一面:
如何接触网络安全的
答:在大一时开始接触CTF,那时候开始正式接触安全,然后后面主要是学习的web安全,经常会看先知社区,freebuf,csdn和乌云之类的社区文章学习 ### 有无接触过安全设备 答:没接触过。 ### 是否熟悉windows或者linux命令的使用 答:之前有学习过Linux,对于Linux和Windows的基本命令操作都可以熟悉使用。< !--more--> ### 说一下如何进行信息收集 答:略 ### sql注入写shell的条件 答: 1.拥有root权限 2.知道网站绝对路径 3.开启PHP的全局gpc 4 在写入的目录下有写入权限 ### xss的防御 答:1.进行实体编码 2.对特殊字符进行过滤 ### 说一下ssrf的原理及利用 答:ssrf是一个攻击者构造形成从服务器端发起的安全漏洞,一般在服务器获取图片,文本之类的地方看到有引用其他文件的地方可以尝试一下是否有ssrf存在 利用: 1.可以用来对内网端口扫描 2.进行文件读取 ### 有没有接触过shiro漏洞 答:记着以前复现过shiro的反序列化,主要是在rememberme处,其解析为rememberme的cookie值-- base64--aes解密--反序列化 ### 有没有溯源的经历 答:之前学校图书馆有过一次被入侵的经历,当时去看了一下,由于第一次接触就学了下相关内容 ### 说一下应急响应的基本流程 答:对于Windows端的后门排除 #### 可以使用一些安全工具:d盾,logparser,autoruns,process explorer等 #### 项目检查 注册表启动项 网络连接 恶意进程 系统服务 计划任务
日志分析
可以使用logparser格式化后进行分析
也可以使用Windows的事件查看器进行分析 ####
检查是否存在shift粘滞键后门
对于Linux端 1.查看异常账号 cat /etc/passwd 2.查看进程 ps -ef 丨more
3.查看网络连接 netstat -anplt 4.计划任务 5.系统启动项 6.系统日志
对于web服务器
可以查看中间件配置和相关日志 当然也要考虑浏览器劫持问题 f12查看网络的加载
有没有面试过其他公司的hw
答:没有 ### 期望的薪资是多少
面试难度:易 面试结果:通过
二面:
你好,我们是xxx,请问你是xxx吗,现在方便吗?
答:您好,是的,现在方便,您讲。 ### 你先说一下什么是护网,护网的背景 答:略 ### 说一下hw防守方流程 答:前期需要对资产进行梳理,排查暴露面和敏感信息,中期要7*24h值守,及时写日报和周报,后期就需要总结和整改 ### 你说一下struct2 特征 答:没怎么了解过,只知道有rce漏洞(.action .do) ### 看你简历上有过图书馆溯源经历,你简单说一下溯源经历 答:去年我们学校图书馆又被入侵过,老师让我们过去看一下,因为当时是第一次接触,就学习一下 ### 使用事件查看器查看一下是否存在异常事件 ### 那你说一下异常事件有哪些? 答:这个不是很了解 ### 那你继续说 答:可以查看一下开放的端口,并关闭一些不必要的 ### 那你用什么查看呢 答:netstat -anlpt ### 那你都关闭了那些端口呢 答:这个好像不太记得了,好像关闭了3389之类的,还关闭了一个数据库的应该是,记不清楚了,因为这个图书馆管理系统是老师自己用phpstudy搭建的。当时还查看了一下系统账号发现有几个被人添加过的账号,也存在隐藏用户 ### 那你说一下是怎么发现隐藏账户的呢 答:我记着在注册表的“sam”(当时记不起来具体叫什么了)然后去找是否存在隐藏账号 ### 那隐藏账户有什么特征呢? 答:隐藏账户都会有~(当时忘记了是$,然后hr也有点疑问,但就是没想起来,隐藏用户用$符,当时回答时错说成了~隐藏用户 查看注册表 sam下 domains account users查看users表项中与names表项中项数量是否一致如果一致就没有隐藏用户如果不一致,就对照其他电脑用户注册表,即可找出其他隐藏用户事件查看器,查看异常事件) ### 那你是怎么去查看日志的呢? 答:那个系统是好像一个window2008,使用的是Apache,一般Apache的日志好像是httpd ### 是httpd吗? 答:这个我有些忘记了,不好意思(当时没想出来,logs/access.log和log/error.log) ### hr:行,你的情况我大体了解了,当时候会给个整体反馈,再见。 答:好的,麻烦您了,再见~
面试来的挺突然的,当时刚要去出去吃晚饭,总共聊了10分钟,感觉回答的不是很好,最后凉了😭