网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
1. 协议类型
总结:回答覆盖了应用层和传输层协议,但未完整体现网络层和数据链路层协议。
扩展回答:
- 应用层:HTTP/HTTPS(Web)、FTP(文件传输)、SMTP(邮件)、DNS(域名解析)、DHCP(动态IP分配)、SNMP(网络管理)。
- 传输层:TCP(可靠传输)、UDP(无连接传输)。
- 网络层:IP(路由)、ICMP(错误检测,如
ping)、ARP(IP转MAC地址)。- 数据链路层:PPP(点对点协议)、HDLC(广域网协议)。
补充建议:可强调协议分层逻辑(如ARP属于数据链路层,ICMP属于网络层)。
2. OSI七层模型
总结:回答完整,但可结合实际案例说明各层功能。
扩展回答:
- 物理层(光纤、网线传输比特流)→ 数据链路层(MAC地址,交换机)→ 网络层(IP路由,路由器)→ 传输层(端口,TCP/UDP)→ 会话层(建立/维护连接,如RPC)→ 表示层(数据加密/压缩,如SSL)→ 应用层(用户接口,如浏览器)。
补充建议:举例说明各层工具(如Wireshark抓包分析传输层数据)。
3. 网络层协议
总结:误将HTTP归为网络层,需纠正协议分层关系。
扩展回答:
- 核心协议:IP(数据包路由)、ICMP(网络诊断)、IGMP(组播管理)、RIP/OSPF(动态路由协议)。
- 关键功能:IP地址分配、路由表维护、分片与重组。
补充建议:结合网络设备(如路由器)解释网络层作用。
4. HTTP请求头
扩展回答:
- User-Agent:客户端类型(如浏览器、爬虫)。
- Referer:请求来源页面(用于防盗链)。
- Host:目标域名(虚拟主机区分站点)。
- 其他关键头:
Cookie(会话状态)Accept-Encoding(压缩方式)Content-Type(请求体格式,如application/json)。
补充建议:可提及X-Forwarded-For(代理链中的真实IP)与网络安全的关系。
5. 常见端口
扩展回答:
- 数据库:3306(MySQL)、5432(PostgreSQL)、6379(Redis)。
- Web服务:80(HTTP)、443(HTTPS)、8080(Tomcat)。
- 安全协议:22(SSH)、3389(RDP)。
- 其他:53(DNS)、161(SNMP)。
补充建议:需注意端口与漏洞关联(如Redis未授权访问利用6379)。
6. 中间件解析漏洞
扩展回答:
- IIS:
test.asp;.jpg被解析为ASP文件(分号截断)。- Apache:
test.php.xxx从右向左解析(.php优先)。- Nginx:
/test.jpg/1.php路径解析漏洞(CVE-2013-4547)。- PHP CGI:
%00截断(如test.jpg%00.php)。
补充建议:结合漏洞修复(如升级版本、禁用危险配置)。
7. CSRF修复建议
扩展回答:
- Token验证:表单中嵌入随机Token,服务端校验。
- SameSite Cookie:设置
SameSite=Strict防止跨域携带Cookie。- 双重验证:敏感操作需二次确认(如短信验证)。
- Referer检查:验证请求来源域名。
补充建议:可对比CSRF与XSS的区别(CSRF利用用户身份,XSS窃取信息)。
8. 其他漏洞类型
扩展回答:
- SQL注入:通过拼接SQL语句执行恶意代码(防御:预编译语句)。
- XSS:反射型(URL参数)、存储型(数据库)、DOM型(前端渲染)。
- 文件包含:本地包含(LFI)与远程包含(RFI)。
- 反序列化:利用
unserialize()执行任意代码(如Fastjson漏洞)。
补充建议:举例漏洞利用链(如ThinkPHP RCE)。
9. HW与应急响应
扩展回答:
- HW准备:资产梳理、漏洞扫描、蜜罐部署、日志审计。
- 应急响应流程:
- 隔离受控主机(断网)。
- 取证(内存/磁盘镜像)。
- 分析攻击路径(如Webshell上传点)。
- 修复漏洞并溯源(IP、攻击工具特征)。
补充建议:推荐工具(如LogRhythm日志分析、Velociraptor取证)。
10. 安全设备与研判
扩展回答:
- 安全设备:防火墙(ACL规则)、IDS/IPS(特征检测)、WAF(拦截Web攻击)。
- 研判误报方法:
- 验证日志完整性(如时间戳是否连续)。
- 关联多设备告警(如防火墙+IDS交叉验证)。
- 人工复现攻击链(如尝试复现SQL注入)。
补充建议:可提及误报常见原因(如扫描器误触发)。
11. 数据流量分析
扩展回答:
- Wireshark技巧:
- 过滤语法:
tcp.port==80、http contains "admin"。- 追踪TCP流(Follow TCP Stream)。
- 威胁检测:
- 异常协议(如内网出现IRC协议)。
- 高频DNS请求(可能为C2通信)。
补充建议:推荐学习Suricata(实时流量分析)。
12. 加固方案与报告撰写
扩展回答:
- 加固方案:
- 基线检查(如CIS Benchmark)。
- 关闭高危服务(如SMBv1)。
- 配置最小权限(如Linux
chmod 600)。- 报告结构:
- 摘要(事件概述)。
- 分析过程(时间线、攻击手法)。
- 修复建议(补丁、配置修改)。
- 附录(日志截图、工具输出)。
补充建议:强调报告需包含攻击者画像(如APT组织特征)。
面试总结与提升建议
- 协议分层:需强化OSI模型与协议对应关系(如HTTP在应用层,IP在网络层)。
- 技术深度:漏洞原理需结合代码层面解释(如PHP文件包含的
include()函数)。- 实战案例:通过靶场(如DVWA)复现漏洞,积累实操经验。
- 行业知识:关注HW最新动态(如红队工具演进、0day漏洞利用)。
- 表达能力:用STAR法则描述应急响应案例(情境-任务-行动-结果)