0x0F 快手-安全实习生

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. 自我介绍

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. 问项目

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

3. 针对项目问了很多详细的问题，不便透露，通用问题如下：

参考完整回答（项目/实习经历）：

4. 做项目的时候有没有遇到什么问题，怎么解决

参考完整回答（项目/实习经历）：

5. 做项目学到了什么东西

参考完整回答（项目/实习经历）：

6. 项目中有没有什么地方自己做过优化

参考完整回答（项目/实习经历）：

7. 有没有对网站做过渗透测试

参考完整回答（网站渗透经验）：

如果被问有没有对网站做过渗透测试，我会这样回答：做过授权范围内的 Web 渗透，通常从资产确认开始，先识别站点技术栈、登录入口、接口、目录、静态资源和历史漏洞，再测试认证、越权、注入、XSS、文件上传、SSRF、信息泄露、逻辑漏洞和组件漏洞。

举例可以说：在一个后台系统测试中，我先通过目录和接口枚举发现管理接口，再用低权限账号验证资源 ID 是否能访问他人数据，最终确认水平越权。修复建议是服务端统一鉴权，所有资源访问都校验 owner/tenant，而不是只依赖前端隐藏按钮。最后我会复测确认漏洞闭环。

8. Linux操作熟悉吗，怎么看进程PID

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

9. 用过什么数据库，答：sqlite,mongodb,面试官好像不太了解没咋问

参考完整回答（数据库识别）：

判断数据库类型可以从报错信息、SQL 方言、函数、注释、默认端口和系统表入手。MySQL 常见函数有 version()、database()，注释可用 # 或 --；Oracle 常见 dual 表、rownum、user_tables；SQL Server 有 @@version、xp_cmdshell、方括号；PostgreSQL 有 current_database()、pg_catalog。

在渗透或审计中识别数据库类型是为了选择正确的注入语法和修复建议。但生产环境应关闭详细错误，避免把数据库类型、版本和 SQL 语句直接回显给用户。

10. 为什么用mongodb

参考完整回答（数据库识别）：

11. 了解ES吗(Elasticsearch)

参考完整回答（数据库识别）：

12. HTTPS建立过程

参考完整回答（TLS/HTTPS）：

HTTPS 是 HTTP 加 TLS。TLS 首先通过证书验证服务器身份，客户端检查证书链、域名、有效期和吊销状态；然后双方通过 ECDHE 等方式协商会话密钥；握手完成后用对称加密保护 HTTP 数据，并用 AEAD 或 MAC 保证完整性。

安全配置上应禁用 SSL、TLS 1.0/1.1 和弱加密套件，优先 TLS 1.2/1.3，启用 HSTS，Cookie 加 Secure/HttpOnly/SameSite。HTTPS 能防窃听和篡改，但不能自动防 SQL 注入、XSS、越权这类应用层漏洞。

13. python怎么管理内存

参考完整回答（Python安全库）：

Python 在安全里常用于自动化验证、扫描、协议交互和应急分析。HTTP 测试常用 requests/httpx，底层网络用 socket，构造和解析数据包用 scapy，SSH 运维用 paramiko，Windows/域协议相关常见 impacket，加密和证书处理用 cryptography、hashlib、hmac、ssl，DNS 分析用 dnspython，HTML 解析用 BeautifulSoup/lxml，恶意样本规则可用 yara-python。

如果被问“有没有用 Python 写过工具”，我会举一个具体例子：比如写过一个批量资产存活探测和标题指纹识别脚本，输入域名/IP 列表，异步请求 HTTP/HTTPS，提取状态码、标题、Server、证书信息和指纹，做去重和导出。重点强调限速、超时、异常处理和授权范围。

14. 深拷贝和浅拷贝区别

参考完整回答（算法基础）：

算法题我会先澄清输入输出和边界条件，再给思路、复杂度和代码。比如快排平均时间复杂度 O(n log n)，最好情况是每次划分比较均衡，最坏情况是每次选到最大或最小导致 O(n^2)，可以用随机 pivot 降低最坏情况概率。深拷贝和浅拷贝的区别是是否复制嵌套对象，浅拷贝只复制第一层引用，深拷贝会递归复制内部对象。

安全岗遇到算法题时，不需要强行往安全靠，重点是表达清楚、边界考虑完整、复杂度说得明白。

15. python多进程、多线程、协程有用到吗，都在什么地方用到

参考完整回答（Python安全库）：

16. python可以实现真正的多线程吗

参考完整回答（Python安全库）：

17. 代码题：ip排序

参考完整回答（代码题ip排序）：

这题我会这样完整回答：针对“代码题：ip排序”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

18. 写Web API的时候怎么防止SQL注入

参考完整回答（SQL注入绕过）：

SQL 注入绕过通常是因为防护用了黑名单，比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代；过滤逗号时，MySQL 某些场景可以用 join、from for 或子查询改写。

但我在面试中会强调：绕过技巧说明黑名单不可靠，修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助，但不能代替代码层修复。

19. 怎么防XSS

参考完整回答（XSS）：

XSS 是用户可控内容被浏览器当成脚本执行。反射型常见于搜索参数或错误提示，存储型常见于评论、昵称、工单内容，DOM 型常见于前端从 location、hash、postMessage 中取值后写入页面。影响包括窃取用户信息、发起越权操作、劫持页面、钓鱼和横向传播。

修复要按输出上下文处理：输出到 HTML 文本要 HTML 编码，输出到属性要属性编码，输出到 JS 字符串要 JS 编码，输出到 URL 要限制协议并 URL 编码。富文本不能自己写黑名单，应该用成熟清洗库。Cookie 设置 HttpOnly、Secure、SameSite，降低被盗风险；CSP 可以限制脚本来源，作为纵深防御。

20. 了解越权漏洞么，有没有挖过越权漏洞

参考完整回答（越权）：

越权分水平越权和垂直越权。水平越权是同权限用户访问他人资源，例如 A 用户通过修改 orderId 看到 B 用户订单；垂直越权是低权限用户访问高权限功能，例如普通用户调用管理员删除接口。根因通常是服务端只校验“是否登录”，没有校验“是否有权访问这个资源或动作”。

测试时我会准备两个不同角色或不同用户账号，对比请求中的 userId、tenantId、role、resourceId、orderId 等参数，尝试替换后看响应是否越界。修复必须在服务端统一鉴权，基于当前登录用户从服务端上下文取身份，校验角色、租户和资源归属，不能相信前端传来的 role 或 userId。

21. 有没有什么比较擅长的我还没问到的

参考完整回答（职业方向）：

职业方向我会结合岗位回答。如果投漏洞研究/代码审计，我会说自己更喜欢从漏洞原理、源码调用链和补丁差异里分析问题，希望后续能沉淀漏洞模式、检测规则和工具；如果投安全工程/安全研发，我会强调希望把安全能力产品化，比如扫描器、风控、检测平台和自动化运营；如果投攻防，我会强调攻击链思维和实战复盘。

完整回答可以是：短期我希望把 Web 安全、代码审计和应急基础打牢，能独立完成漏洞分析和修复推动；中期希望在某个方向形成专长，同时补齐工程化能力，把经验沉淀成工具和规则。

二面

22. 问项目

参考完整回答（项目/实习经历）：

23. 项目哪一块时间花的比较多

参考完整回答（项目/实习经历）：

24. 怎么溯源攻击

参考完整回答（溯源）：

溯源不是简单查 IP 归属，而是把攻击链证据串起来。首先收集 Web 日志、WAF/IDS 告警、主机日志、流量包、样本、域名、证书、User-Agent、Referer、Cookie、攻击 payload 和时间线；然后区分代理节点、扫描器、C2、钓鱼域名和真实操作者可能留下的基础设施；最后结合威胁情报、历史样本、域名注册、证书复用、指纹复用和行为习惯做关联。

面试中我会强调结论分置信度：能确认的是攻击入口、攻击时间、源节点和影响范围；对攻击者身份要谨慎表达，避免把代理 IP 当成真实身份。

25. 举一个溯源攻击的例子

参考完整回答（溯源）：

面试中我会强调结论分置信度：能确认的是攻击入口、攻击时间、源节点和影响范围；对攻击者身份要谨慎表达，避免把代理 IP 当成真实身份。

26. 怎么检测webshell

参考完整回答（文件上传/WebShell）：

文件上传漏洞的风险在于攻击者上传脚本文件或伪装文件，最终让服务器解析执行。绕过方式可能包括双后缀、大小写、MIME 伪造、图片马、解析漏洞、条件竞争和上传路径可控。

完整修复我会这样做：后端使用扩展名白名单，只允许业务需要的类型；校验文件头和真实内容，不信任 Content-Type；上传后随机重命名，文件名不使用用户输入；上传目录放到静态资源域或对象存储，禁止脚本执行；图片类文件做二次处理；限制大小和数量；最后配合杀毒/内容检测和日志审计。Nginx/Apache/PHP-FPM 也要避免把非脚本目录交给解释器解析。

27. sql注入在mysql和sqlserver中有什么区别

参考完整回答（SQL注入绕过）：

28. 想找安全开发的岗位还是安全研究的岗位

参考完整回答（安全工具开发）：

安全工具开发我会先明确工具目标：是资产发现、漏洞扫描、代码审计、日志分析还是告警处置。以漏洞扫描器为例，核心模块包括任务调度、资产输入、指纹识别、PoC 模板、请求限速、结果去重、误报复核、报告输出和权限控制。PoC 设计上要尽量无害验证，避免写文件、删数据或执行破坏性命令。

工程上还要考虑稳定性和可维护性：超时重试、并发控制、代理支持、失败日志、模板版本管理、资产标签和历史结果对比。安全工具本身也要做鉴权和审计，避免变成新的攻击入口。

29. 代码题：手机九宫格键盘，输入数字，输出所有的字母组合

参考完整回答（算法基础）：

安全岗遇到算法题时，不需要强行往安全靠，重点是表达清楚、边界考虑完整、复杂度说得明白。

30. 讲一下DNS协议的作用、解析过程

参考完整回答（DNS安全）：

DNS 的作用是把域名解析为 IP，常见过程是浏览器/系统先查缓存和 hosts，再问本地递归解析器，递归解析器从根、顶级域、权威 DNS 逐级查询并返回结果。安全问题包括 DNS 劫持、缓存投毒、域传送泄露、子域名接管、DNS 隧道、DGA 域名和解析记录暴露真实 IP。

防护上，权威 DNS 要关闭未授权 AXFR，合理配置解析记录和 TTL；重要域名开启 DNSSEC 能降低篡改风险；企业侧监控异常 DNS 查询、长随机子域名和 TXT 大流量；对子域名下线要同时回收云资源，避免子域名接管。

31. DNS协议的安全问题

参考完整回答（DNS安全）：

32. 实习时间

参考完整回答（项目/实习经历）：

返回安全面经目录