国家护网HVV高频面试题总结来了题目回答网络安全领域各种资源学习文档以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具欢迎关注。0x1 高频面试题第一套1、之前参加过护网嘛能讲下你具体的工作内容吗去年参加过是qax蓝中研判岗**主要工作内容**分析安全设备的告警确定是攻击就提交给处置组封禁IP分析上报流量对恶意攻击进行分析和处理并撰写安全应急分析处理报告。2、毕业了吗那平时工作具体工作内容是什么已经毕业了平常在公司主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。3、讲下XSS原理吧以及它的利用原理XSS跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本获取用户的cookie控制对方浏览器。XSS攻击通常发生在网站中的搜索框、评论中。4、XSS有哪几种类型及区别反射型XSS反射型XSS攻击是一次性的攻击当受害者点击恶意链接url的时候恶意代码会直接在受害者的主机上的浏览器执行存储型XSS主要是将恶意代码存储到服务器中下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码DOM型客户端的脚本程序可以动态地检查和修改页面内容不与服务端进行交互5、护网期间设备误报如何处理要确认设备是否误报我们可以直接到监控设备上看请求包和响应包的流量特征在护网过程中如果确实存在异常流量应当及时进行上报确认是误报后做好事件记录6、如何区分扫描流量和手工流量扫描流量数据量大请求流量有规律可循且频率较高手工流量请求少间隔略长扫描流量比如常用的漏洞扫描工具AWVS以及APPscan在请求的URLHeaders, Body三项里随机包含了能代表自己的特征信息7、说几个php里面可以执行命令的函数exec(): 执行一个外部程序并且显示完整的输出。shell_exec(): 执行一条 shell 命令并且返回完整的输出为一个字符串。system(): 执行一个外部程序并且显示输出。8、说一下告警日志分析的思路首先需要收集所有的告警日志对收集到的告警日志进行解析根据告警的重要性和紧急程度确定告警的等级持续对告警日志进行监控和分析9、HTTP状态码200、302、403、404分别表示什么?200 请求成功、302跳转、403 权限拒绝、404 页面资源不存在10、内网了解吗讲下黄金票据和白银票据黄金票据也称为“域管理员组帐户”拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户能够创建新的域管理员和更改现有的域管理员帐户密码白银票据通常属于本地管理员帐户只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户区别黄金票据通常指一个具有域管理员权限的票据而白银票据通常指普通用户的票据11、讲下Java反序列化Struts 2 漏洞原理以及利用方式Struts 2 是一个Java Web 应用的框架文件上传、命令执行、ognl表达式注入比较明显的就是访问的目录为**.action或者.do**content-Type的值是默认的返回的页面也可能会有struts2字样ognl表达式注入就会使用ognl语法请求参数会有**${}%{}**字符12、护网期间怎么防范邮件钓鱼提供员工的安全意识护网期间不随意点击钓鱼邮件邮箱不使用弱口令如果被感染了直接拔网线。0x2 高频面试题第二套1、面试官开始就问了我为什么要学网络安全这里我就不给师傅们回答了这个看自己的发挥了尽量显的自己特别热爱安全把安全当成自己的一个兴趣后面我就开始给师傅们介绍下面试的问题吧然后最后面我也会给师傅们一些面试的经验然后从投递简历到面试再到面试通过选择去哪家公司的一个建议大佬勿喷2、什么是sql注⼊攻击者通过在输⼊的SQL查询中注⼊恶意代码来执⾏他们想要的操作⽐如获取敏感信息、删除或篡改数据等。这种攻击通常发⽣在⽤户输⼊没有经过充分验证和清理的情况下例如在⽹站的登录表单或搜索框中输⼊SQL语句。为了防⽌SQL注⼊开发者应该使⽤参数化查询和预编译的查询对⽤户的输⼊进⾏严格的验证和清理。3、关于sql注⼊都分为那些有回显和⽆回显⽆回显称为盲注包括布尔盲注或者dnslog外带来探测有回显可以union联合查询、报错注⼊、宽字节注⼊、堆叠注⼊、⼆次注⼊4、如果在实战中遇到了防护⽐如sql注⼊过滤掉了空格怎么办将空格URL编码例如%20 %0a5、什么是csrftomcat⽇志默认路径在安装⽬录下的logs⽂件夹下apache /etc/httpd/conf/httpd.confnginx的⽇志主要分为access.log、error.log两种可通过查看nginx.conf⽂件来查找相关⽇志路径6、简单讲解下内存⻢tomcat的servletAPI型内存⻢为例创建了⼀个恶意的servlet然后获取当前的StandardContext然后将恶意servlet封装成wrapper添加到StandardContext的children当中最后添加ServletMapping将访问的URL和wrapper进⾏绑定。7、讲下内存⻢排查思路首先判断是什么方式注入的内存马可以通过查看web日志以及看是否有类似哥斯拉、冰蝎的流量特征如果web日志中没有发现那么我们就可以排查中间件的error.log日志8、平常有对APP、小程序渗透测试嘛有的9、你是用什么工具对app进行抓包我是使用的雷电模拟器然后使用burpsuit配合进行抓取app数据包的10、针对apache的⽂件上传可以使⽤什么上传.htaccessapache解析漏洞如果上传.htaccess那么当前⽬录就会按照htaccess中的配置执⾏11、关于图⽚⻢的制作你知道那些⽅法命令⾏⽅式copy 1.png/b1.php/a 2.png在⽂件头中加⼊GIF98aBurpSuite抓包修改图⽚body打开图⽚⽂件属性在详细信息那⾥写⼊⼀句话12、蚁剑和冰蝎的区别?冰蝎的流量进⾏了aes加密相对于蚁剑更加难以被检测webshell免杀性好。冰蝎更新了4.0更加安全和易注⼊。13、平常有挖企业src嘛可以说说你的资产收集过程嘛1、首先确定我们要挖的公司资产2、使用wps新建一个exec表格里面新建好几个表格备注比如根域名、子域名、小程序、app以及漏洞提交进度等情况3、上爱企查看这个企业的知识产权然后看网站备案然后看这个公司的股权穿透图这里有一个找边缘资产的好方法就是看股权穿透图找下面的子公司但是不同的企业src收录标准不一4、使用小蓝本查该公司的一个小程序、app然后保存在exec表格里面5、使用oneforall工具进行子域名挖掘然后保存到一个txt里面再使用灯塔进行子域名挖掘再汇总然后使用无影工具里面的辅助模块进行资产分类6、使用灯塔ARL自动化跑去找一些文件泄露的漏洞14、有自己的技术博客嘛在先知、freebuf等平台发表过文章嘛都有自己一直有保持写技术博文的习惯15、关于代码审计你知道那些说说看我主要是对Java代码审计⽐较熟悉例如⼀般Spring Boot项⽬中使⽤mybatis框架处理sql语句其中${包裹的参数如果是⽤户可控的就可能存在sql注⼊。Java中的命令执⾏函数Runtime类的exec⽅法和ProcessBuilder类反序列化函数和类加载函数例如readObject、Classload.defineClass类加载⽅法等。通过pom.xml排查引⼊的框架版本是否存在漏洞。还有⽂件上传/⽂件读取接⼝是否有充⾜限制是否存在任意⽂件上传和⽂件任意读取还了解⼀些例如codeql、Fortify SCA⾃动化代码审计⼯具16、Shiro-550 反序列化漏洞有了解嘛简单讲下shiro反序列化漏洞的特征cookie里有remember字段在整个漏洞利用过程中比较重要的是AES加密的密钥该秘钥默认是默认硬编码的所以如果没有修改默认的密钥就自己可以生成恶意构造的cookie了。检测的话利用burp抓包更改cookie可以看到响应包中的rememberMedeleteMe字段17、如果⽹站有CDN你如何查看他的真实IP地址多地ping主域名、⼦域名利⽤冷⻔国家的服务器来ping查询cdn解析历史利⽤cdn⼯具通过ping错误的⼦域名如果⽬标服务器开启了模糊域名就可以直接看到真实ipddos打光cdn流量再ping就是真实IP通过ssrf绕过cdn通过反弹shell直接得到IP敏感信息泄露例如phpinfo中就有ip社⼯进⾏邮件往来邮件头上就会有IP18、在校期间打过什么比赛介绍下再讲下让你印象最深刻的比赛这里师傅们就靠自己脑补了自己就把自己打过的比赛和获奖说下大公司还是蛮注重你在大学期间的比赛成绩的。0x3 高频面试题第三套1、面试官先就是很常态化的让我做了一个自我介绍自我介绍的大致内容这里就先忽略这里给大家分享下自我介绍的几个部分吧。师傅们可以看你自己是面试什么岗位比如实习啊还是社招还是一年一次的护网啊什么的。这里今天我就给师傅们分享下我的护网面试自我介绍的简单介绍吧因为是护网技术面试不像实习啊社招什么的主要还是以技术技能为主以及你的做过的项目经验等。所以你可以先跟面试官介绍下你的相关专业技能让面试官简单了解你会什么熟悉什么。其次就是介绍你的项目经验了你可以把你在学校或者在实习参加过的一些项目啊比如以前参加过的护网项目、渗透测试、漏洞挖掘等都可以跟面试官介绍下。还有就是你的工作经验要是有过工作经验以及实习网络安全相关的经验肯定是加分项的。还有就是在校获奖比如常打的CTF比赛之类的都可以跟面试官讲下。2、自我介绍不错听你讲熟悉TOP10漏洞可以讲下自己熟悉哪些方面嘛自己的话熟悉TOP10漏洞以及当前主流的web漏洞SQL注入、文件上传、XSS等漏洞的原理和防御以及相关漏洞的一些组合拳等都是有搞过的。3、sql注入原理可以讲下嘛攻击者利用SQL语句或字符串插入到服务端数据库中通过一些字符单引号、双引号括号、and、or进行报错获取数据库敏感信息。4、sql注入绕WAF有了解嘛平常有挖过相关漏洞嘛sql注入的waf绕过的话平常有做过包括src漏洞挖掘相关也是挖过sql注入的漏洞以及绕过方面也有相关经验。5、那sql报错盲注呢可以讲下嘛包括相关的常用函数报错盲注的话是xpath语法错误最大回显长度32常用函数updatexml()、floor()但是一般上waf了的话updatexml()、floor()函数一般都会被ban掉所以一般都会上网找一些别的函数替代比如ST_LatFromGeoHash()、ST_LongFromGeoHash()函数。6、可以讲下WAF的分类和原理吗WAF分类WAF分为非嵌入型WAF和嵌入型WAF。非嵌入型指的是虚拟机WAF之类的嵌入型指的是web容器模块类型WAF。7、那你去年护网去的哪是走哪家大厂护网什么岗位去年去的山东的一个银行走的qax蓝中研判岗。8、可以简单讲下你在护网期间最让你印象深刻的是什么吗一次就是护网的钓鱼邮件有好几次的钓鱼邮件让我分析然后那个钓鱼邮件的网站是某个政府的页面但是里面需要填身份信息然后分析过好几次印象比较深。还有就是后面最后那几天情人节那天银行那边的财务部分好像就是被打穿了然后领导搁那24小时值班太累了印象深刻。9、那你护网期间使用过什么安全设备吗护网期间使用的安全设备奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等10、那简单讲下你用的天眼的一些功能以及常用的检索语法吧就是里面有很多的检索功能以及一些匹配策略还有一些小工具比如解码小工具蛮常用的。比如天眼里面的运算符有AND/OR/NOT等都是需要大写11、你做过应急响应相关的工作吗可以讲下吗这里我就给师傅们总结好吧这里我是先讲应急响应的具体思路步骤然后讲了一个我的重保期间的应急响应应急响应具体步骤1首先检测有没有可疑的账号**2history指令查看历史命令**3检查异常端口和进程**netstat检查异常端口ps检查异常进程4查看一些系统日志以及常见的web安全日志5然后利用**查杀工具比如D盾12、webshell连接工具菜刀的流量特征讲下连接过程中使用base64编码进行加密其中两个关键payload z1 和 z2然后还有一段以QG开头7J结尾的固定代码数据包流量特征1请求体中存在evalbase64等特征字符2请求体中传递的payload为base64编码13、Java反序列化漏洞了解吗可以讲下你了解哪些吗Shiro-550 反序列化、log4j2远程代码执行漏洞、JNDI注入漏洞、Fastjson反序列化漏洞以及Weblogic反序列化漏洞。####14、有复现过吗以及挖过相关的漏洞之类的这里我说我利用vulhub以及docker和IDEA相关工具和平台这些漏洞都复现过然后挖过shiro以及weblogic的漏洞然后讲大多都是利用工具进行资产收集然后挖的。后来师傅也没多问别的了15、那内存马有了解吗以及如何进行检测内存马首先判断是什么方式注入的内存马可以通过查看web日志以及看是否有类似哥斯拉、冰蝎的流量特征如果web日志中没有发现那么我们就可以排查中间件的error.log日志16、那内存马清除呢知道吗因为内存马清除相关知识不是很了解所以我就简单的讲了下利用工具比如河马、D盾等进行webshell查杀清除。后来面试官就没问我什么了就再问了下我有时间去护网吗等一些问题。0x4 高频面试题第四套面试之前面试官师傅在看我的简历说我的简历写的不错。嘿嘿嘿后面的面试基本上很多都是面试官按照我的简历来进行提问的。1、你好看你简历上写参加过护网总共参加过几次地点又在哪总共参加过三次护网两次国护一次省护两次国护都在同一个项目都在北京一个园区一次省护是在杭州2、那可以讲下你护网的工作内容嘛护网期间使用的安全设备奇安信的天眼、NGSOC态势感知、长亭的蜜罐、IPS等**工作内容**分析安全设备的告警确定是攻击就提交给处置组封禁IP分析上报流量对恶意攻击进行分析和处理并撰写安全应急分析处理报告。3、你学校成绩如何有挂科吗学习成绩优秀没有挂过科在校期间获得多次校级奖学金以及在大二那学年获得我校校园之星的称号。4、未来你想做安全的哪一个领域目前的话还是打算先以贵公司实习为目的然后以后打算安全的方向的话主要以渗透测试、安服、红蓝攻防这些方向靠。5、看你简历在很多平台都提交过很多高危严重的漏洞是嘛是的在edusrc、CNVD、漏洞盒子、补天等漏洞平台提交多个高危严重漏洞。然后平常的话自己会去学习src方面的知识以及会进行src挖掘的工作。6、那你平常会去挖一些CVE漏洞嘛讲讲你挖过这些CVE中印象最深的挖掘CVE的话比较少一般主要是在VulnHub、Hack The Box 靶场练习平台复现CVE漏洞。7、linux命令熟悉吗可以讲下你熟悉的一些Linux命令吗1.查看用户信息查看用户账号文件信息cat /etc/passwd用于存储 Linux 系统中用户的密码信息cat /etc/shadow2.查看历史命令historyhistory -c3.检查异常端口和进程杀死进程netstat -tunlp检查异常端口ps aux检查异常进程**kill -9 名称杀死进程**4.检查linux的启动项和系统的定时任务crontab -lcrontab查看是否有异常的任务编写进来8、讲下linux被上传了webshell如何查杀首先top查看进程是否有cpu占用率特别高的以及ID是随机数的可以尝试kill进程再次查看还会不会出现这里感觉不太好。然后可以用ps -ef|gred查看进程详细信息用/proc找到进程cpsz下载文件放入微步在线云沙箱进行分析。确认是木马就删除文件。再cat /etc/rc 排查开机启动项和cat /etc/crontab 排查定时任务lastlastlog等排查日志和可疑用户。9、简单讲下XSS漏洞原理以及对XSS的了解XSS跨站脚本攻击是一种常见的Web安全漏洞攻击者可以通过注入恶意脚本**获取用户的cookie控制对方浏览器**。XSS攻击通常发生在网站中的搜索框、评论中。10、XSS有哪几种类型及区别反射型XSS反射型XSS攻击是一次性的攻击当受害者点击恶意链接url的时候恶意代码会直接在受害者的主机上的浏览器执行存储型XSS主要是将恶意代码存储到服务器中下次只要受害者浏览包含此恶意代码的页面就会执行恶意代码DOM型客户端的脚本程序可以动态地检查和修改页面内容不与服务端进行交互11、sqlmap使用过嘛讲下sqlmap写shell的条件改mysql.ini配置(需要去增加一条配置secure-file-priv需要使用root权限知道网站的绝对路径12、了解内网嘛了解13、永恒之蓝漏洞查看日志的特征利用端口为445且存在很多系统命令执行的流量且该资产存在被端口扫描的告警14、ms17-010是什么漏洞用了什么协议445端口、永恒之蓝漏洞、smb协议15、做过免杀吗现在主要的免杀手段是什么修改文件哈希值通过修改文件的哈希值来让杀软误判为合法文件从而突破查杀检测木马程序免杀通过将恶意代码制作成木马程序来绕过系统的安全防范机制.利用kali上的msf制作exe免杀木马16、黄金票据和白银票据了解吗可以讲下吗黄金票据也称为“域管理员组帐户”拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户能够创建新的域管理员和更改现有的域管理员帐户密码白银票据通常属于本地管理员帐户只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户区别黄金票据通常指一个具有域管理员权限的票据**而白银票据通常指**普通用户的票据17、可以讲下利用黄金票据前提条件吗域名称域的SID值域的KRBTGT账户的 Hash NTLM值伪造用户名可以是任意用户甚至是不存在的用户18、你知道内网横向有哪些告警类型吗cs相关告警、隧道类告警**、内网段的漏洞扫描、暴力破解**内网主机对内部其他主机的攻击行为该主机可能被黑客控制沦为跳板机企图控制更多的内网其他主机19、挖矿木马告警怎么判断1、可以在告警设备中查看告警的流量数据包查看是否有挖矿协议流量2、将目的ip地址放入到****威胁检测平台微步在线做检测看是否被打上矿池标签0x5 护网HVV面试笔记参加2025年国家护网的师傅们要是还需要其他的真实面试笔记题目答案可以扫描下面我们团队的知识星球二维码加入我们获取最新的面试笔记成功参加今年的护网行动互动话题如果你对网络攻防技术感兴趣想学习更多网安方面的知识和工具可以看看以下题外话题外话黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2026最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2026最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击文章来自网上侵权请联系博主