HW蓝队面试分享

这几天一直在看相关hw资料，把课程的技术内容都看了几遍，但是突然接到hw面试还是有些慌。
简单分享一下面试内容。
问：做过资产梳理嘛
您说的是信息搜集这块嘛
问：类似于信息收集
主要就是对目标站点找真实Ip、子域名 、旁站、什么系统、开放的端口、服务这些
问:用过什么工具呢
nmap、hydra密码爆破、nessus等（突然有点懵，其他的没想起来）面试小姐姐也是可能有点忙，就直接问下一个问题了
问：那网页显示500是什么原因呢
这个我有点记不得了，我知道200是正常，404访问失败，这块的话就那几个数字，有些记不清了
问:IDS IPS设备有了解过嘛
(上午刚看过IDS IPS资料和一些漏洞复现的技术文章，但是对于设备这块有点懵逼)
最近看的比较多的是应急和溯源方面的东西，Linux安全加固找到资源了还没来得及看，正准备看呢，我了解过一些IDS IPS原理，但是对具体的设备没了解过
问：就是懂原理对吧
嗯嗯
问：那文件包含呢
主要就是Include函数，现在的话可能不会直接就包含一个木马文件，可能会利用file_put_contents()函数重写一个，有一些跳板，不会直接就获取到4
（这里本来想说一下XXE的，但是不想给自己挖坑了，就没说）
问：好的，那密码爆破怎么识别呢
同一个ip对同一个位置多次发包，这个容易看出来
问：我们是蓝队主要分析包的，对于Http包这块呢，除了GET POST还有什么包头
还有COOKIE HEADER REQUEST（差点没想起来REQUEST）
问:怎么识别攻击包呢
比如头部是OPTIONS这个包头，一般游客是不会用这个包头的，这种很大可能就是攻击包
还有一些比如XSS攻击关键字，一句话木马的包，有eval assert这种关键字眼的，可以容易发现是攻击者发的包
问:代码执行了解嘛
主要是几个关键函数，比如eval assert preg_replace create_function 回调函数
我复现过回调函数，preg_replace的话，如果满足条件，可以直接执行.php木马文件
问:中间件漏洞有了解嘛
这块的话我没复现过，但是了解不少这块的内容,比如shiro(学好英语的重要性，虽然过了六级，好长时间不用了还是不得劲，读不出来好尴尬)
通过返回包发现rememberMe这个关键值，如果等于Delectme就有可能触发，还有关系weblogic（上午刚看过一些技术文章，但是有些忘了，没复现记不住太多）
问：我刚听你说的应该是JAVA反序列化，你对反序列化也懂一些嘛
懂一些，我复现过变量覆盖、反序列化、命令执行、越权支付漏洞这些（可能有些多小姐姐没听清又重复了一遍）
问:怎么识别文件上传呢
这个问题我有一点懵，然后我就说我懂文件上传的原理
比如大小写绕过，00截断，图片马，二次渲染 ；/截断，ntfs隐藏之类，您这个问题让我有点绕，我懂文件上传原理并且复现过
问：那关于一些中间件文件上传呢，有没有了解
(这块开始有一些小尴尬,还是自己知识面太窄了），我刚才说的 ；/截断就是IIS6.0解析漏洞，上传一个图片马，后缀为.jpg;,php,服务器不会检测;后面内容，以为是图片,这样就绕过了，还有CGI，也是存在漏洞的话，上传图片马，/.php就执行了
问:关于最新的解析漏洞呢,有没有了解
这块的话，我了解的不多
问:主要还是之前的一些漏洞是吧
嗯嗯，上午看靶场有组件漏洞，想复现一下，但是没权限，需要社区币

基本上就这么多了，360的hw蓝队面试，不知道能不能通过，希望可以过了满足一下护网的小心愿嘛，不然只能直接去工作了。

总结一下，还是该多逛逛安全论坛和社区，实战经验太重要了，最近报名了SRC但是没挖，有些遗憾。技术原理还得多看多复现多实操，不然想找到一份满意的工作有点难了，自己心理上就有一些虚。