网安面试题1

深信服厂商面
自我介绍
我看到你介绍里面有提到独立设计网络拓扑图，你知道内网有哪些攻击途径吗
护网红队有什么成果
sql注入有哪些类型
sql注入的防御方式
讲一个你工作中遇到的应急响应
怎么判断内网的攻击是不是真实攻击
Windows中了勒索病毒你应该怎么办
linux被上传了webshell应该怎么处理
文件上传怎么绕waf
log4j漏洞原理和流量分析
shiro漏洞原理
漏洞的流量分析说几个
你接触过什么安全设备
SSRF漏洞了解吗，利用方式有用过吗
spring boot rce
框架漏洞讲几个
你用过全流量设备嘛，qax的天眼这些
了解过内存马吗
预编译为什么可以防止sql注入
平时挖什么类型的漏洞多一点

内网有哪些攻击途径：
钓鱼邮件获取初始访问权限。
弱口令爆破。
SMB/RDP横向移动。
提权攻击。
凭证窃取（如Mimikatz）。
权限维持和后门安装。

护网红队成果：
初始入侵点发现：如未打补丁的漏洞或弱口令。
横向移动：利用凭证或漏洞扩展权限
数据窃取与模拟持久性攻击

SQL注入类型：
联合查询注入（Union-based）
布尔盲注
时间盲注
堆叠查询注入

SQL注入的防御方式：
预编译语句
输入验证与过滤
使用ORM框架
最小权限原则

应急响应案例：
勒索病毒爆发后的应急响应，通过断网隔离感染主机，分析恶意软件行为并溯源其感染路径，同时利用备份恢复重要数据。

判断内网攻击是否真实：
网络流量分析：查看异常流量
日志分析：查找异常登录、文件访问等行为
威胁情报匹配：与已知攻击手段对比
主机入侵监测：检查系统中的可疑文件或进程

Windows中了勒索病毒处理方式：
立即断网隔离，检查病毒传播范围，利用备份恢复文件，分析勒索软件行为，寻找解密工具，修补漏洞，防止二次感染。

Linux被上传WebShell的处理：
隔离受感染主机
定位并删除恶意WebShell
分析Web日志找出入侵路径
修复安全漏洞（如权限、补丁）

文件上传绕过WAF：
改文件扩展名
文件名编码
使用分块上传或通过Base64绕过
利用WAF规则的弱点（如字符过滤不当）

Log4j漏洞原理与流量分析：
Log4j漏洞（CVE-2021-44228）是因其处理日志信息时允许JNDI注入恶意代码，导致远程代码执行，流量分析可以通过监测不正常JNDI请求或者异常回连行为来发现利用行为。

Shiro漏洞原理：
Apache Shiro漏洞的利用通常是通过伪造Shiro的RememberMeCookie进行反序列化攻击，获取服务器权限。

漏洞流量分析举例：
SQL注入：检测异常的SQL查询或关键字
XSS：监测不正常的脚本执行流量
RCE漏洞：不寻常的命令执行流量或异常的回连行为

接触过的安全设备：
防火墙，IDS/IPS,WAF,全流量分析设备（如QAX天眼），SIEM等

SSRF漏洞与利用方式：
SSRF漏洞可以通过想内部服务发送请求获取敏感数据或进行端口扫描，常用于访问云端元数据服务。

Spring Boot RCE：
Spring Boot RCE漏洞通常是由于不安全的反序列化或不当的参数绑定导致的远程代码执行。

框架漏洞：
Struts2漏洞（OGNL表达注入）
Shiro反序列化漏洞
Fastjson漏洞

全流量设备的使用：
使用类似QAX天眼的全流量设备进行网络流量监控和安全事件分析，检测异常通信和潜在威胁。

内存马：
内存马时攻击者将恶意代码植入到JVM内存中的技术，以便在不修改文件系统的情况下维持后门。

预编译防止SQL注入的原因：
预编译将SQL查询与用户输入分离，避免了用户输入被当作SQL代码执行，从而防止SQL注入。

平时挖掘的漏洞类型：
平时多关注Web应用漏洞，如SQL注入、XSS、文件上传、SSRF等。