文章目录
-
- 面试官的问题:
-
-
- 1、面试官先就是很常态化的让我做了一个自我介绍
- 2、自我介绍不错,听你讲熟悉TOP10漏洞,可以讲下自己熟悉哪些方面嘛?
- 3、sql注入原理可以讲下嘛?
- 4、sql注入绕WAF有了解嘛,平常有挖过相关漏洞嘛?
- 5、那sql报错盲注呢,可以讲下嘛,包括相关的常用函数?
- 6、可以讲下WAF的分类和原理吗?
- 7、那你去年护网去的哪?是走哪家大厂护网?什么岗位?
- 8、可以简单讲下你在护网期间最让你印象深刻的是什么吗?
- 9、那你护网期间使用过什么安全设备吗?
- 10、那简单讲下你用的天眼的一些功能以及常用的检索语法吧?
- 11、你做过应急响应相关的工作吗,可以讲下吗?
- 12、webshell连接工具菜刀的流量特征讲下?
- 13、Java反序列化漏洞了解吗?可以讲下你了解哪些吗?
- 15、那内存马有了解吗,以及如何进行检测内存马?
- 16、那内存马清除呢,知道吗?
-
- 面试结果:通过
- 面试难度:一般
- 面试感受:
- 给大家的建议:
所面试的公司:某科技
所在城市:北京
面试职位:国护蓝中研判岗
面试过程:
腾讯会议(视频)
面试过程:整体流程就是自我介绍加上一些问题问题balabalabala。。。这次面试是我前几天的真实护网面试,面的是长亭的研判岗。回答部分基本上是我的原答案,不保证正确。面试官是从简单到难,然后开始进行面试的,后面问了很多Java反序列化、免杀以及内存马的相关问题。(后面感觉还是蛮难的)
面试官的问题:
1、面试官先就是很常态化的让我做了一个自我介绍
自我介绍的大致内容这里就先忽略,这里给大家分享下自我介绍的几个部分吧。
师傅们可以看你自己是面试什么岗位,比如实习啊还是社招还是一年一次的护网啊什么的。
这里今天我就给师傅们分享下我的护网面试自我介绍的简单介绍吧:
因为是护网,技术面试,不像实习啊社招什么的,主要还是以技术技能为主,以及你的做过的项目经验等。所以你可以先跟面试官介绍下你的相关专业技能 让面试官简单了解你会什么,熟悉什么。其次就是介绍你的项目经验 了,你可以把你在学校或者在实习参加过的一些项目啊,比如以前参加过的护网项目、渗透测试、漏洞挖掘等都可以跟面试官介绍下。还有就是你的工作经验 ,要是有过工作经验以及实习网络安全相关的经验,肯定是加分项的。还有就是在校获奖,比如常打的CTF比赛之类的都可以跟面试官讲下。
2、自我介绍不错,听你讲熟悉TOP10漏洞,可以讲下自己熟悉哪些方面嘛?
自己的话熟悉TOP10漏洞,以及当前主流的web漏洞SQL注入、文件上传、XSS等漏洞的原理和防御,以及相关漏洞的一些组合拳等都是有搞过的。
3、sql注入原理可以讲下嘛?
攻击者利用SQL语句或字符串插入到服务端数据库中,通过一些字符单引号、双引号,括号、and、or进行报错,获取数据库敏感信息。
4、sql注入绕WAF有了解嘛,平常有挖过相关漏洞嘛?
sql注入的waf绕过的话平常有做过,包括src漏洞挖掘相关也是挖过sql注入的漏洞,以及绕过方面也有相关经验。
5、那sql报错盲注呢,可以讲下嘛,包括相关的常用函数?
报错盲注的话是xpath语法错误,,最大回显长度32;
常用函数:updatexml()、floor()
但是一般上waf了的话updatexml()、floor()函数一般都会被ban掉,所以一般都会上网找一些别的函数替代,比如ST_LatFromGeoHash()、ST_LongFromGeoHash()函数。
6、可以讲下WAF的分类和原理吗?
WAF分类:WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型指的是虚拟机WAF之类的,嵌入型指的是web容器模块类型WAF。
7、那你去年护网去的哪?是走哪家大厂护网?什么岗位?
去年去的山东烟台恒丰一个银行;
走的奇安信;
蓝中研判岗。
8、可以简单讲下你在护网期间最让你印象深刻的是什么吗?
一次就是护网的钓鱼邮件,有好几次的钓鱼邮件让我分析,然后那个钓鱼邮件的网站是某个政府的页面,但是里面需要填身份信息,然后分析过好几次,印象比较深。还有就是后面最后那几天,情人节那天,银行那边的财务部分好像就是被打穿了,然后领导搁那24小时值班,太累了,印象深刻。
9、那你护网期间使用过什么安全设备吗?
护网期间使用的安全设备:奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等
10、那简单讲下你用的天眼的一些功能以及常用的检索语法吧?
就是里面有很多的检索功能,以及一些匹配策略,还有一些小工具,比如解码小工具蛮常用的。比如天眼里面的运算符有:AND/OR/NOT等,都是需要大写
11、你做过应急响应相关的工作吗,可以讲下吗?
(这里我就给师傅们总结好吧,这里我是先讲应急响应的具体思路步骤,然后讲了一个我的重保期间的应急响应)
应急响应具体步骤:
(1)首先检测有没有 可疑的账号**
(2)history指令查看 历史命令**
(3)检查 异常端口和进程**,netstat检查异常端口,ps检查异常进程
(4)查看一些系统日志以及常见的web安全日志
(5)然后利用**查杀工具,比如D盾
12、webshell连接工具菜刀的流量特征讲下?
连接过程中使用base64编码进行加密,其中两个关键payload z1 和 z2
然后还有一段以QG开头,7J结尾的固定代码
数据包流量特征:
1,请求体中存在eval,base64等特征字符
2,请求体中传递的payload为base64编码
13、Java反序列化漏洞了解吗?可以讲下你了解哪些吗?
Shiro-550 反序列化、log4j2远程代码执行漏洞、JNDI注入漏洞、Fastjson反序列化漏洞以及Weblogic反序列化漏洞。
####14、有复现过吗,以及挖过相关的漏洞之类的?
这里我说我利用vulhub以及docker和IDEA相关工具和平台这些漏洞都复现过,然后挖过shiro以及weblogic的漏洞,然后讲大多都是利用工具进行资产收集然后挖的。(后来师傅也没多问别的了)
15、那内存马有了解吗,以及如何进行检测内存马?
首先判断是什么方式注入的内存马,
可以通过查看web日志 ,以及看是否有类似哥斯拉、冰蝎的流量特征 ,
如果web日志中没有发现,那么我们就可以排查中间件的error.log日志
16、那内存马清除呢,知道吗?
因为内存马清除相关知识不是很了解,所以我就简单的讲了下利用工具,比如河马、D盾等进行webshell查杀清除。
后来面试官就没问我什么了,就再问了下我有时间去护网吗等一些问题。
面试结果:通过
面试难度:一般
面试感受:
护网面试的话,这次我感觉面的相对去年来讲不是很好,去年面试了一个多小时才去的蓝中研判岗,今年问了半个小时就结束了,但是面试还是通过了,我觉得主要是自我介绍以及简历相关做的比较好。
给大家的建议:
这次面试是前一个星期面试的,面试是通过了,但是今年全国的各单位护网都是改成两个月的常态化了,所以时间方面没有协调好,时间太长了,护网12小时身体吃不消以及一些资金方面怕没保障,就没有同意签合同。
这里还是开头讲的,简历以及自我介绍大家一定要搞好,自我介绍最好是背背模板啥的,这样面试官对你的第一印象要好点。
最好希望这篇护网面试能够对师傅们有帮助!!!