全套面经)
一、面试整体情况1. 岗位定位初级蓝队 90%‑监控研判岗你的工作7×24 小时轮班查看 WAF、防火墙、EDR、SIEM 告警区分真实攻击和误报确认攻击后提交处置工单由资深人员封禁 IP简单日志分析、事件整理、写告警简报初级人员一般不让你直接操作客户设备所有操作必须经过甲方授权。面试官考察核心基础漏洞懂不懂、能不能看懂流量日志、做事守流程、能不能熬夜轮班、态度踏实。2. 面试流程20‑30 分钟自我介绍1 分钟基础网络 安全漏洞提问OWASP‑TOP10、中间件、工具场景问答告警处置、应急响应、工作认知个人情况能不能熬夜、出差、轮班、抗压反问环节。二、自我介绍直接背诵版1 分钟版本贴合你的背景网安专业自学渗透做过日志异常检测项目熟悉基础工具 老师您好我是xxx现在大二网络安全专业。在校系统学习计算机网络、Web 安全、操作系统等课程课余自学渗透测试熟练使用 Burp Suite、Nmap、AWVS、Loglizer 等工具之前做过日志异常检测的练习项目能够看懂 Web 攻击流量、简单分析系统日志熟悉 OWASP‑TOP10 漏洞原理和 Payload 特征了解 WAF、EDR 的基础作用。 我清楚初级蓝队主要工作是告警研判、区分误报、上报安全事件能够接受护网期间 7×24 小时三班倒做事细心有耐心遇到不确定的告警不会擅自操作严格遵守先上报、授权后处置的流程希望可以加入本次护网队伍积累实战经验。谢谢老师。禁忌不要吹牛说会溯源反制、内网渗透初级岗说这些面试官会追问很深容易露馅。只突出漏洞基础、工具、服从安排、能熬夜。三、技术必考题初级高频 标准答案精简版模块 1漏洞与告警研判重中之重必考问题 1WAF 产生 SQL 注入告警你怎么研判是不是真实攻击回答先查看 WAF 抓取的原始请求包观察 URL 参数、POST 参数里有没有union select、and 11、单引号、or sleep(5)这类注入特征查看服务器响应包如果响应内容爆出数据库表名、字段、数据判定真实攻击如果只是 URL 自带符号比如文章标题带单引号属于误报确认真实攻击后截图留存证据填写处置工单上报组长我不会自行访问业务系统必须甲方授权后再进一步验证绝不修改数据库数据。问题 2XSS 跨站脚本告警怎么判断真伪回答查看请求数据包里是否存在script、alert()、javascript:标签看响应体是否把恶意代码原样返回代码成功返回 真实攻击若只是用户正常提交带有符号留言、评论只是页面做转义处理判定为误报真实攻击就整理证据上报处置组封禁 IP。问题 3文件上传告警怎么判断是否上传成功查看请求体是否上传.php/.jsp/.aspx后缀文件看响应包是否返回 success、文件路径能访问到上传的 webshell 文件即为攻击成功普通图片文件只是后缀被 WAF 规则命中则判定误报。问题 4说一说 OWASP‑TOP10 重点记住 4 个初级只掌握这 4 个足够SQL 注入、XSS 跨站脚本、文件上传漏洞、命令执行漏洞。问题 5讲一下冰蝎、蚁剑的流量特征必考题蚁剑请求包里面包含eval、base64 加密内容冰蝎流量采用 AES 加密Cookie 或者 POST 参数里是加密密文每次请求数据包内容变化 初级岗位我可以识别特征发现这类流量就标记为高危告警并上报我不会去连接 webshell。模块 2安全设备 工具高频WAF 的作用防护 Web 攻击SQL 注入、XSS、文件上传、命令执行基于特征匹配识别恶意请求拦截攻击流量。EDR终端检测响应部署在服务器、电脑上监控异常进程、异常后门、恶意样本、注册表异常行为。SIEM汇总 WAF、防火墙、服务器日志集中告警展示。你用过哪些工具Nmap 端口扫描、AWVS 漏扫、Burp Suite 抓包改包、Loglizer 日志分析工具贴合你的项目。模块 3操作系统基础基础问答Windows 常用排查命令tasklist查看进程、netstat -ano查看端口连接Linux 排查命令ps -ef查看进程、last查看登录日志、cat /var/log/secure查看登录日志、awk筛选异常日志永恒之蓝MS17‑010445 端口漏洞攻击者利用它植入木马看到大量 445 端口外联告警判定高危攻击。模块 4应急响应标准流程固定话术背熟发现告警2. 提取数据包、日志进行研判3. 判断事件等级4. 上报项目负责人5. 由授权人员进行 IP 封禁、漏洞修复6. 整理事件报告、留存证据7. 后续持续监控。核心原则初级人员严禁私自操作客户服务器一切操作必须得到甲方授权。四、情景问答软实力问题护网非常看重Q1遇到大量告警同时爆发你怎么处理优先划分风险等级高危webshell、SQL 注入、命令执行优先上报处理低危的扫描行为端口探测统一整理之后分批上报保证高风险事件优先处置。Q2区分不了告警是误报还是真实攻击怎么办我不会随意忽略告警把原始数据包、日志截图整理好把问题交给资深研判工程师听从组长安排绝不擅自关闭告警规则。Q3护网需要三班倒深夜值班会不会觉得很累我已经了解护网的工作模式可以接受夜班提前调整作息夜班期间我会集中注意力逐条查看告警不会玩手机松懈认真做好记录。Q4红队和蓝队思维有什么区别红队寻找漏洞突破进去只要一个漏洞成功就算胜利 蓝队防守所有入口只要一处被攻破就算失败我做蓝队就是细心排查每一条告警不给红队可乘之机。Q5你作为候补队员如果正式人员缺席你可以随时顶上吗没问题只要这边通知到位我可以及时调整自己的课程和时间全力投入护网工作。五、反问面试官面试最后必问选 1‑2 条请问咱们团队护网期间初级研判人员日常工作主要是监控哪几款安全设备后续护网结束之后有没有内部复盘培训帮助我们提升实战能力六、护网行动选拔笔试选择题10 道含答案 解析适用护网红队 / 蓝队人员选拔基础笔试覆盖等保、渗透、应急响应、漏洞、内网安全、法律法规、攻防基础单选题10 题依据《网络安全法》关键信息基础设施运营者发生网络安全事件应当立即向报告。 A. 单位领导 B. 当地网信部门、公安机关 C. 上级业务主管单位 D. 行业协会答案B解析关键信息基础设施运营者遭遇安全事件需同步上报网信与公安监管部门。护网行动中蓝队核心职责不包含以下哪一项 A. 监测攻击流量、告警处置 B. 溯源红队攻击 IP、样本 C. 主动对外发起渗透测试 D. 漏洞封堵、应急加固答案C解析主动渗透属于红队工作蓝队以防御、监测、应急溯源为主禁止主动对外攻击。下列哪种漏洞属于 OWASP Top1 高危漏洞护网中最常被红队利用拿下网站权限 A. XSS 跨站脚本 B. SQL 注入 C. 文件上传漏洞 D. CSRF 跨站请求伪造答案B解析SQL 注入可直接脱库、获取管理员账号密码是护网靶站最高发高危突破口。等保 2.0 三级系统要求日志留存最低时长为 A. 30 天 B. 6 个月 C. 1 年 D. 90 天答案D解析等保三级规范明确安全日志、操作日志留存不少于 6 个月180 天错误纠正标准为 6 个月 180 天修正选项调整本题标准答案 6 个月 修正标准答案答案B内网护网场景下攻击者拿下一台 Web 服务器后用于内网横向移动、抓取主机账号密码的工具是 A. Nmap B. Mimikatz C. Wireshark D. BurpSuite答案B解析Mimikatz 专门抓取 Windows 内存明文凭证用于横向渗透Nmap 是扫描、Burp 是 Web 抓包、Wireshark 流量分析。护网期间发现服务器出现大量对外 445 端口扫描行为大概率攻击者利用哪个漏洞蠕虫传播 A. CVE-2017-0143永恒之蓝 B. CVE-2021-41773Apache 路径遍历 C. CVE-2022-26134Log4j D. CVE-2019-0708永恒之黑答案A解析永恒之蓝针对 SMB 445 端口蠕虫式内网批量扩散护网高频考点。Log4j 远程代码执行漏洞CVE-2021-44228触发核心利用协议是 A. LDAP B. FTP C. DNS D. RDP答案A解析漏洞通过构造恶意日志字段访问外部 LDAP 服务加载恶意类实现远程代码执行。下列哪项操作不符合护网期间应急处置规范 A. 隔离失陷主机断开内网访问 B. 直接格式化业务服务器磁盘 C. 备份攻击流量、恶意样本、系统日志 D. 关闭高危端口、修复对应漏洞答案B解析直接格式化会销毁攻击取证数据合规流程为先隔离取证再清理修复。针对单位办公系统部署 WAFWeb 应用防火墙无法防御以下哪类攻击 A. SQL 注入 B. Web 文件上传木马 C. 内网 SMB 暴力破解 D. XSS 跨站攻击答案C解析WAF 仅防护 Web 七层业务SMB 端口属于四层网络流量由防火墙 / ACL 策略防护。《关键信息基础设施安全保护条例》规定关键信息基础设施每年至少开展几次网络安全检测评估 A. 1 次 B. 2 次 C. 季度 1 次 D. 半年 1 次答案A解析条例要求关键信息基础设施运营者每年至少一次全面安全检测、风险评估。完整答案汇总1.B 2.C 3.B 4.B 5.B 6.A 7.A 8.B 9.C 10.A七、避坑红线千万不要说不要说我会手动入侵、尝试访问客户 webshell初级人员绝对禁止面试听到这句话直接淘汰不要说告警看着没问题我就直接忽略面试官会认为你工作敷衍不要夸大自己会内网提权、免杀制作面试官深入提问很容易翻车不要抱怨熬夜辛苦、嫌轮班麻烦护网最重要就是能吃苦。八、精简考前速记版10 条核心要点研判告警看请求包 响应包有 payload 执行结果 真实攻击所有操作必须甲方授权初级只负责上报不执行配置操作熟悉 WAF、EDR、SIEM熟悉 Burp、AWVS、NmapOWASP‑TOP10 重点SQL 注入、XSS、文件上传、命令执行冰蝎 AES 加密流量蚁剑多为 base64应急顺序研判‑分级‑上报‑授权处置‑写报告告警太多优先处理高危攻击端口扫描低危延后看不懂的告警全部交给资深工程师接受 7×24 小时轮班夜班认真值守工作细心、服从团队安排。