0x01 阿里云安全实习

0x01 阿里云安全实习

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

1. 自我介绍

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. 看你简历上说擅长java、php代码审计，也没有类似的经历能够分享一下，比如说独自审的一套代码或者开源项目，从中发现的一些比较高危的问题

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

3. 在审项目的时候，比如一个web网站，简单说说思路

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

4. 简单描述一下什么是水平越权，什么是垂直越权，我要发现这两类漏洞，那我代码审计要注意什么地方

参考完整回答（越权）：

越权分水平越权和垂直越权。水平越权是同权限用户访问他人资源，例如 A 用户通过修改 orderId 看到 B 用户订单；垂直越权是低权限用户访问高权限功能，例如普通用户调用管理员删除接口。根因通常是服务端只校验“是否登录”，没有校验“是否有权访问这个资源或动作”。

测试时我会准备两个不同角色或不同用户账号，对比请求中的 userId、tenantId、role、resourceId、orderId 等参数，尝试替换后看响应是否越界。修复必须在服务端统一鉴权，基于当前登录用户从服务端上下文取身份，校验角色、租户和资源归属，不能相信前端传来的 role 或 userId。

5. 解释一下ssrf

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

6. 怎么防御ssrf，场景：http://ip/?url=image.jpg

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

7. 常见的内网段有哪些，他们的掩码是什么

参考完整回答（内网网段）：

常见私有地址包括 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16；本地回环 127.0.0.0/8；链路本地 169.254.0.0/16；IPv6 本地回环 ::1、唯一本地地址 fc00::/7、链路本地 fe80::/10。SSRF 防护中这些都应考虑。

8. 教育系统攻防演练，分享一个渗透的例子

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

9. 除了学校，有没有试过渗透别的系统

参考完整回答（除了学校有没有试过渗透别的系统）：

这题我会这样完整回答：针对“除了学校，有没有试过渗透别的系统”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

10. 像这样的场景（给内网靶标），渗透内网系统的思路

参考完整回答（内网渗透/横向）：

内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别，重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索，例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证；如果授权允许，再验证横向移动和权限提升路径。

防守视角我会补充：内网安全不能只靠边界防火墙，要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。

11. 反问环节（问了工作内容）

参考完整回答（反问）：

反问可以围绕岗位职责、团队方向、技术栈、培养机制、实习生预期、日常工作比例和后续流程。不要只问薪资和作息，可以问“这个岗位更偏漏洞研究、工程建设还是应急响应？”来体现目标感。