2025hvv某厂商一面的问题及整理的答案（二）

态势感知

利用人工智能深度学习技术，将收集来的各种信息例如日志 流量 等信息，进行检测分析然后做出相应的处置 预警 再进行一些可视化的监测和报表除此之外可能还有集成了沙箱威胁情报功能模块

1. 360态势感知：由中国著名安全厂商360推出的产品，主要提供网络威胁查询、漏洞扫描、流量分析等功能，同时集成了各种安全情报和指标，可以为用户提供全面的安全态势分析和预警服务。

2. 腾讯云安全大脑：由腾讯云推出的产品，利用 AI、机器学习等技术对攻击进行实时监测和分析，提供包括漏洞扫描、风险评估、异常检测等一系列安全服务。

3. 云锁事件响应中心：由阿里云推出的产品，提供网络空间威胁和安全事件的监测、预警、应急响应等服务。该产品采用 AI 算法进行态势感知，并可以自动化响应安全事故。

4. 北京赛迪态势感知系统：由北京赛迪安全科技股份有限公司开发的产品，支持网络威胁情报搜集、风险事件自动识别、威胁行为关联分析等功能，可为企业提供全生命周期的网络安全保护。

5. 启明星辰安全态势感知：由启明星辰推出的产品，提供整体安全态势感知、针对性攻击检测、应急响应等功能，可帮助用户实现从被动防御到主动防御的转变。

XXE（XML的外部实体注入）

在发生XML实体注入-内网存活主机探测告警后，如何判断是否攻击成功？

1、可以根据请求体的payload的信息判断、在存在漏洞的主机主动访问内网的其他服务或者终端 2、根据payload的内容找到内网探活的主机IP，查看IP是否有被访问的流量信息。 3、在客户授权的情况下，进行验证，看是否存在漏洞

SSRF 原理协议防御

服务端提供了能够从其他服务器应用获取数据的功能，我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务，但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制，攻击者可通过篡改这个请求的目标地址来进行伪造请求，进行未授权访问。 常用协议 file 用于读取文件 dict 用于探测一些端口 以及数据库信息 ssrf.php?url=dict://x.x.x.x:$端口$ ssrf.php?url=dict://x.x.x.x:6379/info 判断是否redis设置了密码 ssrf.php?url=dict://x.x.x.x:6379/auth:$密码$用于爆破 LDAP 目录扫描 TFTP 它允许客户端从远程主机获取文件或将文件上传至远程主机 上传shell sftp gopher

危害： 扫描资产 获取敏感信息 攻击内网服务器 访问大文件 造成溢出 通过redis 写入webshell

出现场景： 社会化分享 转码 在线翻译 远处的非本地图片加载下载 图片或者文章的收藏 网站采集抓取

防御

1. 对所有输入进行严格的验证和过滤：开发人员在编写Web应用程序时应对所有输入数据进行严格的验证和过滤，以确保不会将任何恶意代码或非法请求发送到受害者服务器。

2. 使用白名单：开发人员可以使用白名单技术限制应用程序仅向可信的服务器发送请求，例如内部服务器或特定的Web API。

3. 限制服务器端请求发出范围：在服务器上的Web应用程序必须限制服务器端请求的发出范围，例如通过禁止或限制特定的协议、域名或IP地址，以避免攻击者可以利用SSRF漏洞来发送恶意请求。

4. 防火墙保护：使用防火墙的隔离技术可帮助防止恶意代码和非法请求进入Web应用程序，并限制其对其他系统的访问。

安全加固

公用的安全加固方式

1. 更新补丁：定期更新操作系统、应用程序的补丁，修复已知的漏洞和安全问题。

2. 强化口令策略：采用复杂、难以猜测的密码，并进行定期更换。同时可以启用账户锁定、多次失败尝试限制等功能，提高口令安全性。

3. 加强身份验证：采用多因素身份验证技术，例如使用硬件令牌、生物特征等方式，确保只有授权用户才能访问系统。

4. 安装防病毒软件：安装并及时更新防病毒软件，定期进行全盘扫描和实时监控，以便及时发现和处置潜在的恶意软件。

5. 关闭不必要服务：关闭系统中不必要的服务和端口，降低攻击面，避免被利用。

6. 限制访问权限：根据业务需要，设置合理的访问权限，对于未授权的用户或者设备进行限制，提高系统的安全性。

7. 数据备份与恢复：定期备份重要数据，并将其存储在安全可靠的位置。在出现故障或事件时，能够快速恢复数据，避免数据丢失和系统停机。

Linux 安全加固：

1. 更新所安装的软件包：定期更新系统中所有软件包以修复已知漏洞。

2. 禁用不必要的服务：禁用不必要的网络服务，减少攻击面。

3. 配置防火墙：使用防火墙限制入站和出站网络流量，只允许合法的流量通过。

4. 加强密码策略：设置强密码策略并启用多因素身份验证。

5. 禁用 root 登录：禁止使用 root 用户登录系统，并将 sudo 和 su 访问权限限制到必要的人员或组。

6. 使用 SELinux 或 AppArmor：使用 SELinux 或 AppArmor 来实现更细粒度的应用程序和文件访问控制。

7. 配置 SSH 访问：使用 SSH 协议连接服务器时配置限制 IP 地址和端口号等安全措施。

8. 定期备份数据：定期备份重要数据至外部存储设备，以防止数据丢失和系统损坏。

Windows 安全加固：

1. 更新操作系统和软件：及时安装 Windows 操作系统和软件的安全更新。

2. 禁用 SMBv1：由于 SMBv1 协议存在一些严重的漏洞，建议禁用 SMBv1 协议。

3. 启用 UAC：启用用户账户控制（UAC），以限制非管理员用户的系统访问权限。

4. 配置防火墙：使用 Windows 防火墙过滤不必要的网络流量，并确保只允许合法的流量通过。

5. 使用 BitLocker 或类似的加密工具：对重要数据和文件进行加密存储，以避免数据泄漏。

6. 配置组策略：使用本地组策略或 Active Directory 组策略来限制用户和计算机的访问权限。

7. 检查安全事件日志：定期检查 Windows 安全事件日志，了解系统中发生的任何异常事件。

8. 定期备份数据：定期备份重要数据至外部存储设备，以防止数据丢失和系统损坏。