设备问题（初中级）2

合集 - 护网蓝队面试题（初中级）(11)

1.设备问题（初中级）12023-06-07

2.设备问题（初中级）22023-06-09

3.web方面（top10漏洞等）32023-06-094.常用的webshell管理工具的流量特征 42023-06-125.基础的框架漏洞 62023-06-226.window、Linux简单提权 72023-06-297.渗透测试和应急响应 52023-06-148.告警类问题 82023-06-309.windows和linux应急响应命令 92023-07-0910.工具的使用 102023-07-1311.常见的状态码 112023-07-30

收起

椒图设备

1、在椒图平台日志分析中result字段表示的含义是？

答：拦截结果；0表示已拦截，1表示未拦截。

 

2、在椒图平台中如何配置针对服务器非白名单账号和登录IP的监控？

答：通过威胁检测—异常登录—违规登录—登录规则设置，添加白名单账户和IP。

 

3、在椒图平台下发web类安全策略需要使用哪个功能？

答：安全防护—功能设置

 

4、在椒图平台日志分析中P字段是攻击者IP还是受害者IP呢？

答：攻击者IP

 

5、告警分析中，payload大概在什么位置？

答：通常在请求包中的请求头url中，post数据包也可能存在。

 

6、什么告警不难很快分析出来？

答：部分sql注入因为无明显回显，所以不能很快的分析出来。

 

7、分析中心有什么日志？

答：告警日志、原始日志、终端日志。

 

8、Referer字段是什么？

答：Referer是HTTP请i求header中的一部分，当浏览器向web服务器发送请求时，头信息里包含Referer字段。

 

9、如何确定web攻击是真实攻击还是误报攻击，从多角度回答，举例说明？

答：真实攻击查看请求报文和响应报文。比如：sql注入，特殊字符，比如and、or、union、select，再查看响应码为200，且出现success等字样。

 

10、.护网期间，如果客户的流量特别大，面对很多条告警应该去首先关注筛选哪些的告警？

答：1、 遇着这种情况一方面优先分析成功告警的，再分析成功之外的其他高危告警，如webshell、命令执行、shell连接等。最后分析剩余告警， 同时对于攻击频率较高的攻击ip及时上报封禁，可有效减少告警量。