所面试的公司:某安全厂商
所在城市:北京
面试职位:国护蓝中研判岗
面试过程:
腾讯会议(视频)
面试过程:整体流程就是自我介绍加上一些问题问题balabalabala。。。这次面试是我前几天的真实护网面试,面的是长亭的研判岗。回答部分基本上是我的原答案,不保证正确。面试官是从简单到难,然后开始进行面试的,后面问了很多Java反序列化、免杀以及内存马的相关问题。(后面感觉还是蛮难的)
面试官的问题:
1、面试官先就是很常态化的让我做了一个自我介绍
自我介绍的大致内容这里就先忽略,这里给大家分享下自我介绍的几个部分吧。
师傅们可以看你自己是面试什么岗位,比如实习啊还是社招还是一年一次的护网啊什么的。
这里今天我就给师傅们分享下我的护网面试自我介绍的简单介绍吧:
因为是护网,技术面试,不像实习啊社招什么的,主要还是以技术技能为主,以及你的做过的项目经验等。所以你可以先跟面试官介绍下你的相关专业技能让面试官简单了解你会什么,熟悉什么。其次就是介绍你的项目经验了,你可以把你在学校或者在实习参加过的一些项目啊,比如以前参加过的护网项目、渗透测试、漏洞挖掘等都可以跟面试官介绍下。还有就是你的工作经验,要是有过工作经验以及实习网络安全相关的经验,肯定是加分项的。还有就是在校获奖,比如常打的CTF比赛之类的都可以跟面试官讲下。
2、自我介绍不错,听你讲熟悉TOP10漏洞,可以讲下自己熟悉哪些方面吗?
自己的话熟悉TOP10漏洞,以及当前主流的web漏洞SQL注入、文件上传、XSS等漏洞的原理和防御,以及相关漏洞的一些组合拳等都是有搞过的。
3、sql注入原理可以讲下吗?
攻击者利用SQL语句或字符串插入到服务端数据库中,通过一些字符单引号、双引号,括号、and、or进行报错,获取数据库敏感信息。
4、sql注入绕WAF有了解吗,平常有挖过相关漏洞吗?
sql注入的waf绕过的话平常有做过,包括src漏洞挖掘相关也是挖过sql注入的漏洞,以及绕过方面也有相关经验。
5、那sql报错盲注呢,可以讲下嘛,包括相关的常用函数?
报错盲注的话是xpath语法错误,,最大回显长度32;
常用函数:updatexml()、floor()
但是一般上waf了的话updatexml()、floor()函数一般都会被ban掉,所以一般都会上网找一些别的函数替代,比如ST_LatFromGeoHash()、ST_LongFromGeoHash()函数。
6、可以讲下WAF的分类和原理吗?
WAF分类:WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型指的是虚拟机WAF之类的,嵌入型指的是web容器模块类型WAF。
7、那你去年护网去的哪?是走哪家大厂护网?什么岗位?
去年去的山东烟台恒丰一个银行;
走的奇安信;
蓝中研判岗。
8、可以简单讲下你在护网期间最让你印象深刻的是什么吗?
一次就是护网的钓鱼邮件,有好几次的钓鱼邮件让我分析,然后那个钓鱼邮件的网站是某个政府的页面,但是里面需要填身份信息,然后分析过好几次,印象比较深。还有就是后面最后那几天,情人节那天,银行那边的财务部分好像就是被打穿了,然后领导搁那24小时值班,太累了,印象深刻。
9、那你护网期间使用过什么安全设备吗?
护网期间使用的安全设备:奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等
10、那简单讲下你用的天眼的一些功能以及常用的检索语法吧?
就是里面有很多的检索功能,以及一些匹配策略,还有一些小工具,比如解码小工具蛮常用的。比如天眼里面的运算符有:AND/OR/NOT等,都是需要大写
11、你做过应急响应相关的工作吗,可以讲下吗?
(这里我就给师傅们总结好吧,这里我是先讲应急响应的具体思路步骤,然后讲了一个我的重保期间的应急响应)
应急响应具体步骤:
(1)首先检测有没有可疑的账号
(2)history指令查看历史命令
(3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程
(4)查看一些系统日志以及常见的web安全日志
(5)然后利用查杀工具,比如D盾
12、webshell连接工具菜刀的流量特征讲下?
连接过程中使用base64编码进行加密,其中两个关键payload z1 和 z2
然后还有一段以QG开头,7J结尾的固定代码
数据包流量特征:
1,请求体中存在eval,base64等特征字符
2,请求体中传递的payload为base64编码
13、Java反序列化漏洞了解吗?可以讲下你了解哪些吗?
Shiro-550 反序列化、log4j2远程代码执行漏洞、JNDI注入漏洞、Fastjson反序列化漏洞以及Weblogic反序列化漏洞。
14、有复现过吗,以及挖过相关的漏洞之类的?
这里我说我利用vulhub以及docker和IDEA相关工具和平台这些漏洞都复现过,然后挖过shiro以及weblogic的漏洞,然后讲大多都是利用工具进行资产收集然后挖的。(后来师傅也没多问别的了)
15、那内存马有了解吗,以及如何进行检测内存马?
首先判断是什么方式注入的内存马,
可以通过查看web日志,以及看是否有类似哥斯拉、冰蝎的流量特征,
如果web日志中没有发现,那么我们就可以排查中间件的error.log日志
16、那内存马清除呢,知道吗?
因为内存马清除相关知识不是很了解,所以我就简单的讲了下利用工具,比如河马、D盾等进行webshell查杀清除。
后来面试官就没问我什么了,就再问了下我有时间去护网吗等一些问题。
面试结果:通过
面试难度:一般
面试感受:
护网面试的话,这次我感觉面的相对去年来讲不是很好,去年面试了一个多小时才去的蓝中研判岗,今年问了半个小时就结束了,但是面试还是通过了,我觉得主要是自我介绍以及简历相关做的比较好。
给大家的建议:
这次面试是前一个星期面试的,面试是通过了,但是今年全国的各单位护网都是改成两个月的常态化了,所以时间方面没有协调好,时间太长了,护网12小时身体吃不消以及一些资金方面怕没保障,就没有同意签合同。
这里还是开头讲的,简历以及自我介绍大家一定要搞好,自我介绍最好是背背模板啥的,这样面试官对你的第一印象要好点。
最好希望这篇护网面试能够对师傅们有帮助!!!
免 / 费 / 资 / 料: zkaq222
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法
