0x13 安恒面试复盘

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

1. sqlmap爆出当前库名的参数是什么?

参考完整回答（sqlmap爆出当前库名的参数是什么）：

这题我会这样完整回答：针对“sqlmap爆出当前库名的参数是什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

2. namp探测系统的参数是什么 --->大写还是小写

参考完整回答（namp探测系统的参数是什么---大写还是小写）：

这题我会这样完整回答：针对“namp探测系统的参数是什么 --->大写还是小写”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

3. namp的小写o与a是干嘛的

参考完整回答（namp的小写o与a是干嘛的）：

这题我会这样完整回答：针对“namp的小写o与a是干嘛的”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. 布尔型盲注的具体语句是什么

参考完整回答（布尔型盲注的具体语句是什么）：

这题我会这样完整回答：针对“布尔型盲注的具体语句是什么”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

5. 宽字节的原理

参考完整回答（宽字节注入）：

宽字节注入常见于 GBK/Big5 等多字节编码环境。应用为了防 SQL 注入会给引号加反斜杠转义，但攻击者构造特定前导字节后，反斜杠可能和前一个字节组合成合法汉字，导致引号逃逸，SQL 语义被改变。

修复不能只靠 addslashes。应该统一使用 UTF-8，正确设置客户端、连接和数据库字符集，例如 set names utf8mb4；最重要的是使用预编译参数化查询，让输入不参与 SQL 语法解析。

6. python有没有反序列化

参考完整回答（Python安全库）：

Python 在安全里常用于自动化验证、扫描、协议交互和应急分析。HTTP 测试常用 requests/httpx，底层网络用 socket，构造和解析数据包用 scapy，SSH 运维用 paramiko，Windows/域协议相关常见 impacket，加密和证书处理用 cryptography、hashlib、hmac、ssl，DNS 分析用 dnspython，HTML 解析用 BeautifulSoup/lxml，恶意样本规则可用 yara-python。

如果被问“有没有用 Python 写过工具”，我会举一个具体例子：比如写过一个批量资产存活探测和标题指纹识别脚本，输入域名/IP 列表，异步请求 HTTP/HTTPS，提取状态码、标题、Server、证书信息和指纹，做去重和导出。重点强调限速、超时、异常处理和授权范围。

7. get传参与post传参的区别

参考完整回答（get传参与post传参的区别）：

这题我会这样完整回答：针对“get传参与post传参的区别”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

8. Http有哪些请求方式

参考完整回答（http有哪些请求方式）：

这题我会这样完整回答：针对“Http有哪些请求方式”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

9. 如何判定cdn与cdn的作用

参考完整回答（绕过CDN找真实IP）：

绕过 CDN 找源站 IP 的思路是寻找没有经过 CDN 的旁路信息。常见来源包括历史 DNS 解析记录、证书透明度、子域名、邮件服务器、同备案资产、GitHub/配置文件泄露、国外节点解析差异、老业务入口、错误页面暴露和源站主动外连记录。

找到候选 IP 后不能直接下结论，要用 Host 头访问、证书、页面标题、静态资源路径、响应指纹和业务内容比对确认是否源站。防护上源站安全组只允许 CDN 回源 IP，源站不要暴露公网管理口，历史解析和测试域名也要清理。

10. 如何确认服务器的真实IP

参考完整回答（绕过CDN找真实IP）：

11. 详细说了说信息收集过程

参考完整回答（信息收集/资产收集）：

信息收集我会先确定主体范围，避免把非授权资产扫进去。外部资产方面，我会收集根域名、子域名、历史解析、证书透明度记录、备案信息、公众号/小程序、APP、GitHub 代码泄露、云存储桶、供应商系统和招聘/文档中暴露的系统入口。随后做存活探测、端口扫描、服务指纹识别和 Web 指纹识别，把资产按业务系统、管理后台、测试环境、第三方组件和高危服务分类。

具体工具上，域名可用 OneForAll、subfinder、ksubdomain，空间测绘可用 FOFA、Shodan、ZoomEye，端口识别用 Nmap/Masscan，Web 目录和指纹用 httpx、dirsearch、nuclei。最后我会做去重和归属确认，优先关注登录后台、老旧中间件、暴露数据库、未授权接口、测试环境和存在历史漏洞的组件。

12. 栅栏密码的原理是什么

参考完整回答（栅栏密码的原理是什么）：

这题我会这样完整回答：针对“栅栏密码的原理是什么”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

13. oracle的默认端口是多少

参考完整回答（oracle的默认端口是多少）：

这题我会这样完整回答：针对“oracle的默认端口是多少”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

14. mysql的管理员密码一般放到哪

参考完整回答（mysql的管理员密码一般放到哪）：

这题我会这样完整回答：针对“mysql的管理员密码一般放到哪”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

15. 如果substr()函数被禁用，你脑子里有多少替换函数

参考完整回答（如果substr函数被禁用你脑子里有多少替换函数）：

这题我会这样完整回答：针对“如果substr()函数被禁用，你脑子里有多少替换函数”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

16. redis如何拿下，哪个端口，具体语句，具体操作

参考完整回答（Redis漏洞）：

Redis 常见安全问题是未授权访问和弱口令。如果 Redis 暴露在公网或内网可被攻击者访问，攻击者可能写入 SSH 公钥、写 WebShell、写计划任务，或者通过主从复制和模块加载达到命令执行。它本质上不是 Redis 单点漏洞，而是配置和网络暴露问题。

修复应包括：Redis 只监听内网或本机地址，不暴露公网；设置强密码和 Redis 6 ACL；rename 或禁用高危命令只是辅助；使用低权限用户运行 Redis；限制工作目录写权限；防火墙只允许业务主机访问；开启日志审计和异常命令监控。业务侧还要避免 SSRF 能直接访问 Redis。

17. 如何通过邮箱知道对方的IP

参考完整回答（如何通过邮箱知道对方的ip）：

这题我会这样完整回答：针对“如何通过邮箱知道对方的IP”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

18. 说一下同源策略

参考完整回答（同源策略）：

同源策略限制一个源的脚本读取另一个源的敏感数据。同源由协议、域名、端口三者共同决定，三者都相同才算同源。它主要限制 DOM 访问、Cookie 读取、XHR/fetch 响应读取等，但不阻止表单提交、图片加载、脚本引用这类请求发出。

CORS 是服务端主动放宽跨域读取的机制。安全配置时不能随意返回 Access-Control-Allow-Origin: *，尤其不能和 Access-Control-Allow-Credentials: true 搭配。需要带凭证的接口应使用明确白名单 Origin，并校验业务鉴权。

19. 如何收集网站管理员邮箱等等

参考完整回答（如何收集网站管理员邮箱等等）：

这题我会这样完整回答：针对“如何收集网站管理员邮箱等等”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

20. ssrf有哪些危害

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

21. 如何防御ssrf-->问的较深---->建议在详细了解一下

参考完整回答（SSRF）：

22. Linux的某两个文件怎么分辨（忘了具体是哪两个文件了）

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

23. MSF框架稍微问的深入了一些

参考完整回答（msf框架稍微问的深入了一些）：

这题我会这样完整回答：针对“MSF框架稍微问的深入了一些”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

24. web容器（中间件）有哪些解析漏洞与原理

参考完整回答（容器安全）：

容器安全要从镜像、运行时、编排和宿主机四层看。镜像层要避免使用高危基础镜像、硬编码密钥和 root 用户；运行时要限制特权容器、hostPath、hostNetwork、SYS_ADMIN 等危险能力；Kubernetes 层要控制 RBAC、ServiceAccount token、API Server 暴露、etcd 访问和网络策略；宿主机层要及时更新内核和容器运行时。

容器逃逸通常依赖特权配置、危险挂载、内核漏洞、Docker socket 暴露或 K8s 权限过大。防护是最小权限、只读文件系统、seccomp/AppArmor、禁止特权容器、镜像扫描、网络隔离和审计异常容器行为。

25. 如何防范sql注入 --->这问的很深

参考完整回答（SQL注入绕过）：

SQL 注入绕过通常是因为防护用了黑名单，比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代；过滤逗号时，MySQL 某些场景可以用 join、from for 或子查询改写。

但我在面试中会强调：绕过技巧说明黑名单不可靠，修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助，但不能代替代码层修复。

返回安全面经目录