最近一次护网经验分享

山东XXXX 蓝初级

1.之前有参加过HVV吗
参加过
2.HTTP协议的请求方式有哪些？
GET，POST，PUT等
3.SQL注入的原理
注入的数据改变原有的语义，新的语句当作sql语句执行。
4.hvv时怎么判断是不是sql注入
根据请求包 和 响应包判断。
请求包中 sql语句 是否携带 关键函数 或者一些绕过的符号 比如 union ， sleep() ， and 1=1 ， or -1=-1 等
5.怎么判断sql注入是否成功？
sql注入 一般我们在渗透的时候， 使用 显错注入 偏移注入 解决响应包（也就是回显）能带出数据库结果的注入漏洞。 使用 盲注 解决响应包只带出数据库反馈是否的注入漏洞。使用报错注入，主动制造错误，带出数据库反馈。使用 DNS外带 从其他方向带出内容的。
所以在判断sql注入是否成功的时候，首先在设备上筛选出sql注入以及DNS外带(DNS外带的响应包不会列在sql注入请求包的响应包那边)，根据sql注入请求包，判断是否是sql注入，根据响应包状态码 是否200 响应包内是否有回显内容 ，DNS外带域名是否是恶意域名，内容是否是回显内容。
6.xss的原理
注入的数据改变原有的语义，当作JavaScript语句执行。
7.csrf和ssrf有什么区别？
一个是操纵客户端的；一个是针对服务器的，一般用它去做跳板攻击内网。
8.用过哪些webshell工具?
菜刀蚁剑等
9.流量告警10w+的情况下如何去看告警？
这种情况下抓主要矛盾，什么注入啊什么xss什么乱七八糟的全不管，只看能拿到控制权的。流量设备上看webshell上传 通讯流量 ，冰蝎通讯流量 文件上传成功，cs心跳包等观察内网主机是否有对其他主机进行高危端口扫描。如果有主机侧设备，能够检测到东西向流量那就很棒棒了，同网段扫描基本也都监测的到了，同时用主机测设备监测 主机执行的异常命令，异常通讯，拉个客户方运维群，观察是否有 黑客上线以后常用命令 比如whoami ，一发现就联系运维是否本人执行，确定黑客攻击行为，断网，上机检查，同时在流量设备上通过IP找有没有这个攻击，溯源分析，如果没有，那多半是0DAY 或者 通过钓鱼进来的。
10.国护的时候有没有做过应急？
没人扛的时候做过几次，就只是断网，上机删马，下载研判内容 确定是什么。应该不算吧？（事后回想唔他想给我定中？我给否了？）

其他问题记不起来了
面试结果：通过