0x08 小鹏汽车-安全工程师

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

1. 自我介绍

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. 有没有挖过src?

参考完整回答（漏洞挖掘经验）：

漏洞挖掘我不会说成纯工具扫描。我的流程是先确定授权范围和资产清单，再根据资产类型选择策略：后台类系统重点看弱口令、越权、文件上传和接口泄露；API 类系统重点看鉴权、签名、重放和参数污染；老旧系统重点看组件版本和历史 CVE；云资产重点看对象存储、密钥泄露和安全组。

举例回答可以说：我曾在测试环境中通过 JS 文件和接口文档定位到一个未在页面展示的管理接口，用低权限账号访问后发现只校验登录态，没有校验角色，最终形成垂直越权。提交报告时我写了复现步骤、影响范围、截图证据、修复建议和复测结果。

3. 平时web渗透怎么学的，有实战吗?有过成功发现漏洞的经历吗?

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

4. 做web渗透时接触过哪些工具

参考完整回答（安全工具使用）：

工具我会按场景讲。信息收集用 FOFA、Shodan、ZoomEye、OneForAll、subfinder；端口和服务识别用 Nmap、Masscan；Web 测试用 Burp Suite、sqlmap、dirsearch、nuclei；流量分析用 Wireshark、tcpdump、Zeek；代码审计用 IDE、Semgrep、CodeQL；应急排查用系统命令、日志平台和 EDR。

我会强调工具只是辅助，扫描结果必须人工复核。比如 sqlmap 报注入后要确认参数、数据库类型、权限和业务影响；nuclei 命中模板后要确认版本和响应证据。授权、限速和不影响业务是使用工具的前提。

5. xxe漏洞是什么?ssrf是什么?

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

6. 打ctf的时候负责什么方向的题

参考完整回答（CTF复盘）：

CTF 题复盘要讲清题型、关键突破点、踩坑和沉淀。比如 Web 题可以按信息泄露、源码审计、参数污染、反序列化、SSTI、SQL 注入等链路讲；Pwn 题讲保护机制、溢出点、泄露地址、ROP 或堆利用；Crypto 题讲算法弱点和数学条件。

关键是不要只说“做出来了”，而要说明自己如何定位问题、如何验证假设、失败过哪些思路、最后沉淀了什么工具或知识点。

7. 为什么要搞信息安全，对安全这一块有多大的兴趣，以后会不会转行，还是打算一直从事安全方面工作

参考完整回答（为什么要搞信息安全对安全这一块有多大的兴趣以后会不会转行还是打算一直从事安全方面工作）：

这题我会这样完整回答：针对“为什么要搞信息安全，对安全这一块有多大的兴趣，以后会不会转行，还是打算一直从事安全方面工作”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

8. 自己平时怎么学安全的，如果让你做一个新的方向（app安全），会投入多少时间去学习，还是说有自己想做的方向

参考完整回答（APP安全测试）：

APP 安全测试我会从客户端、通信、服务端接口和本地存储四块看。客户端侧做 APK 反编译，查看敏感信息硬编码、加固情况、调试开关、WebView 配置和组件暴露；通信侧抓包看 HTTPS、证书校验、是否可中间人、参数签名和重放；接口侧测试越权、注入、弱鉴权、验证码绕过；本地侧看 SharedPreferences、SQLite、日志和缓存中是否存敏感数据。

常用工具包括 jadx、apktool、MobSF、Frida、Objection、Burp、Charles。遇到证书绑定可以用 Frida hook 或测试包关闭校验，但要在授权环境中进行。

9. 聊一聊代码审计的流程

参考完整回答（Java代码审计）：

Java 审计我会从路由和鉴权开始，看 Controller、Filter、Interceptor、Spring Security/Shiro 配置和权限注解是否覆盖所有接口。数据访问层重点看 MyBatis 的 ${} 拼接、JPA 原生 SQL、排序字段拼接和多租户条件缺失。危险能力方面看反序列化、Fastjson/Jackson、SpEL/OGNL、模板引擎、文件上传下载、SSRF、XXE 和第三方依赖 CVE。

举例来说，审 SQL 注入时我会搜索 MyBatis XML 里的 ${}，确认参数是否来自请求；如果是 order by，我会要求白名单字段映射。审越权时会看接口是否从 token 中取用户身份，并校验资源 owner，而不是直接使用请求里的 userId。

10. 平时是怎么做代码审计的

参考完整回答（Java代码审计）：

11. 有没有审计过开源框架、CMS?

参考完整回答（Java代码审计）：

12. 怎么判断一个数据库是mysql还是oracle的?

参考完整回答（数据库识别）：

判断数据库类型可以从报错信息、SQL 方言、函数、注释、默认端口和系统表入手。MySQL 常见函数有 version()、database()，注释可用 # 或 --；Oracle 常见 dual 表、rownum、user_tables；SQL Server 有 @@version、xp_cmdshell、方括号；PostgreSQL 有 current_database()、pg_catalog。

在渗透或审计中识别数据库类型是为了选择正确的注入语法和修复建议。但生产环境应关闭详细错误，避免把数据库类型、版本和 SQL 语句直接回显给用户。

13. sql注入的种类，利用方式?

参考完整回答（SQL注入绕过）：

SQL 注入绕过通常是因为防护用了黑名单，比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代；过滤逗号时，MySQL 某些场景可以用 join、from for 或子查询改写。

但我在面试中会强调：绕过技巧说明黑名单不可靠，修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助，但不能代替代码层修复。

14. 聊一聊sql注入的原理及防御思路

参考完整回答（SQL注入绕过）：

15. 做开发的时候用的是什么语言

参考完整回答（安全工具开发）：

安全工具开发我会先明确工具目标：是资产发现、漏洞扫描、代码审计、日志分析还是告警处置。以漏洞扫描器为例，核心模块包括任务调度、资产输入、指纹识别、PoC 模板、请求限速、结果去重、误报复核、报告输出和权限控制。PoC 设计上要尽量无害验证，避免写文件、删数据或执行破坏性命令。

工程上还要考虑稳定性和可维护性：超时重试、并发控制、代理支持、失败日志、模板版本管理、资产标签和历史结果对比。安全工具本身也要做鉴权和审计，避免变成新的攻击入口。

16. 做java开发的时候用过什么框架，能不能做java安全开发

参考完整回答（Java代码审计）：

17. 有没有做过安卓开发

参考完整回答（安全工具开发）：

18. 有没有用python写过工具?

参考完整回答（Python安全库）：

Python 在安全里常用于自动化验证、扫描、协议交互和应急分析。HTTP 测试常用 requests/httpx，底层网络用 socket，构造和解析数据包用 scapy，SSH 运维用 paramiko，Windows/域协议相关常见 impacket，加密和证书处理用 cryptography、hashlib、hmac、ssl，DNS 分析用 dnspython，HTML 解析用 BeautifulSoup/lxml，恶意样本规则可用 yara-python。

如果被问“有没有用 Python 写过工具”，我会举一个具体例子：比如写过一个批量资产存活探测和标题指纹识别脚本，输入域名/IP 列表，异步请求 HTTP/HTTPS，提取状态码、标题、Server、证书信息和指纹，做去重和导出。重点强调限速、超时、异常处理和授权范围。

19. msf利用的是哪个漏洞，有没有成功反弹?

参考完整回答（msf利用的是哪个漏洞有没有成功反弹）：

这题我会这样完整回答：针对“msf利用的是哪个漏洞，有没有成功反弹?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

20. 护网的时候主要做了些什么，聊一聊对安全产品的理解

参考完整回答（护网）：

护网如果是蓝队角色，我会说主要工作包括资产梳理、暴露面收敛、弱口令治理、基线加固、WAF/IDS/EDR 告警监控、流量研判、应急处置和复盘报告。遇到告警时先确认资产和攻击链，再判断是否成功入侵，最后做封禁、隔离、修复和溯源。

如果是红队角色，则按目标画像、信息收集、漏洞验证、权限获取、内网横向和目标达成讲。无论红蓝，都要说清自己实际负责的动作，例如分析了哪些日志、处置了什么告警、发现了什么入口、如何推动修复。

21. 公司现在需要做app安全的人，现在要你做的话，你会去学吗，或者说感兴趣吗，还是说有别的想做的，不想做app安全，能投入多少时间去学

参考完整回答（APP安全测试）：

常用工具包括 jadx、apktool、MobSF、Frida、Objection、Burp、Charles。遇到证书绑定可以用 Frida hook 或测试包关闭校验，但要在授权环境中进行。

22. 内网渗透了解吗?聊一聊内网渗透的思路

参考完整回答（内网渗透/横向）：

内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别，重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索，例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证；如果授权允许，再验证横向移动和权限提升路径。

防守视角我会补充：内网安全不能只靠边界防火墙，要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。

返回安全面经目录