网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
一、操作系统相关问题总结与分析及扩展回答
1. Linux命令熟悉度
2. 查看进程的命令
3. 查看网络进程的命令
4. Linux加密md5
5. 快速查看文件类型
二、渗透测试相关问题总结与分析及扩展回答
1. SQL注入
2. XSS
3. 反射型XSS和DOM型XSS的区别
4. 挖过的有趣漏洞
三、应急响应相关问题总结与分析及扩展回答
1. Linux被上传webshell如何查杀
2. 除杀进程外快速找到webshell的方法
3. 日志查看
4. 护网行动
5. 大流量环境中快速判断报警
一、操作系统相关问题总结与分析及扩展回答
1. Linux命令熟悉度
- 总结:面试官询问对Linux命令的熟悉程度,求职者表示了解过一些但实际不熟。
- 分析:该问题是基础考察,了解求职者对Linux命令的掌握情况,不熟可能影响后续工作中对Linux系统的操作和管理。
- 扩展回答:Linux命令是操作和管理Linux系统的基础,常用命令涵盖文件操作、进程管理、网络管理等多个方面。应该全面学习和实践,如通过在线教程、实验环境等加深对命令的理解和运用。
2. 查看进程的命令
- 总结:面试官询问查看进程的命令,求职者回答了top、ps,后补充记得pstree也是。
- 分析:查看进程命令是Linux系统管理的重要技能,回答不完整反映出对进程管理命令掌握不够全面。
- 扩展回答:除了top、ps、pstree外,还有pgrep命令用于根据进程名查找进程ID,htop是top的增强版,提供更直观的进程信息展示。
3. 查看网络进程的命令
- 总结:面试官询问查看网络进程的命令,求职者回答netstat。
- 分析:回答正确,但可以进一步扩展,展示更丰富的知识。
- 扩展回答:netstat是经典的查看网络连接和网络进程的命令。此外,ss命令功能更强大,速度更快,能替代netstat。lsof命令也可查看网络进程,它能列出打开文件的进程,包括网络套接字。
4. Linux加密md5
- 总结:面试官询问Linux如何加密md5,求职者表示不会。
- 分析:加密是Linux系统安全管理的一部分,不会该操作显示出在安全相关知识上的欠缺。
- 扩展回答:在Linux中,可以使用md5sum命令对文件进行MD5加密。例如,
md5sum filename会输出该文件的MD5哈希值。如果要对字符串进行MD5加密,可以结合echo和md5sum命令,如echo -n "your string" | md5sum。5. 快速查看文件类型
- 总结:面试官询问如何快速查看文件类型,求职者回答ls、ll。
- 分析:ls和ll主要用于查看文件和目录信息,并非专门查看文件类型的命令,回答不准确。
- 扩展回答:可以使用file命令快速查看文件类型,如
file filename会输出文件的类型信息。file命令通过分析文件的头部信息来判断文件类型。二、渗透测试相关问题总结与分析及扩展回答
1. SQL注入
- 总结:面试官询问SQL注入,求职者回答按上课教的内容回答。
- 分析:SQL注入是常见的Web安全漏洞,仅按上课内容回答可能不够深入和全面。
- 扩展回答:SQL注入是指攻击者通过在Web应用程序的输入字段中插入恶意SQL语句,从而绕过应用程序的验证机制,获取或修改数据库中的数据。防范SQL注入可以使用参数化查询、输入验证和过滤等方法。
2. XSS
- 总结:面试官询问XSS,求职者回答了XSS三种类型、特点和触发方式。
- 分析:回答较为全面,但可以进一步举例说明。
- 扩展回答:XSS(跨站脚本攻击)分为反射型、存储型和DOM型。反射型XSS是指攻击者构造的恶意脚本作为参数提交给服务器,服务器返回包含该脚本的页面,用户访问时触发攻击。存储型XSS是指恶意脚本被存储在服务器的数据库中,当其他用户访问相关页面时触发攻击。DOM型XSS是通过修改或读取document的属性和方法进行攻击,且不与服务器进行交互。例如,在一个搜索框中输入恶意脚本,服务器将搜索结果返回并包含该脚本,这可能是反射型XSS;如果将恶意脚本存储在留言板数据库中,其他用户查看留言时触发攻击,就是存储型XSS。
3. 反射型XSS和DOM型XSS的区别
- 总结:面试官询问反射型XSS和DOM型XSS的区别,求职者回答了DOM型XSS的特点。
- 分析:回答较为准确,但可以从更多角度对比两者区别。
- 扩展回答:反射型XSS依赖于服务器返回包含恶意脚本的页面,通常是通过URL参数传递恶意脚本,攻击过程需要服务器参与。而DOM型XSS主要是在客户端通过修改或读取DOM对象来执行恶意脚本,不涉及服务器对恶意脚本的处理。从攻击场景来看,反射型XSS常见于搜索框、表单提交等场景;DOM型XSS更多出现在使用JavaScript动态修改页面内容的场景。
4. 挖过的有趣漏洞
- 总结:面试官询问挖过的有趣漏洞,求职者表示按实际情况回答。
- 分析:该问题考察求职者的实际渗透测试经验和对漏洞的分析能力。
- 扩展回答:在实际挖洞过程中,有趣的漏洞往往具有一定的隐蔽性和利用价值。例如,发现一个网站存在逻辑漏洞,攻击者可以通过构造特殊的请求绕过业务规则,获取额外的权限或数据。在描述漏洞时,应详细说明发现过程、漏洞原理、利用方法和影响范围。
三、应急响应相关问题总结与分析及扩展回答
1. Linux被上传webshell如何查杀
- 总结:面试官询问Linux被上传webshell如何查杀,求职者回答了通过top、ps等命令查看进程,结合在线云沙箱分析,排查开机启动项、定时任务和日志等方法。
- 分析:回答有一定的思路,但不够完善,对于如何快速准确找到webshell的方法不够明确。
- 扩展回答:除了上述方法外,可以使用文件特征匹配工具,如Yara规则匹配,通过定义webshell的特征规则来查找可疑文件。还可以使用rkhunter等工具检测系统是否被rootkit感染,因为rootkit可能会隐藏webshell进程。另外,分析网站日志,查找异常的文件上传请求和访问记录,也有助于定位webshell。
2. 除杀进程外快速找到webshell的方法
- 总结:面试官询问除杀进程外快速找到webshell的方法,求职者表示不了解。
- 分析:这是对webshell查杀方法的进一步追问,不了解该方法显示出在应急响应方面的知识储备不足。
- 扩展回答:可以使用文件完整性检查工具,如tripwire,定期对系统文件进行备份和检查,当发现文件被修改时,可能存在webshell。还可以通过分析文件的访问权限和修改时间,查找异常的文件。例如,一些webshell文件可能会被设置为高权限,或者修改时间与正常业务操作不符。
3. 日志查看
- 总结:面试官询问是否会看日志,求职者回答看过,提及主要查看时间、源ip、请求内容、登录日志和事件码等。
- 分析:回答较为全面,但可以进一步说明如何通过日志分析发现异常。
- 扩展回答:在查看日志时,要关注异常的时间点,如非工作时间的登录记录。对于源ip,要注意是否有外部异常ip的大量访问。请求内容中,如果出现异常的SQL语句、文件上传请求等,可能存在安全风险。通过对登录日志和事件码的分析,可以了解系统的操作记录和异常事件,及时发现潜在的攻击行为。
4. 护网行动
- 总结:面试官询问护网行动是做什么的,求职者回答护网行动是攻防演练活动,蓝队分为监控和应急响应溯源两组,先期会进行资产梳理和预渗透加固。
- 分析:回答较为准确,但可以进一步说明护网行动的重要性和具体工作流程。
- 扩展回答:护网行动是为了提高国家关键信息基础设施的安全防护能力而开展的攻防演练活动。蓝队的监控组要实时监控网络流量和安全设备的报警信息,及时发现潜在的攻击行为。应急响应和溯源组在发现攻击后,要迅速采取措施进行应急处理,并追踪攻击者的来源。资产梳理和预渗透加固是护网行动的前期准备工作,通过对企业的资产进行全面梳理,发现潜在的安全漏洞并进行修复,提高系统的安全性。
5. 大流量环境中快速判断报警
- 总结:面试官询问在大流量环境中如何快速对报警进行判断,求职者回答了根据相同源ip请求判断误报,以及通过查看参数判断扫描器或爆破。
- 分析:回答有一定的思路,但不够全面,面试官提示有四种情况但求职者遗忘。
- 扩展回答:除了上述方法外,还可以通过分析报警的频率和规律来判断是否为误报。如果某个报警频繁出现且具有一定的规律性,可能是系统配置问题导致的误报。另外,可以结合威胁情报,查看报警的源ip是否在已知的恶意ip列表中。还可以对报警的内容进行深入分析,判断是否符合常见的攻击模式,如是否存在SQL注入、XSS等攻击特征。
