写在前面
上一个红队PK项目跟实验室师傅们一起坐牢,一直没时间学习更新推送,意外的是坐牢居然混了个第二。项目结束以后临时去面了两次渠道国护的蓝队,很少面试别人,所以我面试之前旁听收集了其他师傅面试的问题。
分享一下自己收集和面试别人的试题,不一定全面,但保证真实。另外,面试题可以锦上添花不能雪中送炭,关键的还是过往经验。
目录
0x01 自我介绍0x02 监测0x03 研判0x04 处置/应急0x05 溯源0x06 设备
自我介绍
像我面试其他师傅的话重点关注工作/项目经历,从事过什么安服工作,有没有国护重保的经历。可以介绍个人的HW经验,主要介绍过去负责的是HW的哪一块工作内容,使用过哪个厂商的什么安全产品,有没有做过漏洞复现、渗透测试工作等等。
不需要很冗长,控制在两三分钟。
监测
做过渗透测试吗,如果有渗透测试的经历,简单说一下渗透测试的步骤
如何判断某次告警误报
如何判断攻击是否成功
如果确定是恶意IP,后面怎么做
钓鱼邮件分析哪些内容
钓鱼邮件处置
研判
研判的流程是什么(研判经验):
查看监测的告警,判断是否成功,再根据事件是否成功上报。
如何判断攻击是否成功:
查看请求包、返回包:请求的中的信息如whoami、sql注入,是否有对应返回。
根据攻击类型和返回:请求的中的信息如whoami、sql注入,是否有对应返回。
报警类型:报警类型能否跟攻击载荷对应上
返回码:200重点关注。
攻击行为:根据此IP不同时间前后连贯性
返回包内容加密怎么判断是否攻击成功:
如果有向外的恶意域名请求,如何判断是否解析成功
如何判断攻击IP是否恶意
如果是真实攻击怎么操作
判断攻击是否成功,分类讨论
恶意回连告警,如何判断是否是为真实恶意回连
哪些请求头查看真实ip
XFF(x-forword-for),有一些企业自定义的头
代码执行命令执行恶意函数
require、include、exec、system、shell_exec
终端防护设备的作用
流量防护设备的作用
如何分析攻击成功事件的攻击过程(通过流量监测上)
根据此IP的攻击时间,跟踪行为。判断攻击成功的漏洞,后续的行为,被攻击的主机范围。
处置/应急
(应急处置面到比较少)
参加过应急吗
如果参加过应急,说一下应急响应的步骤/参与什么内容
说一下应急思路
发现某一台主机有回连IP,如何找到对应进程
溯源
说一下溯源的经历
云上IP如何获取注册信息:
csdn如何获得发布者的手机号:
如何利用社工库:
反制相关,渗透测试经历。
蚁剑菜刀冰蝎流量同异
样本分析:如何分析有没有回连
设备
WAF如何做自定义规则、需要准备什么信息
网站经过WAF打不开了,如何排查
态势感知部署探针,镜像流量做单向还是双向
写在最后
祝诸君好运。
