• 研判
• 冰蝎和哥斯拉流量

看冰蝎版本，2.0/3.0/4.0版本不一样部分流量特征也不一样，加密方式必须了解清楚

冰蝎3.0/4.0有什么区别

哥斯拉加密方式aes base64 md16位，记字段特征

• DNS类型的攻击怎么研判是否成功

抓流量看请求响应

• 反序列化：如何在态势感知中的误报和找到正确的攻击流量

反序列化漏洞每个版本反序列化漏洞特征不一样，对照de漏洞特征查看请求响应包括日志情况

4. webshell工具的流量在告警流量包里的特征
5. 怎么通过流量包判断被进行sql注入了
6. 如何通过流量包判断是否正在或成功被利用java漏洞
7. 如果使用了负载均衡，怎么通过内网的告警确定外网ip
8. 反序列化漏洞，SQL注入漏洞，文件上传漏洞在设备上如何体现
9. shiro原理 特征 利用条件
10. fastjson原理 特征
11. 常见中间件都问了一遍
12. 除了常见的反序列化漏洞 fastjson weblogic 这些，其他的范围有了解吗
13. 护网工作的一个流程是什么？

• 渗透测试
  • 正向代理和反向代理区别，有哪些常用的工具？

客户端服务端

• sql注入、文件上传
• 渗透测试思路
• 信息搜集思路
• 常见的具有java反序列化漏洞框架名称：shiro，fastjson
• NPS的漏洞（获取真实IP）
• 内网隧道搭建常用工具（frp)

• 应急响应
  • 别人上传了webshell，如何快速找到文件位置
    1. Linux
    2. Windows
    3. 态势感知怎么定位
  • 如果在windows上只有一个外联ip，怎么定位webshell
  • java内存马如何排查，怎么查杀
  • 对已经被钓鱼上线cs的办公机该如何进行处理
  • 横纵向越权的防护
  • 内存马应急响应
  • 对木马样本的分析（钓鱼）
  • 有个进程杀不掉，杀了又起来，怎么处置（php不死马这类）
  • linux/windows应急命令
  • **类型的攻击怎么处置（除了封IP）
  • 钓鱼钓进来了怎么办
• 溯源

1. 有手机号如何进行溯源得到真实名称甚至地址（除社工库）
2. 得到红队的vps如何去进行溯源
3. 溯源经历
4. 纯手工溯源以及思路