

利用注册表编辑器获取路径

0x8 高频面试题第八套

去年参加过，是qax蓝中研判岗；主要工作内容：分析安全设备的告警，确定是攻击就提交给处置组封禁IP，分析上报流量，对恶意攻击进行分析和处理，并撰写安全应急分析处理报告。

已经毕业了；平常在公司，主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。

XSS（跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的cookie，控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。

• 反射型XSS：反射型XSS攻击是一次性的攻击，当受害者点击恶意链接url的时候，恶意代码会直接在受害者的主机上的浏览器执行
• 存储型XSS：主要是将恶意代码存储到服务器中，下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码
• DOM型：客户端的脚本程序可以动态地检查和修改页面内容，不与服务端进行交互

要确认设备是否误报，我们可以直接到监控设备上看请求包和响应包的流量特征，在护网过程中如果确实存在异常流量应当及时进行上报，确认是误报后做好事件记录

扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长扫描流量：比如常用的漏洞扫描工具AWVS以及APPscan在请求的URL，Headers, Body三项里随机包含了能代表自己的特征信息

1. exec()
   
   : 执行一个外部程序并且显示完整的输出。

    

2. shell_exec()
   
   : 执行一条 shell 命令并且返回完整的输出为一个字符串。

    

3. system()
   
   : 执行一个外部程序，并且显示输出。

    

1. 首先需要收集所有的告警日志
2. 对收集到的告警日志进行解析
3. 根据告警的重要性和紧急程度，确定告警的等级
4. 持续对告警日志进行监控和分析

200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在

黄金票据：

也称为“域管理员组帐户”，拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户，能够创建新的域管理员和更改现有的域管理员帐户密码

白银票据：

通常属于本地管理员帐户，只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户

区别：

黄金票据通常指一个**具有域管理员权限的票据，而白银票据通常指普通用户的票据**

Struts 2 是一个Java Web 应用的框架

文件上传、命令执行、ognl表达式注入

比较明显的就是访问的目录为.action或者.do，content-Type的值是默认的，返回的页面也可能会有struts2字样，

ognl表达式注入就会使用ognl语法，请求参数会有${}，%{}字符

• 提供员工的安全意识，护网期间不随意点击钓鱼邮件；
• 邮箱不使用弱口令，如果被感染了直接拔网线。

0x9 护网HVV面试笔记

参加2025年国家护网的师傅们要是还需要其他的真实面试笔记题目+答案，可以扫描下面我们团队的知识星球二维码，加入我们！

获取最新的面试笔记，成功参加今年的护网行动！

0x10

原文始发于微信公众号（神农Sec）：2025护网HVV面试笔记，看这一篇就够了！