蓝队中级面试(某蓝某达某中介合集)

2024-07-18 15:40:38 浏览数 (2)

前言

近期面试了几家蓝队中级岗位(公司内面),在此做出相关面试题整理及面试总结

某达(蓝中研判)

平时在项目上有做一些研判分析工作吗?(研判工作流程,具体分析那些东西?)

讲一些具体溯源反制案例

有遇到过应急响应相关经历吗?

挖掘SRC的案例?

面试时间比较短,只有十分钟左右,偏真实环境,感觉自己应急响应流程还是不够熟悉,讲的时候没有按照应急流程来讲,有点乱…… ==应急响应流程:==判断是否是误报,了解基本情况(攻击源捕获、获取相关信息),根据异常特征(安全设备告警、流量、网站、主机)确定安全事故事件类型(What)(网络攻击事件、钓鱼邮件、暴力破解、Web服务器入侵、第三方服务入侵、系统远控后门、勒索病毒、APT、挖矿脚本等),做出临时处置(隔离感染的机器,切断网络,保护现场环境,隔离核心资产),通过系统排查点(用户信息、启动项、计划任务、服务、进程、端口、网络流量、内存、文件痕迹、日志等) 确定入侵时间(When)、攻击范围(Where)以及技术手段、攻击者攻击思路(How)进而构造证据链猜解攻击对象(Who),清除处置(善后处理)以及取证溯源…… 感觉按照这个流程来回答一听就感觉就是背的,emmmm

某蓝

忘记录音了,记录一些典型的问题

SQL写webshell的有哪些几种方法?

文件上传绕白名单方法

你是如何判断网站使用了Fastjson?

Fastjson反序列化漏洞讲一下

Log4j2漏洞原理讲一下

横向移动方式有哪些?

Netlogon 域内提权漏洞讲一下

域内提权漏洞:Ms14-068,Netlogon,ADCS,CVE-2021-42287 ……(Ms17-010也算) 提示:面试过程中把Kerberos认证过程(三个阶段)答出来,讲一讲横向移动以及提权、维权等攻击方式分别在认证过程那一阶段是一个加分项

应急响应流程

面试二十分钟左右,面试官水平还是挺高的,虽然答得自己不太满意,不过第二天人事还是打电话过来了

上海某中介(两家)

这个我是面了两次,第一次面完之后,面试官让我过段时间再找他面一次,挑一些经典问题

讲一下ADCS漏洞?

内网域内主机都存在永恒之蓝漏洞,但是存在天擎EDR,如何利用?

Linux机器被打穿了排查思路(攻击机已经开始做内网横向了)?

判断事件类型——>做出临时处置——>排查入侵点——>清理处置——>善后处理——>上线正常服务(取证溯源)

CDN隐藏C2地址如何查真实IP?(开始上强度了)

相似问题:域前置如何查、云函数如何查? emmmm 留个坑,下篇博客系统写一下

出现0Day你如何处置?

不明细节,不知原理。实际上并没有特别好的防御措施 补丁管理:仅能解决已发现的漏洞问题,但并不能解决0day漏洞 基于流量、日志的检测:找到记录中异常行为的蛛丝马迹,并及时予以跟踪 根据危害等级和危害范围,确立响应的等级、需要哪些部门(厂商)参与以及漏洞修复时效 纵深防御、拔网线、停业务、按照流程进行应急响应

Weblogic漏洞有哪些?

Shiro 550 与Shiro 721的区别

0 人点赞