0x09 阿里巴巴-阿里云安全

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. 自我介绍一下，讲一下课题和课外实践?

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. WAF管理平台后端API有做过压力测试吗?

参考完整回答（WAF/IDS/误报）：

WAF/IDS 误报多来自规则只看单个关键字、缺少业务上下文、参数位置不同、编码变化、正常运维脚本触发和资产类型差异。比如 mysql 执行 powershell 可能是运维脚本，也可能是入侵后的横向行为，不能只看一个命中点。

优化时我会做分层：高危明确攻击特征可以阻断；中低危先告警并结合频率、来源信誉、参数位置、响应码、命中规则数、登录态和资产重要性打分；对确定的正常业务加精确白名单，而不是大范围放行；持续把处置结果反馈到规则，形成闭环。

3. 你现在的论文已经发表了吗?

参考完整回答（你现在的论文已经发表了吗）：

这题我会这样完整回答：针对“你现在的论文已经发表了吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. 你的毕业论文是什么?

参考完整回答（你的毕业论文是什么）：

这题我会这样完整回答：针对“你的毕业论文是什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

5. 在字节跳动训练营最大的收获是什么?

参考完整回答（在字节跳动训练营最大的收获是什么）：

这题我会这样完整回答：针对“在字节跳动训练营最大的收获是什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

6. 在研究生期间或日常生活中有什么可以分享的有意义的事情?

参考完整回答（在研究生期间或日常生活中有什么可以分享的有意义的事情）：

这题我会这样完整回答：针对“在研究生期间或日常生活中有什么可以分享的有意义的事情?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 快排的时间复杂度是多少?

参考完整回答（算法基础）：

算法题我会先澄清输入输出和边界条件，再给思路、复杂度和代码。比如快排平均时间复杂度 O(n log n)，最好情况是每次划分比较均衡，最坏情况是每次选到最大或最小导致 O(n^2)，可以用随机 pivot 降低最坏情况概率。深拷贝和浅拷贝的区别是是否复制嵌套对象，浅拷贝只复制第一层引用，深拷贝会递归复制内部对象。

安全岗遇到算法题时，不需要强行往安全靠，重点是表达清楚、边界考虑完整、复杂度说得明白。

8. 最快的情况下是多少?是什么样的情况?

参考完整回答（最快的情况下是多少是什么样的情况）：

这题我会这样完整回答：针对“最快的情况下是多少?是什么样的情况?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

9. 最慢的情况下是多少?是什么样的情况?

参考完整回答（最慢的情况下是多少是什么样的情况）：

这题我会这样完整回答：针对“最慢的情况下是多少?是什么样的情况?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

10. 哈希冲突有哪些解决办法?

参考完整回答（加密/签名）：

对称加密是同一把密钥加解密，例如 AES，速度快，适合大量数据传输，但密钥分发是问题。非对称加密使用公钥和私钥，例如 RSA/ECC，公钥可以公开，私钥保密，适合密钥交换和数字签名，但性能较慢。哈希是单向摘要，例如 SHA-256，用于完整性校验；HMAC 是带密钥的摘要，能防止消息被篡改。

数字签名的流程是先对消息做哈希，再用私钥签名，接收方用公钥验签。它能证明消息来自私钥持有者、内容未被篡改，并提供不可否认性。TLS 里通常用非对称算法完成身份认证和密钥交换，再用对称加密传输数据。

11. 编程题(easy)

参考完整回答（算法基础）：

安全岗遇到算法题时，不需要强行往安全靠，重点是表达清楚、边界考虑完整、复杂度说得明白。

二面

12. 自我介绍一下?

参考完整回答（自我介绍）：

13. 我们这里是密码管理服务，密码这块你了解多少呢?

参考完整回答（我们这里是密码管理服务密码这块你了解多少呢）：

这题我会这样完整回答：针对“我们这里是密码管理服务，密码这块你了解多少呢?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

14. 你未来计划更偏向于安全研究还是安全研发?

参考完整回答（安全工具开发）：

安全工具开发我会先明确工具目标：是资产发现、漏洞扫描、代码审计、日志分析还是告警处置。以漏洞扫描器为例，核心模块包括任务调度、资产输入、指纹识别、PoC 模板、请求限速、结果去重、误报复核、报告输出和权限控制。PoC 设计上要尽量无害验证，避免写文件、删数据或执行破坏性命令。

工程上还要考虑稳定性和可维护性：超时重试、并发控制、代理支持、失败日志、模板版本管理、资产标签和历史结果对比。安全工具本身也要做鉴权和审计，避免变成新的攻击入口。

15. 你对云上PKI的安全，身份认证的能力感兴趣吗?

参考完整回答（PKI）：

PKI 是用证书体系解决公钥可信问题。CA 给主体签发证书，证书里包含主体信息、公钥、有效期、用途和 CA 签名。客户端验证证书时会检查证书链是否能追溯到受信根 CA、域名是否匹配、有效期是否正确、签名是否有效以及是否吊销。

在云上做 PKI 或身份认证时，重点是私钥保护、证书自动签发和轮换、权限隔离、审计和吊销机制。私钥最好放在 KMS/HSM 中，业务只调用签名能力，不直接接触私钥。

16. 介绍一下字节跳动训练营做了什么?

参考完整回答（介绍一下字节跳动训练营做了什么）：

这题我会这样完整回答：针对“介绍一下字节跳动训练营做了什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

17. Sql注入的原理和防御方案有哪些?

参考完整回答（SQL注入绕过）：

SQL 注入绕过通常是因为防护用了黑名单，比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代；过滤逗号时，MySQL 某些场景可以用 join、from for 或子查询改写。

但我在面试中会强调：绕过技巧说明黑名单不可靠，修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助，但不能代替代码层修复。

18. WAF防护SQL注入的原理是什么?

参考完整回答（SQL注入绕过）：

19. 本次训练营中，怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?

参考完整回答（本次训练营中怎么分工协作的你的角色是什么你的贡献是什么有没有提升效率的可能）：

这题我会这样完整回答：针对“本次训练营中，怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

20. 漏洞挖掘是纯工具还是有一些手工的?

参考完整回答（漏洞挖掘是纯工具还是有一些手工的）：

这题我会这样完整回答：针对“漏洞挖掘是纯工具还是有一些手工的?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

21. WAF管理平台后端API有哪些功能?

参考完整回答（WAF/IDS/误报）：

22. WAF的增删改查数据量大吗?

参考完整回答（WAF/IDS/误报）：

23. Redis解决了什么问题?

参考完整回答（Redis漏洞）：

Redis 常见安全问题是未授权访问和弱口令。如果 Redis 暴露在公网或内网可被攻击者访问，攻击者可能写入 SSH 公钥、写 WebShell、写计划任务，或者通过主从复制和模块加载达到命令执行。它本质上不是 Redis 单点漏洞，而是配置和网络暴露问题。

修复应包括：Redis 只监听内网或本机地址，不暴露公网；设置强密码和 Redis 6 ACL；rename 或禁用高危命令只是辅助；使用低权限用户运行 Redis；限制工作目录写权限；防火墙只允许业务主机访问；开启日志审计和异常命令监控。业务侧还要避免 SSRF 能直接访问 Redis。

24. 热点数据怎么保证redis和db中的一致?

参考完整回答（Redis漏洞）：

25. 用户登录认证是怎么做的?

参考完整回答（身份认证）：

登录认证我会关注密码存储、登录流程、会话管理和风控。密码不能明文或普通 MD5，应该使用 bcrypt、scrypt、Argon2 这类带盐慢哈希；登录接口要防爆破、撞库和用户名枚举，错误提示统一；会话 ID 要随机、登录后重新生成，Cookie 设置 HttpOnly、Secure、SameSite；重要账号开启 MFA。

如果是前后端分离，可以用短期 access token 加 refresh token，refresh token 要可撤销并绑定设备。退出登录、改密、重置密码后应让旧会话失效。

26. Token的安全怎么保护?

参考完整回答（Token安全）：

Token 设计要看是否可伪造、可泄露、可重放和可撤销。如果是 JWT，Header 和 Payload 只是 Base64URL 编码，不是加密，不能放密码、身份证这类敏感信息；签名算法要固定，禁止 alg=none 和算法混淆；密钥要足够强；exp、iat、aud、iss 等字段要校验。

保护上，浏览器侧 Token 放 HttpOnly Secure SameSite Cookie 更能防 XSS 读取；如果放 localStorage，要重点防 XSS。服务端要支持过期、刷新、吊销和设备维度失效；关键操作可要求短期 Token 或二次认证；传输必须走 HTTPS。

27. Token的内容该如何设计?

参考完整回答（Token安全）：

28. 怎么保证数据不被篡改呢?

参考完整回答（怎么保证数据不被篡改呢）：

这题我会这样完整回答：针对“怎么保证数据不被篡改呢?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

29. SDN漏洞挖掘的思路?

参考完整回答（sdn漏洞挖掘的思路）：

这题我会这样完整回答：针对“SDN漏洞挖掘的思路?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

30. 漏洞挖掘有挖掘出RCE漏洞吗?

参考完整回答（命令执行）：

命令执行漏洞是用户输入进入系统命令解释器，导致攻击者能拼接额外命令。危险点包括 system、exec、Runtime.exec、ProcessBuilder、popen、反引号、脚本调用等。利用不一定需要回显，可以通过延时、DNS 请求、写文件等方式验证。

修复的核心是不拼 shell 命令。能用语言内置 API 就不用系统命令；必须调用外部程序时使用参数数组，避免 shell=True，并对参数做白名单、长度、字符集和枚举校验。运行进程要低权限、容器隔离、限制出网，并记录异常命令调用。

31. 对栈溢出、堆溢出有研究吗?

参考完整回答（对栈溢出堆溢出有研究吗）：

这题我会这样完整回答：针对“对栈溢出、堆溢出有研究吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

32. 说一下https协议的过程?

参考完整回答（TLS/HTTPS）：

HTTPS 是 HTTP 加 TLS。TLS 首先通过证书验证服务器身份，客户端检查证书链、域名、有效期和吊销状态；然后双方通过 ECDHE 等方式协商会话密钥；握手完成后用对称加密保护 HTTP 数据，并用 AEAD 或 MAC 保证完整性。

安全配置上应禁用 SSL、TLS 1.0/1.1 和弱加密套件，优先 TLS 1.2/1.3，启用 HSTS，Cookie 加 Secure/HttpOnly/SameSite。HTTPS 能防窃听和篡改，但不能自动防 SQL 注入、XSS、越权这类应用层漏洞。

33. 随机数一般有几个?

参考完整回答（随机数一般有几个）：

这题我会这样完整回答：针对“随机数一般有几个?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

34. 如果有一个的话会如何?

参考完整回答（如果有一个的话会如何）：

这题我会这样完整回答：针对“如果有一个的话会如何?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

35. 对C++或C熟悉吗?

参考完整回答（对c++或c熟悉吗）：

这题我会这样完整回答：针对“对C++或C熟悉吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

36. 哈希表的原理和冲突解决办法?（和一面重复了）

参考完整回答（加密/签名）：

37. Mysql查询快的原因?

参考完整回答（mysql查询快的原因）：

这题我会这样完整回答：针对“Mysql查询快的原因?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

38. 事务的四大特性，mysql隔离级别?

参考完整回答（事务的四大特性mysql隔离级别）：

这题我会这样完整回答：针对“事务的四大特性，mysql隔离级别?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

39. 解释一下乐观锁和悲观锁?

参考完整回答（解释一下乐观锁和悲观锁）：

这题我会这样完整回答：针对“解释一下乐观锁和悲观锁?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

40. 多并发编程有涉及过吗?

参考完整回答（多并发编程有涉及过吗）：

这题我会这样完整回答：针对“多并发编程有涉及过吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

41. 读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?

参考完整回答（读写锁和互斥锁/排他锁用过吗有什么区别为什么会用）：

这题我会这样完整回答：针对“读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

42. 有一项软件著作权，做的什么软件?

参考完整回答（有一项软件著作权做的什么软件）：

这题我会这样完整回答：针对“有一项软件著作权，做的什么软件?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

43. 编程题(medium)

参考完整回答（算法基础）：

安全岗遇到算法题时，不需要强行往安全靠，重点是表达清楚、边界考虑完整、复杂度说得明白。

三面（交叉面）

44. 字节跳动训练营越权问题解决办法?

参考完整回答（越权）：

越权分水平越权和垂直越权。水平越权是同权限用户访问他人资源，例如 A 用户通过修改 orderId 看到 B 用户订单；垂直越权是低权限用户访问高权限功能，例如普通用户调用管理员删除接口。根因通常是服务端只校验“是否登录”，没有校验“是否有权访问这个资源或动作”。

测试时我会准备两个不同角色或不同用户账号，对比请求中的 userId、tenantId、role、resourceId、orderId 等参数，尝试替换后看响应是否越界。修复必须在服务端统一鉴权，基于当前登录用户从服务端上下文取身份，校验角色、租户和资源归属，不能相信前端传来的 role 或 userId。

45. 防火墙都是自己写的规则去防御吗?

参考完整回答（WAF/IDS/误报）：

46. 任务都是一样，你们得了第一，你们团队做的好的地方在哪里?

参考完整回答（任务都是一样你们得了第一你们团队做的好的地方在哪里）：

这题我会这样完整回答：针对“任务都是一样，你们得了第一，你们团队做的好的地方在哪里?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

47. SDN漏洞挖掘项目，你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

48. Python2和Python3的区别?

参考完整回答（Python安全库）：

Python 在安全里常用于自动化验证、扫描、协议交互和应急分析。HTTP 测试常用 requests/httpx，底层网络用 socket，构造和解析数据包用 scapy，SSH 运维用 paramiko，Windows/域协议相关常见 impacket，加密和证书处理用 cryptography、hashlib、hmac、ssl，DNS 分析用 dnspython，HTML 解析用 BeautifulSoup/lxml，恶意样本规则可用 yara-python。

如果被问“有没有用 Python 写过工具”，我会举一个具体例子：比如写过一个批量资产存活探测和标题指纹识别脚本，输入域名/IP 列表，异步请求 HTTP/HTTPS，提取状态码、标题、Server、证书信息和指纹，做去重和导出。重点强调限速、超时、异常处理和授权范围。

49. Xrange和range返回的是什么?

参考完整回答（xrange和range返回的是什么）：

这题我会这样完整回答：针对“Xrange和range返回的是什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

50. 数据库索引的作用?mysql索引的变化?

参考完整回答（数据库索引的作用mysql索引的变化）：

这题我会这样完整回答：针对“数据库索引的作用?mysql索引的变化?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

51. 数据库弱口令，登进去后如何提权?

参考完整回答（弱口令突破）：

如果资产收集后要找突破口，我会优先看高价值、低成本和暴露明显的点：管理后台、VPN、堡垒机、OA、GitLab、Jenkins、Nexus、Swagger、测试环境、默认口令服务、历史漏洞组件和云存储暴露。弱口令只是入口之一，不会盲目大规模爆破，而是结合口令策略、默认账号、泄露字典和授权范围做低频验证。

拿到入口后要验证影响，比如是否能访问后台、上传文件、执行任务或读取敏感配置。防护上是 MFA、强密码策略、登录限速、默认账号治理、暴露面收敛和异常登录告警。

52. 你自己写项目的时候，怎么进行的 SQL注入防御?

参考完整回答（项目/实习经历）：

53. 怎么进行CSRF防御?

参考完整回答（CSRF）：

CSRF 的关键点是攻击者无法读取目标站响应，但可以诱导用户浏览器带着 Cookie 发起请求。如果用户已经登录，浏览器会自动携带 Cookie，导致转账、改密码、绑定邮箱等操作被伪造。

我会从三层防护回答：第一，关键状态变更请求必须校验 CSRF Token，Token 与会话绑定且不可预测；第二，校验 Origin/Referer，拦截跨站来源；第三，Cookie 设置 SameSite=Lax 或 Strict，HTTPS 下加 Secure。对于高危操作，还可以加二次确认、验证码或重新认证。只靠 GET 改状态是不安全的，状态变更应使用 POST/PUT/DELETE 并做服务端校验。

54. Token加密什么东西?

参考完整回答（Token安全）：

55. 校验什么?

参考完整回答（校验什么）：

这题我会这样完整回答：针对“校验什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

56. Token为什么需要加密?

参考完整回答（Token安全）：

57. 使用明文随机数可以吗?

参考完整回答（使用明文随机数可以吗）：

这题我会这样完整回答：针对“使用明文随机数可以吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

58. 怎么防重放攻击 ?

参考完整回答（怎么防重放攻击）：

这题我会这样完整回答：针对“怎么防重放攻击 ?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

59. Docker有哪些安全上的好处?

参考完整回答（容器安全）：

容器安全要从镜像、运行时、编排和宿主机四层看。镜像层要避免使用高危基础镜像、硬编码密钥和 root 用户；运行时要限制特权容器、hostPath、hostNetwork、SYS_ADMIN 等危险能力；Kubernetes 层要控制 RBAC、ServiceAccount token、API Server 暴露、etcd 访问和网络策略；宿主机层要及时更新内核和容器运行时。

容器逃逸通常依赖特权配置、危险挂载、内核漏洞、Docker socket 暴露或 K8s 权限过大。防护是最小权限、只读文件系统、seccomp/AppArmor、禁止特权容器、镜像扫描、网络隔离和审计异常容器行为。

60. 个人发展方向?

参考完整回答（职业方向）：

职业方向我会结合岗位回答。如果投漏洞研究/代码审计，我会说自己更喜欢从漏洞原理、源码调用链和补丁差异里分析问题，希望后续能沉淀漏洞模式、检测规则和工具；如果投安全工程/安全研发，我会强调希望把安全能力产品化，比如扫描器、风控、检测平台和自动化运营；如果投攻防，我会强调攻击链思维和实战复盘。

完整回答可以是：短期我希望把 Web 安全、代码审计和应急基础打牢，能独立完成漏洞分析和修复推动；中期希望在某个方向形成专长，同时补齐工程化能力，把经验沉淀成工具和规则。

61. 当前在哪里日常实习?

参考完整回答（项目/实习经历）：

62. 实习多久了?为什么想来阿里?

参考完整回答（项目/实习经历）：

返回安全面经目录