自我介绍

面试官您好！我叫王鹏宇，本科是在西南石油大学读的，是一所双一流大学。我本人对网络安全领域比较有兴趣的，并且想对国家网络安全建设做出贡献。我去年也参加了护网，在那边主要就是负责流量研判，然后其他像应急，溯源也多少做了一些，现在是在一家安全企业做安服，目前主要的工作就是，清点客户设备，看一下客户的设备，测试客户网站。

工作介绍

我们开展渗透测试工作，项目经理接到甲方的项目，一般就派35个人过去，甲方那边会给到我们资产信息表，领导给我们下发任务，一个平均每天5-10个站点。

​有时候会甲方只给域名，这就需要我们自己去收集信息。看有哪些资产对外暴露，真实ip，域名子域名相关域名，目录，端口，组件

在​甲方给到我们资产信息表后，我们针对资产信息表里的 ip 进行渗透测试，我们项目经理都会先拿着甲方的授权书给我们说，可以用扫描器的话，我们就会上漏洞扫描工具去扫。如果不让用的话，我们就会手工的去测。主要就是测试一下top10漏洞，然后收集网站信息，找一找nday。

​手工挖的话，就是针对站点的每一个功能，挨个去测。就先去测一下，sql，文件上传，xss，csrf等等是否脆弱，如果没问题，就截图留证，​然后重点找的就是逻辑漏洞，越权，并发，未授权等等

​如果有挖出来漏洞，等甲方的人员修复后，我们在复测一下，看漏洞是否还存在，然后重新扫描一遍，如果没什么问题，就写写复测报告交上去。

​这就是我正常做渗透测试的一个流程。

登录页测试

看到一个登录页的话，就测一下登录，注册，密码重置的功能点有没有什么问题，比如像什么，弱口令暴力破解啊，sql注入xss啊，万能密码啊，用户名手机号邮箱的枚举啊，越权登录啊，用户任意注册啊，任意用户覆盖啊，任意密码重置啊，然后就是电话号码，邮箱的轰炸，有没有做时间限制，能不能并发，然后就看看验证码的问题，验证码的可重放，可爆破，可识别，可绕过等等。然后可以看一看js前端泄露，用findsometing，看看有没有接口未授权

逻辑漏洞

首先逻辑漏洞就是根据功能点和数据包来测试的。

越权漏洞，就看看数据包参数中有没有用户id或者用户权限的相关字段，增删改一下尝试一下

并发漏洞，万物皆可并发啊，什么功能点都有可能因为同步机制问题出现漏洞，比如一个视频网站，点赞取消点赞并发，是不是可以搞事情，一个购物网站优惠券并发是不是可以薅羊毛，一个抽奖并发是不是可以白嫖。

支付漏洞，支付漏洞就看一下商品金额/数量篡改，比如金额数量负数小数，整数溢出有没有问题，账户充值的时候可不可以修改充值账户，可不可以绕过支付验证，让网站以为已经支付了等等

评论漏洞，有评论的地方就可以试试，xss，csrf发评论，并发刷评论啊，并发刷点赞啊什么的

hw

我去年就是在成都的一家公司护网的，负责的基本上就是流量研判，然后其他像应急，溯源也多少做了一些

告警

看告警，基本上就看各种的攻击流量啊，基本上就一些sql注入，xss，命令执行，反序列化啥的，很多是一些网站组件的nday。

有时候会看到一些钓鱼邮件，但钓鱼邮箱一般看不出什么，但是点一下右上角箭头，然后查看邮件原文可以看到ip，有时这个ip会是真实地址。

png图片后面跟参数，太明显了

应急，溯源

当时是态势感知报了一个服务器的可疑外联行为，项目经理就让我先去看一看，那是一台windows的服务器，我用rdp连上之后就先看外联ip嘛，netstat -ano，把那个可疑ip放到威胁平台上面，哦嚯，确实是一个恶意ip，然后就根据这个外联程序的pid找到对应进程和恶意文件，是一个png文件，取了样之后，我就把进程和恶意文件杀掉了，看了一下日志，后门是通过一个反序列化利用的的，就上报一下交给其他师傅去加固，然后去看其他的一些权限维持嘛，我下载了一个火绒剑去看当时，就看到攻击者做了一个定时任务和注册表的维持，然后对着应急手册查了一下其他的后门，也没发现什么，然后就是写报告上报。

就是当时有一个的恶意文件样本，我先上传到微步，报出后门的ip，查了一下ip，一台腾讯云服务器，然后在把这个ip放到威胁情报平台发现报了远控后门,漏洞利用,扫描器什么的，然后我查了一下那个恶意ip的备案信息和whois，就发现whois上面暴露了他攻击者的姓名和邮箱，然后我就把邮箱放在社工平台上面，就找到了这个一条和这个人姓名一样的信息，拿到了对方的姓名，住址，手机号等等，是个湖北人啊，那基本上可以确定了，然后就是写报告上报嘛。