HW面试经验分享 | 某安全厂商护网二面

图片

某厂商蓝队初级二面分享

所面试的公司:某安全厂商

薪资待遇:待定

所在城市:上海

面试职位:蓝队初级

面试过程:感觉良好,就是有个别的小问题,没有说好。

面试官的问题:


第1个问题(自我介绍)
hr:先自我介绍一下
I:面试官你好,我叫xxx,来自xxxxxx是一名大二在校生,学的专业是计算机网络技术,在校期间我参加过python程序设计实验室,编写过简单python爬虫脚本(如爬取豆瓣数据之类的)。专业技能的话,我熟悉常见的web漏洞和渗透测试工具的使用,然后我利用所学的专业技能,在漏洞盒子上提交过一些漏洞。我个人比较认真负责,喜欢和志同道合的人研究技术,每天都会锻炼,去预防职业疾病。最后,综上,我认为我的校园学习,我所掌握的能力,以及我做过的项目。我能够胜任这个渗透测试工程师(xxx)的岗位。
我的自我介绍完毕。

第2个问题(安全设备)
hr:你有没有接触过哪些安全设备
I:入侵防御系统IPS,入侵检测系统IDS防火墙数据库审计系统日志审计系统堡垒机漏洞扫描系统数据安全态势感知平台终端安全管理系统WAF蜜罐

第3个问题(误报)
hr:基于IDS的告警,怎么判断哪些是误报,哪些是确实攻击的
I:(1)设备误报:
来自外网的误报说明安全设备需要进行策略升级,不需要处置。
如果是来自内网的误报可以和负责人协商一下看能不能解决,
有必要的话添加白名单处理。(2)如果像SQL注入的误报:
先看ip,如果ip是公司内部的再看内部人员有没有相关操作,如果不是公司人员业务的操作那就是攻击了,然后分析payload,分析它写的payload安全设备能否它进行过滤拦截,如果它确实能绕过,那就应该攻击成功了,成功的话赶紧上报,做应急响应,做出相应处理,添加过滤规则,修改数据库中能修改的数据比如管理员账号密码啥的

第3.1个问题(Shiro反序列化漏洞利用的告警,怎么判断它攻击成功)
hr:如果看到一条告警是Shiro反序列化漏洞利用的一条告警,那么怎么确定是真实的,而不是数据交互产生的误报
I:xxx(这我不知道,下面是问AI的)1.确认告警来源:确认该告警来源,是通过安全设备观察和检测到的还是通过其他方式发现的。确认告警来源可以规避数据交互产生的误报问题。

2.了解Shiro反序列化漏洞利用的原理:了解Shiro反序列化漏洞利用的原理可以帮助我们判断告警的真实性。

Shiro是一款Java安全框架,其中的Session序列化过程中存在反序列化漏洞。攻击者可以利用该漏洞,构造恶意Session序列化数据,通过反序列化来执行远程代码或对Session数据进行篡改。因此,如果确认该系统中存在Shiro反序列化漏洞,那么该告警可能是真实的。

3.检查攻击来源和目标系统:

如果检查发现攻击来源与目标系统都在同一内部网络中,并且该内部网络中已知存在Shiro反序列化漏洞,那么该告警的真实性更高。

4.检查攻击行为:如果检查发现攻击行为与已知的Shiro反序列化漏洞利用方法相同,例如尝试构造恶意Session序列化数据进行反序列化,或者在Session中存储恶意数据,那么该告警的真实性也更高。

总之,要确定该告警是否真实,需要通过多个方面进行确认,同时需要加强安全审计和监控,通过对系统漏洞进行及时修补和更新以及强化数据安全以防止安全漏洞的利用。


第3.2个问题(SQL注入,延时注入的告警,怎么判断它攻击成功)
hr:如果看到SQL注入,延时注入的告警,你怎么判断它攻击成功
I:

xxx(面试的时候,我说和上面的误报差不多一样的,然后问了下AI,就感觉说的不是很好)

要判断SQL注入,延时注入是否攻击成功,可以参考以下几个方面来进行判断:


1.审查目标数据库记录:如果攻击成功,攻击者通常能够从数据库中检索,修改或删除敏感数据。通过审查数据库记录可以判断攻击是否成功。如果发现敏感数据被修改、增加或删除等异常行为,那么有可能是攻击成功了。

2.检查数据库日志:数据库常常会记录访问和执行查询的日志,攻击者在利用SQL注入攻击时也会生成一些异常SQL查询语句。可以通过检查SQL查询语句的日志来判断是否存在异常查询语句,这些查询语句可能是攻击者用来执行恶意操作的。

3.分析网络流量:可以通过分析网络流量来判断SQL注入或延时注入攻击是否成功。如果攻击成功,数据通常会被发送到攻击者的服务器,可以根据网络流量的情况来判断是否攻击成功。可以使用网络监控工具实时查看网络流量,对异常流量进行分析和跟踪。

4.使用SQL注入漏洞测试工具:可以使用SQL注入漏洞测试工具来进行测试,确认漏洞是否真的存在以及攻击是否成功。

需要注意的是,判断SQL注入或延时注入攻击是否成功并不是一件容易的事情,需要进行逐个的审计和验证。同时,要注意在处理SQL注入攻击时,不要随便删除或修改数据库中的数据,需要先备份数据库再进行操作,以免误操作影响业务运行。


第4个问题(应急响应)
hr:你之前有没有进行过,应急响应的工作
I:应急响应基本思路流程:
收集信息:收集客户信息和中毒主机信息,包括样本
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
抑制范围:隔离使受害⾯不继续扩⼤
深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
产出报告:整理并输出完整的安全事件报告

第5个问题(溯源)
hr:你有没有对溯源,进行过了解
I:基本步骤:
1.攻击源捕获安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等日志与流量分析,异常的通讯流量、攻击源与攻击目标等服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等邮件钓鱼,获取恶意文件样本、钓鱼网站 URL 等蜜罐系统,获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息
2.溯源反制手段IP 定位技术根据IP定位物理地址–代理 IP溯源案例:通过 IP 端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息ID 追踪术ID 追踪术,搜索引擎、社交平台、技术论坛、社工库匹配溯源案例:利用 ID 从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息网站 url域名 Whois 查询–注册人姓名、地址、电话和邮箱 --域名隐私保护溯源案例:通过攻击 IP 历史解析记录/域名,对域名注册信息进行溯源分析
恶意样本分析提取样本特征、用户名、ID、邮箱、C2 服务器等信息–同源分析溯源案例:样本分析过程中,发现攻击者的个人 ID 和 QQ,成功定位到攻击者
社交账号基于 JSONP 跨域,获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等利用条件:可以找到相关社交网站的 jsonp 接口泄露敏感信息,相关网站登录未注销
3.攻击者画像攻击路径攻击目的:拿到权限、窃取数据、获取利益、DDOS 等网络代理:代理 IP、跳板机、C2 服务器等攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等攻击者身份画像虚拟身份:ID、昵称、网名真实身份:姓名、物理位置联系方式:手机号、qq/微信、邮箱组织情况:单位名称、职位信息

技巧

    域名、ip 反查目标个人信息
    支付宝转账,确定目标姓氏
    淘宝找回密码,确定目标名字
    企业微信手机号查公司名称
    REG007 查注册应用、网站
    程序 PDB 信息泄露


第6个问题(内网渗透:票据伪造的原理)
hr:票据伪造的原理
I:xxx(说的不是很清楚,就不写了,学过内网的话,也知道是怎么回事,下面是问AI的)在内网渗透中,票据伪造是攻击者获取内部系统访问权限的一种重要手段。在内网渗透中,攻击者常常使用以下方式进行票据伪造:1.Kerberos票据伪造:Kerberos是内部网络中常用的身份验证协议,攻击者可以在各种方式下获取了Kerberos票据,或者直接访问被保护资源后通过Kerberos票据离线生成票据。攻击者可以使用这些票据来进行Kerberos票据伪造,并将伪造的票据发送给目标系统,从而获得对目标系统的访问权限。此外,攻击者还可以针对Kerberos协议中的安全漏洞进行攻击,从而获取Kerberos票据并进行伪造。2.NTLM票据伪造:NTLM票据也是内部网络中常用的身份验证方式。攻击者可以利用各种方式来获取NTLM票据,然后使用NTLM票据伪造技术来发送伪造的NTLM票据,从而获取对目标系统的访问权限。3.Web应用程序漏洞:许多内部网络中的Web应用程序存在漏洞,攻击者可以利用这些漏洞来获取目标用户的票据,并使用票据伪造技术来修改票据内容或伪造票据,以获得访问目标系统的权限。4.会话劫持:攻击者可以利用会话劫持技术,伪造目标用户的会话,从而获取访问目标系统的权限。总之,在内网渗透中,攻击者通过大量的内部信息收集和渗透测试,获得相应系统的权限和票据,然后使用票据伪造技术来实现身份欺骗,进而深入渗透系统。因此,防范票据伪造攻击的关键在于加强身份验证、限制用户权限、审查安全漏洞和及时修补和更新系统补丁,以及集中管理票据等措施。

面试结果:待通知(要等国护发通知,然后厂商根据客户的需求,再结合我的水平,才能确定,是否能够发我offer)

面试难度:我感觉简单(可能是我面的多的原因吧)

面试感受:在学的扎实的情况下,除了一些其他问题,剩下的都能说出来。

如果,面试的时候,面试官问的问题,你知道,你也做过,但是有点模糊,你就和面试官说一下,给我想一分钟或者想30秒。

像我票据的问题,我知道怎么说,但是没有和面试官说让我想一下,不然我觉得我可以说的更清楚,说的更好

给大家的建议:多面试,就知道问什么了

  申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/832838.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RFID射频识别中的高频HF

RFID,即 Radio Frequency Identification 射频识别技术,是一种非接触式的自动识别技术,通过无线射频方式进行非接触双向数据通信, 对电子标签或射频卡进行读写, 从而完成读写器与标签之间的数据通信, 实现识…

golang中的继承和组合的区别

go语言中的继承 指的是一个结构体中采用匿名的方式包含另外一个结构体 这个就叫做继承, 注意这里的匿名 组合 一个结构体用命名的方式包含另外一个结构体,这个就叫做组合 继承代码示例 type A struct {Name stringAge int}type B struct {Addr string…

5V升9V2A升压恒压WT3231

5V升9V2A升压恒压WT3231 WT3231,一款性能卓越的DC-DC转换器,采用了集成10A、26mΩ功率的MOSFET电源开关转换器。它能够输出高达12V的电压,稳定可靠。这款产品以固定的600KHz运行,因此可以使用小型的外部感应器和电容器&#xff0…

AWTK 集成 OGRE 3D 图形引擎

本项目演示了如何在 AWTK 中集成 OGRE3D。 0. 准备 先编译 AWTK, 并在 env.sh 中设置 awtk 的路径。需要安装 cmake 1. 生成资源 python scripts/update_res.py all2. 编译 设置环境变量 source env.sh source env_rt.sh编译 ogre 库 cd 3rd build_assimp.sh build_ogre.…

dockerk8s常用知识点

1、什么是docker 容器化和虚拟化对比 ▪开源的应用容器引擎,基于 Go 语言开发 ▪容器是完全使用沙箱机制,容器开销极低 ▪Docker就是容器化技术的代名词 ▪Docker也具备一定虚拟化职能 docker三大核心: Docker Engine: 提供了一个可以用来运行和管…

普源示波器测量相位差的原理和方法

普源示波器是一种常用的电子测试设备,它可以测量电路中的电压和电流波形。其中,测量相位差是示波器的一个重要功能,它可以用于分析信号的时间延迟、相位差、频率响应等信息。本文将介绍普源示波器测量相位差的原理和方法,并通过实…

rmallox勒索病毒肆虐,如何保护网络安全?

rmallox勒索病毒与网络安全的关系可以从以下几个方面来阐述: 一、rmallox勒索病毒的特性 rmallox勒索病毒是一种极具破坏性的计算机病毒,它具有多个显著特性,这些特性使得该病毒对网络安全构成了严重威胁。具体来说,rmallox病毒具…

域名不变根据系统判断手机和端脑h5pc自动转发不同请求

同一个域名,手机端和电脑端请求的页面不一样,但是域名要求不变,现在有两个前端代码,分别跑在两个docker里面,一个为app1另外一个是app2,暴露的端口分别是8080,8081,通过nginx将请求反代到两个do…

使用Three.js开发一个3D案例Demo

使用Three.js开发一个3D案例 最近在找工作,发现好多招聘要求都需要会Three.js,以前接触比较多的是2D开发,也就是平面开发,用到的做多的技术就是d3.js,现在3D开发已经成为了大势所趋,所以就学习下Three.js。…

typescript综合练习1(展开音乐播放列表)

Playlist Soundness What’s up, friend?! I’m so pumped you’re joining us. We’ve got a sick project we could totally use your help on! See, someone’s giving us amazing recommendations for songs to play. But they’re not just coming in as songs. Someti…

AtCoder Beginner Contest 336 D题 Pyramid

D题:Pyramid 标签:动态规划、前缀和题意:金字塔型序列: 1 、 2... k − 1 、 k 、 k − 1...2 、 1 1、2...k-1、k、k-1...2、1 1、2...k−1、k、k−1...2、1。给定一个长度为 n n n的序列 a i a_i ai​,可以进行重复…

MySQL入门学习-关系型数据库.数据库

MySQL是一种关系型数据库管理系统(RDBMS),也是一种开源数据库。关系型数据库是一种以表格形式存储数据的数据库,数据之间通过键值关联起来。 一、MySQL具有以下特点: 1. 可扩展性: MySQL可以在不同的操作…

物料厘不清?企业如何做好“物料管理”

物料包括原材料、半成品、成品、辅助用品以及生产过程中必然产生的边角余料、废料等。在制造企业中,各个部门的业务流程几乎都要用到物料: 销售和订单录入部门要通过物料确定客户定制产品的构形; 计划部门要根据物料来计划物料和能力的需求…

js遍历数组将数组中属性名相同的属性值组成新的数组再转化成字符串并换行(js换行和html换行不同)

{label: 告警结果,display:true, html:true,formatter:(row)>{let list ""if(row.funRes&&row.funRes.length){let propName value; list row.funRes.map(obj > {return <span style"vertical-align: text-top;padding-right: 2px;">…

使用Flink SQL实时入湖Hudi/Hive

文章目录 1 Hudi 简介2 COW和MOR3 接入COW模式Hudi表4 使用Flink SQL查看新接表5 使用Hive查看新接表6 总结 1 Hudi 简介 Hudi是一个流式数据湖平台&#xff0c;使用Hudi可以直接打通数据库与数据仓库&#xff0c;连通大数据平台&#xff0c;支持对数据增删改查。Hudi还支持同…

如何应对访问国外服务器缓慢的问题?SDWAN组网是性价比之选

访问国外服务器缓慢通常由以下原因造成&#xff1a; 1、政策限制&#xff1a;我国管理互联网&#xff0c;限制部分国外网站和服务器&#xff0c;以维护国家安全稳定。 2、技术障碍&#xff1a;国内与国际互联网的网络架构和协议存在差异&#xff0c;可能导致数据传输不兼容。 …

数据结构——图的基础知识与其表示

一&#xff1a;定义 由顶点的集合和边的集合组成&#xff1b;常以 G(V,E) 表示&#xff0c;G 代表图&#xff0c;V代表 顶点的集合&#xff0c;E代表边的集合&#xff1b; 如图&#xff1a; 在G1图中&#xff0c;有 0~4 五个顶点&#xff0c;有 0-1&#xff0c;0-2&…

Tomcat同时支持http及https

Tomcat同时支持http及https 1、Tomcat同时支持http及https2、Springboot同时支持http及https 1、Tomcat同时支持http及https <Connector port"8443" protocol"org.apache.coyote.http11.Http11NioProtocol" maxThreads"150" SSLEnabled"…

V23 中的新功能:LEADTOOLS 展示了它的 EXCEL-lence

LEADTOOLS (Lead Technology)由Moe Daher and Rich Little创建于1990年&#xff0c;其总部设在北卡罗来纳州夏洛特。LEAD的建立是为了使Daher先生在数码图象与压缩技术领域的发明面向市场。在过去超过30年的发展历程中&#xff0c;LEAD以其在全世界主要国家中占有的市场领导地位…

苹果自研大语言模型“Ajax“ 助力iOS 18升级;Stack Overflow与OpenAI建立API合作伙伴关系

&#x1f989; AI新闻 &#x1f680; 苹果自研大语言模型"Ajax" 助力iOS 18升级 摘要&#xff1a;苹果公司预计通过自研大语言模型Ajax来为iOS 18和Siri带来重大升级&#xff0c;但不计划推出类似ChatGPT的AI聊天机器人。Ajax模型基于Google的Jax框架&#xff0c;并…