2024年6月份北京深信服——蓝中护网面试经验分享

所面试的公司：深信服

所在城市：北京

面试职位：蓝中

薪资待遇：2k/天

面试过程：

腾讯会议（视频）
面试过程：整体流程就是自我介绍加上一些问题问题balabalabala。。。由于面的是蓝队所以渗透部分不会太多，回答部分基本上是我的原答案，不保证正确。面试总体大概分三个大块（下面跳过自我介绍部分）

面试官的问题：

1、之前参加过护网嘛，能讲下你具体的工作内容吗？

去年参加过，是qax蓝中研判岗；
**主要工作内容：**分析安全设备的告警，确定是攻击就提交给处置组封禁IP，分析上报流量，对恶意攻击进行分析和处理，并撰写安全应急分析处理报告。

2、毕业了吗，那平时工作具体工作内容是什么？

已经毕业了；
平常在公司，主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。

3、讲下XSS原理吧，以及它的利用原理

XSS（跨站脚本攻击）是一种常见的Web安全漏洞，攻击者可以通过注入恶意脚本，获取用户的cookie，控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。

4、XSS有哪几种类型及区别

• 反射型XSS：反射型XSS攻击是一次性的攻击，当受害者点击恶意链接url的时候，恶意代码会直接在受害者的主机上的浏览器执行

• 存储型XSS：主要是将恶意代码存储到服务器中，下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码

• DOM型：客户端的脚本程序可以动态地检查和修改页面内容，不与服务端进行交互

5、护网期间设备误报如何处理？

要确认设备是否误报，我们可以直接到监控设备上看请求包和响应包的流量特征，
在护网过程中如果确实存在异常流量应当及时进行上报，确认是误报后做好事件记录

6、如何区分扫描流量和手工流量？

扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长
扫描流量：比如常用的漏洞扫描工具AWVS以及APPscan在请求的URL，Headers, Body三项里随机包含了能代表自己的特征信息

7、说几个php里面可以执行命令的函数？

1. exec(): 执行一个外部程序并且显示完整的输出。
2. shell_exec(): 执行一条 shell 命令并且返回完整的输出为一个字符串。
3. system(): 执行一个外部程序，并且显示输出。

8、说一下告警日志分析的思路？

1. 首先需要收集所有的告警日志
2. 对收集到的告警日志进行解析
3. 根据告警的重要性和紧急程度，确定告警的等级
4. 持续对告警日志进行监控和分析

9、HTTP状态码200、302、403、404分别表示什么?

200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在

10、内网了解吗，讲下黄金票据和白银票据？

黄金票据：

也称为“域管理员组帐户”，拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户，能够创建新的域管理员和更改现有的域管理员帐户密码

白银票据：

通常属于本地管理员帐户，只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户

区别：

黄金票据通常指一个具有域管理员权限的票据，而白银票据通常指****普通用户的票据

11、讲下Java反序列化Struts 2 漏洞原理以及利用方式

Struts 2 是一个Java Web 应用的框架

文件上传、命令执行、ognl表达式注入

比较明显的就是访问的目录为**.action或者.do**，content-Type的值是默认的，返回的页面也可能会有struts2字样，

ognl表达式注入就会使用ognl语法，请求参数会有**${}，%{}**字符

12、护网期间怎么防范邮件钓鱼？

• 提供员工的安全意识，护网期间不随意点击钓鱼邮件；
• 邮箱不使用弱口令，如果被感染了直接拔网线。

面试结果：

通过

面试难度：

一般

面试感受：

面试期间还有一些问题我没有列出来，后面要是想到了再给师傅们更新，护网蓝中的话需要有一定的项目经验以及护网经验才可以。

给大家的建议：

师傅们可以在网上多找下护网面试题目看看，然后每天花一些时间来进行背面试题，护网面试的时候不要慌张，说话要显得稳妥点，还有就是简历一定要写的优秀点，因为蓝中还是会进行晒简历的呦，一般蓝初大概率不会！！！