天融信护网面试

1.去年护网期间担任什么角色？

看waf——》报警（判断是否真的攻击）——》查看分析日志

2.护网前期做什么？

资产梳理、服务器对应操作系统补丁、网络拓扑、工具准备

3.waf和ips有什么区别，分别怎么使用？waf防护的是什么？

• waf（web应用防火墙）位于OSI应用层，较为片面有深度。针对协议FTP、HTTP、HTTPS
• IPS（入侵防御系统）位于网络层、传输层、会话层、应用层、表示层，比较全面但是浅
• IPS好比大楼的保安，对出入大楼人员进行检查，发现可以人员禁止入内。但是对于貌似忠良的人混进去无能为力。
• waf好比大楼老板的贴身保镖，通常只保护特定人员（web服务器）。waf仅提供对web应用流量全部层面的监管。
• （当攻击发生时，IDS只能发出警报，并不能阻止攻击发生。而IPS却能有效阻止攻击行为的发生，因为所有流量在达到目标服务器之前，都需要流经IPS）

4.你对蜜罐有什么了解？使用过么？

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，没有业务用途。

蜜罐的流量预示着扫描或攻击行为，较好聚焦攻击流量。

没有使用过！

5.去年护网期间，红队通过蜜罐攻进内网，你知道是什么漏洞么？你知道是怎样实现的么？

什么漏洞？？？

蜜罐与内网相连，通过蜜罐的端口攻进内网

6.说一下SSRF漏洞？SSRF漏洞是怎样实现的？
7.给你一个网站，怎样挖掘SSRF漏洞？怎样批量扫描网页的请求第三方URL？

• 数据层面需要关注的关键字段是URL、IP地址、链接等，关键字有：share、wap、url、link、src、source、target、u、3g、display、sourceURL、imageURL、domain。。。
• 业务层面需要关注任何通过URL进行资源调用（入）或者向外发起网络请求（出）的功能，如通过URL上传下载处是存在最多SSRF场景。其他具体业务场景包括：内容展示、社交分享、在线翻译、收藏功能、WebMail邮箱、各种处理工具

工具扫——》？？？

直接查看源代码CTRL+F搜索关键字:

 

 

 

8.我们这里用的中间件是weblogic，说一下weblogic的漏洞？

• 1.反序列化漏洞
• 2.SSRF漏洞
• 3.任意文件上传
• 4.war后门文件部署

9.防火墙怎样判断这是一个反序列化漏洞？

抓包，反序列化的数据包有固定格式的字符串

O:length:"value":属性数：{属性类型:属性length:属性value;属性类型:属性length:属性value;}
攻击者通过（抓包）篡改属性length和value达到目的

10.云waf怎样使用/防护？阿里云waf，华为云waf，腾讯云waf
11.溯源你怎样抓到真的IP？