护网蓝队银联面试题.docx

【监控方向】

常见的高危漏洞有哪些？

SQL注入、任意文件上传等。

如何判断某个流量是SQL注入

查看关键字

smtp协议(简单邮件传输协议)的相关漏洞

base64，esmtp,SMTP是邮件发送协议。SMTP网络协议存在暴力破解漏洞，攻击者可以利用爆破工具爆破出用户的账号密码，导致信息泄露，以及利用用户身份做欺骗行为。

内网渗透的隧道具体有什么工具？有哪些相关特征可以帮助判断

Ngrok、frp、SSH、EW、reGeorg

Frp:

客户端-服务端认证信息:包含version，hostname,os,arch,user,privilege_

key,runid,metas等frp信息。

服务端-客户端认证信息：包含version,run_id,server_udp_port等frp信息。

代码执行，文件读取，命令执行的函数都有哪些？

1）代码执行：

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2）文件读取：

file_get_contents(),highlight_file(),fopen(),read

file(),fread(),fgetss(),fgets(),parse_ini_file(),show_source(),file()等

3)命令执行：

system(),exec(),shell_exec(),passthru(),pcntl_exec(),popen(),proc_open()

蜜罐的用处是什么？蜜罐能获得什么有效信息？

就是一台全是漏洞的靶机，吸引黑客来进攻蜜罐系统，然后掌握黑客的信息

问的问题：

-您刚刚说，您对蜜罐有所了解，您能讲讲你了解的蜜罐是什么？你是否真正参与过蜜罐的部署。

答：搭过微步的Hfish蜜罐?

那么如果叫你部署一个蜜罐，你会开放哪些端口，为什么//你认为企业的主机哪些端口存在风险//你认为企业应该注意哪些地方的加固

21端口：FTP文件传输协议端口，用来捕获黑客的FTP爆破行为

22端口：SSH端口链接Linux主机SSH服务的端口，用来捕获黑客的SSH爆破行为

23端口：Telnet服务，命令执行服务，用来探测黑客对于telnet的爆破

80端口/443端口：WEB服务的端口，用来捕获黑客的WEB攻击行为特征

1521：oracle数据库开放端口，捕获黑客的oracle爆破行为,UDF命令执行等行为3306：MYSQL端口，用来捕获黑客对于mysql数据库的爆破行为，UDF命令执行等行为3389：Windows远程桌面端口，用来捕获黑客的爆破行为···········

下面的说不说都行····································

6379端口：REDIS端口，捕获黑客REDIS未授权访问的攻击，黑客利用redis写ssh秘钥，写webshell，执行计划任务等的攻击

445端口：SMB服务端口-黑客利用永恒之蓝Enternalblue的攻击行为，黑客的SMB账号爆破（通俗简单理解，爆破windows账号密码）

1433端口：MicrosoftSQLserver端口，用来捕获黑客爆破1433端口的行为，并且查看黑客利用sqlserverxp_cmdshell,sp_cmdshell等组件命令执行的操作，存储过程的利用?

135、139端口：捕获黑客的利用RPC共享的攻击（当蜜罐部署在内网）

比如在8080端口，部署一个假的vpn页面，吸引黑客攻击

如何判断某个攻击是误报？

HW值守时，最让你印象深刻的攻击流量是啥？

IDS和IPS的区别

1.功能不同：IDS是一种被动式的安全措施，它通过监测网络流量来检测是否有入侵者进入网络。而IPS则是一种主动式的安全措施，它不仅能够检测入侵者，还能够阻止入侵者进入网络。

2、处理方式不同：IDS通常只能够检测到入侵者的攻击行为，并将相关信息报告给管理员。而IPS则不仅能够检测到入侵者的攻击行为，还能够采取相应的措施来阻止入侵者的攻击行为。例如，IPS可以自动地阻止恶意流量或关闭攻击者的IP地址。

3、风险评估不同：IDS主要用于监测网络流量，以便管理员能够及时发现网络攻击并采取措施。而IPS则更加注重风险评估，它能够自动地评估网络安全风险，并采取相应的措施来保护网络安全。\o点击查看大图

聊聊各个产品的作用

如何判断攻击流量的真实源IP,prs

关键点是XFF的问题

如何判断我是不是被getshell了

webshell：

???查web日志，分析攻击流量

???扫webshell

???排查网站目录，查看最近更改的文件

?shell：

??