2023护网面试资料整理

2023护网将至，结合学长们及自己面试护网被问到的问题做了些整理，如有问题请多多指教,希望大家都能顺利通过！

1.自我介绍
描述自己的真实情况即可，可能直接影响到面试官后续问题的难度。

2.有没有接触过哪些安全设备?
描述自己接触过的设备即可，没有就说没有。

3.基于IDS的告警，怎么判断哪些是误报，哪些是确实攻击的。

首先看请求包中有无命令执行的函数如exec(),system()等，如果有则为攻击，再查看IP地址，如果为外网地址则属于攻击事件，如果为内网，查看该地址是否为网关地址，如果是继续查询上一跳地址直到确认外网地址，确认为攻击事件后，查看响应包中是否携带命令执行结果，或其他敏感信息为事件定级。如果没有明显的函数，查看请求包中的数据是否有base64或其他加密方式的信息，进行解密查看，都没有则查看返回包中是否有命令执行结果或敏感数据进行进一步判断。

4.Shiro反序列化漏洞利用的告警，怎么判断它攻击成功?

查看响应数据中是否有命令执行结果的返回，分析请求包数据是否含有攻击内容。

5.SQL注入有哪些类型

回显注入：    可以直接在页面中获取查询的数据。
宽字节注入：    使用GBK格式，利用两个Url编码等于一个汉字的特点，可进行单引号逃逸。
报错注入：    查询返回结果并没有在页面中显示，但是数据库报错信息打印在了页面中。
布尔盲注：    数据库查询结果无法从直观页面中获取，但是可通过数据库逻辑获得想要的内容，如and 1=1有数据，and 1=2没有数据。
时间盲注：    常用seleep通过延时查询数据库数据。

6.SQL注入怎么修复？
1.使用waf。
2.过滤关键字。
3.预编译
7.什么是预编译?
提前编译处理语句，将用户输入作为字符串处理。

8.shiro反序列化有哪些类型
Shiro721： 密码无法爆破，可使用rememberMe值作为prefix，加载Payload，进行Padding Oracle攻击。
Shiro550： shiro550使用已知密钥碰撞，只要有足够密钥库，不要Remember cookie。
9.weblogic有哪些漏洞?
未授权访问 通过url编码的../可构造进入控制台页面。
还有很多不列举太累了大多是远程命令执行等，可自行百度了解一下，面试如果被问到可先回答未授权访问然后再用话术绕过。
10.平时src挖过哪些漏洞
描述真实情况即可，没有的话可以适当挑几个靶场当成真实经历描述。

11.应急响应
1.Windows首先查看系统日志eventvwr.msc，代码4624代表登录成功，4625代表登录失败，结合时间判断密码是否被爆破。
2.查看系统账户查看有无新添加的账户、未知用途账户及弱口令账户。
3.通过注册表查看有无隐藏账户在LOCAL_MACHINE/SAM/SAM下若出现账户列表没有的账户则为隐藏账户。
4.检查端口服务及进程，查看是否有异常项。
5.检查启动项及计划任务。
6.检查用户目录、网站目录、回收站等。
Linux排查项类似Windows。

12.fastjson漏洞利用原理
请求包里面中发送恶意的json格式payload，漏洞在处理json对象的时候，没有对<span class="label label-primary">@type字段进行过滤</span>，从而导致攻击者可以传入恶意的TemplatesImpl类，而这个类有一个字段就是_bytecodes，有部分函数会根据这个_bytecodes生成java实例，这就达到fastjson通过字段传入一个类，再通过这个类被生成时执行构造函数。

如大家在面试中遇到其他问题也可在评论区发表，后续再做补充整理。