上海SOC岗

写这一篇主要也是想着理一下思路，多想多看一点说不定面试的时候就不会两眼一摸黑了。

小的真的怕了。。。。。

面试形式以及注意点

上海线下面试

英文自我介绍,有面试题

自我介绍

---

English Version

Good afternoon, interviewers.

My name is xxxx

I learned that this internship focuses on security monitoring and threat hunting, which I'm very eager to learn and contribute to. I believe my technical passion, fast-learning ability, and sense of responsibility will allow me to quickly integrate into the team.

That's all for my self-introduction. Thank you.

---

知识点整理

SOC

参考文章

https://www.anquanke.com/post/id/95231

SOC就是Security Operation Center，也就是安全运营中心

典型的SOC基础设施包括防火墙、IPS/IDS、漏洞检测解决方案、嗅探、安全信息与事件管理系统（SIEM）

一些事件说明的注意事项

1. 日志和攻防的基础都是时间差，也就是说时间越同步越精确，时间处理越准确高效。

2. 账户管理要到位，所有账户必须通过堡垒机进行管控，特权账户必须申请，审批后授权，然后需要及时收回，同时对操作要按时做审计，最后一定要把弱口令干掉。

3. 中毒区域及时隔离，能恢复就回复，不能回复的想办法恢复，低权限可以暴力重装，蜜罐规则和机制要把控好，一些高危端口别开放，访问控制和规则要严谨，最后做好日志监控和相应的备份，顺便提一下，蜜罐玩不好还是要节制，不然责任基本上都是在你。

目标：运维监控堡垒机权限、账户管理权限、日志服务器权限、变更审计权限

webtop10

SQL注入

主要分为盲注、联合注入、报错注入、堆叠注入之类的

盲注主要是时间盲注和布尔盲注，根据返回时间以及页面提示判断是否注入成功

联合注入主要是通过union将恶意的sql命令拼接在原始命令后面，实现恶意注入

堆叠注入主要是通过；封号，另起一个独立的sql语句进行注入

报错注入主要是通过触发数据库错误回显信息（ 如extractvalue或者updatexml），获取敏感信息

防范措施：在代码层就是通过预编译的方式进行参数化查询，或者限制用户权限，输入过滤

在运维层就是waf设置规则拦截，定期漏洞扫描，数据库监控日志

运营总结：

日志埋点：在WAF/反向代理层 开启SQL语义分析规则，把SQLi特征（union select sleep（））等请求标记为event_type=sqli_probe，写入SIEM

基线告警：单个ip在固定时间内访问频率很高且响应码200的话就可以封30min，如果看到500响应码并伴随数据库错误信息就可以视为高优先级的事件

应急剧本：拉取该ip近期全量日志，搜索同一sess_id是否登录成功，若有则冻结账号并强制重登，再对比关键字段回滚异常交易

长期治理：参数化查询

跨站脚本（xss）

反射型

存储型：持久化攻击，恶意脚本被存储在了服务器上

DOM型：在客户端执行、

运营：

日志埋点：WAF记录含script等关键字的event_type为xss，resp_status是否200返回，防止绕过。

基线告警：自动挑战人机验证

应急剧本：存储XSS被投毒，清CDN缓存，搜索数据库关键字段，全局转移输出，发安全公告

长期治理：前端 React+JSX自动转义，内网部署 XSS Hunter 做持续盲打测试

不安全的反序列化

php反序列化，java反序列化，利用在反序列化中会自动调用的方法（比如php中魔术方法wake_up,destroy，java中的readObject）构造恶意链执行恶意代码

运营：

日志埋点：若出现InvokerTransformer等黑名单立刻告警

基线告警：反序列化接口出现异常类名

应急剧本：反序列化RCE疑似下线该节点，抓内存取证，网络隔离，jar哈希包是否被植入

服务端请求伪造SSRF

SSRF是指攻击者利用服务器对内部网络的信任，滥用服务器上的功能来读取或修改内部资源，在这种攻击中攻击者可以修改或提供url，让服务器按照这个url去读取数据。

Redis是一个开源的、基于内存的数据存储结构，默认端口是6379，它可以用作数据库、缓存和信息中间件。Redis以键值对的形式存储数据。

未授权访问：没有设置密码或绑定特定ip

RCE：攻击者通过Redis写入SSH密钥或定时任务反弹shell

gopher协议

gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$1%0d%0a1%0d%0a

dict协议：默认端口2628

dict://127.0.0.1:6379/

curl

curl是常用的命令行工具，用于请求Web服务器（客户端client的URL工具）

AK/SK

云服务提供商提供的身份验证凭证，AK是访问密钥ID，SK是秘密访问密钥

运营：

日志埋点：在curl，HttpClient层打印src_ip,dst_ip等，并且标记内网网段

基线告警：公网触发内网标记，封ip

应急剧本：阻断实例出网，抓网络连接，检测是否获取了AK/SK，立刻轮换云密钥

长期治理：统一使用代理网关+DNS白名单

跨站请求伪造CSRF

CSRF是指攻击者利用网站对用户浏览器的信任，只对能引起服务端状态变化的请求有效，攻击者不直接获益。

XXE

XML实体是XML中用来定义可重复内容的机制，当XML文档被解析时，这些实体引用会被替换成实际的内容：内部实体，外部实体，参数实体

经典XXE(读取本地文件)，盲注XXE（通过外带数据（OOB）技术获取文档）、错误型XXE

日志标准化trace_id+tenant_id，方便跨链追踪

经历回顾与思考

2024年省赛：

印象比较深的ctf近期比赛

可能面试问题整理

核心概念类

什么是安全运营工程师？

什么是SOC（安全运营中心）？它的主要职能是什么？

追问：SOC和SIEM是什么关系？

SIEM是什么？它有什么作用？ (你搭建的ELK就是一个轻量级SIEM)

请描述一下安全事件处理的一般流程（Incident Response Lifecycle）？

什么是威胁搜寻（Threat Hunting）？它和传统的监控告警有什么不同？

一份合格的安全事件报告应该包含哪些关键元素？

技术工具与产品类（高频）

你搭建过ELK栈，请简单说说它的三个核心组件（Elasticsearch, Logstash, Kibana）分别负责什么？

你了解Splunk吗？它和ELK相比有什么特点？ (即使不熟，也要说出它是做日志分析和管理的)

你简历里提到“了解常见安全产品”，请谈谈：

防火墙和WAF的主要区别是什么？ (考察点：网络层 vs. 应用层)

EDR（终端检测与响应）是做什么的？它通常部署在哪里？

你听说过Sysmon吗？它的作用是什么？

网络与架构类（高频，可能画图）

在渗透测试中，你用过BurpSuite、Xray、Wireshark，请说说它们在渗透测试不同阶段的作用。

请画一个典型的企业网络架构图，并标出防火墙、WAF、交换机、EDR等设备的大致部署位置。

为什么WAF通常部署在DMZ区，而EDR部署在每个终端？

TCP/IP三次握手的过程是怎样的？为什么连接是三次，而关闭是四次？

HTTP和HTTPS的主要区别是什么？

DNS的作用是什么？如果企业内部DNS服务器出现异常，可能会导致什么安全风险或业务问题？

安全分析与应急响应类（核心考察）

你在日志分析平台发现大量针对某一台服务器的“Failed Login”告警，你的分析思路是什么？

可能的追问：你认为这可能是什么类型的攻击？你会如何排查和响应？

.如果你发现一台主机有对外发起的大量ICMP流量，你会怎么想？如何调查？

你在Edusrc挖到过SSRF和文件上传漏洞，请描述一下：

SSRF漏洞的原理是什么？在流量日志里可能会有哪些特征？

如果让你为这个文件上传漏洞写一条WAF规则来防御，你的思路是什么？

假设你从EDR收到一条“疑似勒索软件加密行为”的高危告警，你的应急响应步骤是什么？

你如何从海量日志中判断一次Web攻击（比如SQL注入）是否成功？

编程与脚本能力类（大概率上机笔试）

考察你的自动化能力和基础编程思维。

（手写代码）给你一个文本格式的日志文件（比如access.log），写一个Python脚本，统计出访问次数最多的前10个IP地址。

（手写代码）写一个简单的Python脚本，使用requests库去检测一个URL列表中的链接是否可访问（返回200状态码）。

（思路题）如果需要你写一个脚本来自动分析Windows安全日志（如4625登录失败），你会考虑使用哪个Python库？你的脚本逻辑大致是怎样的？

简历深挖与行为问题类（100%会问）

考察你的沟通能力、项目真实性和个人特质。

请用英文/中文做一个自我介绍。 (核心！)

详细讲讲你在CTF比赛中负责的Web漏洞挖掘，你具体挖到了什么类型的漏洞？是怎么发现和利用的？

在你的渗透测试经历中，除了漏洞本身，你对“渗透测试流程”有什么理解？ (考察：信息收集、漏洞扫描、漏洞利用、后渗透、报告撰写)

你提到有“较强的沟通协调能力”，能否举一个在团队项目中，你通过沟通解决技术分歧或推动项目进度的例子？

你为什么选择网络安全这个方向？为什么对我们公司（Orange Cyberdefense）和这个SOC岗位感兴趣？

你的职业规划是什么？

你有什么问题想问我们吗？ (务必准备2-3个有深度的问题)

实际的面试

嘿嘿，这个面试比我想象中的轻松一点，两位师傅也是很亲和哈哈哈。

我前一天超级紧张，到现场倒是感觉还好，稍微整理一下问了什么

首先是做了一个试卷

里面内容很多，我都是尽量做，大概有一些简单的python脚本编写，企业的网络架构，follina漏洞，

安全报告的要素，

如果一个账号有多地登录的报警，你会怎么响应

如果在主机上看到了一个疑似恶意的文件，要怎么处理

稍微问了几个英语问题

你是从哪里知道的ELK(因为我在自我介绍里说我近期搭建了ELK)

你对我们公司有什么了解

然后就是中文问题

在你的这些项目中你主要干了什么

DMZ的作用

Follina漏洞的原理和它与其他office漏洞相比最大的特点

WAF和防火墙的区别

windows和linux中如何检测当前网络连接

防火墙是否可以部署在应用层

ctf比赛中挖到的特别的漏洞

xray和burpsuite 的代理连接模式

漏洞挖掘的一般过程

在漏洞探测阶段你都是怎么操作的

xss和csrf的区别

在一个账号多地登录的情况下，还有什么可能

如果用户收到了一份已经确定是恶意的邮件，你要怎么响应

沙箱

了解windows里的域吗

防火墙是如何接入的

你对于我们公司有什么问题

差不多这样吧，好像有些忘记了。

哦，还有这次面试面试官是拿着我的博客问我的，所以我感觉大家有一个自己的博客，不管是对于别人了解你，还是自己了解自己都是有帮助的。

这次面试其实也暴露了我计算机网络的知识还是不够扎实以及思维方面还是有点局限了。得找个时间系统性地学习一下，

但是也是美美通过了，嘻嘻੭ ᐕ)੭*⁾⁾，期待和各位师傅的共事