0x17 腾讯-科恩实验室实习

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. tcp三次握手

参考完整回答（tcp三次握手）：

这题我会这样完整回答：针对“tcp三次握手”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

2. 介绍一次渗透测试过程

参考完整回答（介绍一次渗透测试过程）：

这题我会这样完整回答：针对“介绍一次渗透测试过程”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

3. 讲了一次代码审计

参考完整回答（Java代码审计）：

Java 审计我会从路由和鉴权开始，看 Controller、Filter、Interceptor、Spring Security/Shiro 配置和权限注解是否覆盖所有接口。数据访问层重点看 MyBatis 的 ${} 拼接、JPA 原生 SQL、排序字段拼接和多租户条件缺失。危险能力方面看反序列化、Fastjson/Jackson、SpEL/OGNL、模板引擎、文件上传下载、SSRF、XXE 和第三方依赖 CVE。

举例来说，审 SQL 注入时我会搜索 MyBatis XML 里的 ${}，确认参数是否来自请求；如果是 order by，我会要求白名单字段映射。审越权时会看接口是否从 token 中取用户身份，并校验资源 owner，而不是直接使用请求里的 userId。

4. SSRF漏洞

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

5. 内网渗透大致流程

参考完整回答（内网渗透/横向）：

内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别，重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索，例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证；如果授权允许，再验证横向移动和权限提升路径。

防守视角我会补充：内网安全不能只靠边界防火墙，要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。

6. 再介绍一次难度比较高的渗透测试

参考完整回答（再介绍一次难度比较高的渗透测试）：

这题我会这样完整回答：针对“再介绍一次难度比较高的渗透测试”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 防守方有哪些入侵检测手段，有哪些痕迹是可以抓到的‌

参考完整回答（防守方有哪些入侵检测手段有哪些痕迹是可以抓到的‌）：

这题我会这样完整回答：针对“防守方有哪些入侵检测手段，有哪些痕迹是可以抓到的‌”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

8. 介绍进程和线程

参考完整回答（介绍进程和线程）：

这题我会这样完整回答：针对“介绍进程和线程”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

9. 进程和线程内存空间的关系

参考完整回答（进程和线程内存空间的关系）：

这题我会这样完整回答：针对“进程和线程内存空间的关系”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

10. 父子进程的介绍

参考完整回答（父子进程的介绍）：

这题我会这样完整回答：针对“父子进程的介绍”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

11. 孤儿进程和僵尸进程

参考完整回答（孤儿进程和僵尸进程）：

这题我会这样完整回答：针对“孤儿进程和僵尸进程”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

12. 这个我讲反掉了

参考完整回答（这个我讲反掉了）：

这题我会这样完整回答：针对“这个我讲反掉了”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

13. kill一个进程的时候，都发生了那些事情，从父子进程角度讲

参考完整回答（kill一个进程的时候都发生了那些事情从父子进程角度讲）：

这题我会这样完整回答：针对“kill一个进程的时候，都发生了那些事情，从父子进程角度讲”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

14. 反弹shell的几种方式

参考完整回答（反弹shell的几种方式）：

这题我会这样完整回答：针对“反弹shell的几种方式”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

15. 本质是用tcp协议传输bash程序

参考完整回答（本质是用tcp协议传输bash程序）：

这题我会这样完整回答：针对“本质是用tcp协议传输bash程序”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

16. att&ck矩阵的类别，介绍其中的CC

参考完整回答（att&ck矩阵的类别介绍其中的cc）：

这题我会这样完整回答：针对“att&ck矩阵的类别，介绍其中的CC”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

17. 到域名下拿到命令执行的结果

参考完整回答（命令执行）：

命令执行漏洞是用户输入进入系统命令解释器，导致攻击者能拼接额外命令。危险点包括 system、exec、Runtime.exec、ProcessBuilder、popen、反引号、脚本调用等。利用不一定需要回显，可以通过延时、DNS 请求、写文件等方式验证。

修复的核心是不拼 shell 命令。能用语言内置 API 就不用系统命令；必须调用外部程序时使用参数数组，避免 shell=True，并对参数做白名单、长度、字符集和枚举校验。运行进程要低权限、容器隔离、限制出网，并记录异常命令调用。

18. 这部分没听清楚，面试的时候直接说了不知道，复盘听录音还是没怎么听清，但好像大概想问的是DNS域名解析获取命令执行回显

参考完整回答（DNS安全）：

DNS 的作用是把域名解析为 IP，常见过程是浏览器/系统先查缓存和 hosts，再问本地递归解析器，递归解析器从根、顶级域、权威 DNS 逐级查询并返回结果。安全问题包括 DNS 劫持、缓存投毒、域传送泄露、子域名接管、DNS 隧道、DGA 域名和解析记录暴露真实 IP。

防护上，权威 DNS 要关闭未授权 AXFR，合理配置解析记录和 TTL；重要域名开启 DNSSEC 能降低篡改风险；企业侧监控异常 DNS 查询、长随机子域名和 TXT 大流量；对子域名下线要同时回收云资源，避免子域名接管。

19. Linux命令通配符

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

20. 护网的溯源、威胁分析工作之类的问了十分钟左右

参考完整回答（溯源）：

溯源不是简单查 IP 归属，而是把攻击链证据串起来。首先收集 Web 日志、WAF/IDS 告警、主机日志、流量包、样本、域名、证书、User-Agent、Referer、Cookie、攻击 payload 和时间线；然后区分代理节点、扫描器、C2、钓鱼域名和真实操作者可能留下的基础设施；最后结合威胁情报、历史样本、域名注册、证书复用、指纹复用和行为习惯做关联。

面试中我会强调结论分置信度：能确认的是攻击入口、攻击时间、源节点和影响范围；对攻击者身份要谨慎表达，避免把代理 IP 当成真实身份。

21. 完全不会，以后简历上再也不写护网了

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

22. xx攻防演练中防守方有哪些手段，问的比较杂，主要就是问入侵痕迹检测和溯源之类的东西

参考完整回答（溯源）：

面试中我会强调结论分置信度：能确认的是攻击入口、攻击时间、源节点和影响范围；对攻击者身份要谨慎表达，避免把代理 IP 当成真实身份。

23. 这部分也不太会

参考完整回答（这部分也不太会）：

这题我会这样完整回答：针对“这部分也不太会”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

24. SVM、KNN介绍

参考完整回答（svmknn介绍）：

这题我会这样完整回答：针对“SVM、KNN介绍”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

25. 卷积神经网络介绍

参考完整回答（卷积神经网络介绍）：

这题我会这样完整回答：针对“卷积神经网络介绍”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

26. 莱文斯坦距离

参考完整回答（莱文斯坦距离）：

这题我会这样完整回答：针对“莱文斯坦距离”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

27. 搜索引擎算法

参考完整回答（搜索引擎算法）：

这题我会这样完整回答：针对“搜索引擎算法”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

28. 不太了解，大概讲了下字典树

参考完整回答（不太了解大概讲了下字典树）：

这题我会这样完整回答：针对“不太了解，大概讲了下字典树”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

29. 倒排索引

参考完整回答（倒排索引）：

这题我会这样完整回答：针对“倒排索引”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

30. 恶意样本给出函数家族的md5，如何进行分类

参考完整回答（恶意样本给出函数家族的md如何进行分类）：

这题我会这样完整回答：针对“恶意样本给出函数家族的md5，如何进行分类”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

31. 从统计规律讲了下

参考完整回答（从统计规律讲了下）：

这题我会这样完整回答：针对“从统计规律讲了下”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

32. 反问

参考完整回答（反问）：

反问可以围绕岗位职责、团队方向、技术栈、培养机制、实习生预期、日常工作比例和后续流程。不要只问薪资和作息，可以问“这个岗位更偏漏洞研究、工程建设还是应急响应？”来体现目标感。

二面

33. 第一个问题就直接问了护网，和一面问的差不多，直接裂开

参考完整回答（护网）：

护网如果是蓝队角色，我会说主要工作包括资产梳理、暴露面收敛、弱口令治理、基线加固、WAF/IDS/EDR 告警监控、流量研判、应急处置和复盘报告。遇到告警时先确认资产和攻击链，再判断是否成功入侵，最后做封禁、隔离、修复和溯源。

如果是红队角色，则按目标画像、信息收集、漏洞验证、权限获取、内网横向和目标达成讲。无论红蓝，都要说清自己实际负责的动作，例如分析了哪些日志、处置了什么告警、发现了什么入口、如何推动修复。

34. Linux开机自启动方式

参考完整回答（Linux安全）：

35. init.d脚本介绍

参考完整回答（initd脚本介绍）：

这题我会这样完整回答：针对“init.d脚本介绍”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

36. Linux怎么查看程序调用了哪些文件

参考完整回答（Linux安全）：

37. 如何监控Linux文件操作

参考完整回答（Linux安全）：

38. 问到这里就已经非常慌了，Linux比较进阶的操作都不是很会，而且面试官一直在叹气我日

参考完整回答（Linux安全）：

39. Linux有哪些系统调用

参考完整回答（Linux安全）：

40. 不会

参考完整回答（不会）：

这题我会这样完整回答：针对“不会”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

41. GDB调试

参考完整回答（gdb调试）：

这题我会这样完整回答：针对“GDB调试”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

42. 查看Linux开放的网络端口、多线程状态

参考完整回答（Linux安全）：

43. 反弹shell的方式

参考完整回答（反弹shell的方式）：

这题我会这样完整回答：针对“反弹shell的方式”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

44. Linux下怎么隐藏文件

参考完整回答（Linux安全）：

45. 子域名收集

参考完整回答（子域名收集）：

这题我会这样完整回答：针对“子域名收集”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

46. DNS重绑定

参考完整回答（DNS安全）：

47. DNS解析的流程

参考完整回答（DNS安全）：

48. CC流量

参考完整回答（流量分析/研判）：

流量分析我会先看五元组、协议、时间分布、包大小、连接状态和请求内容，再和业务基线比较。扫描通常表现为同一源短时间访问大量端口或路径；爆破表现为登录失败暴增；Web 攻击会在参数里出现 union、sleep、../、<script>、jndi 等特征；C2 可能有固定间隔心跳、小包长连接或异常域名；数据外传则体现为内网主机向陌生外部地址持续上传。

工具上可以用 Wireshark 做人工分析，用 tcpdump 抓关键流量，用 Zeek/Suricata 结构化日志和告警。最终要结合主机日志和应用日志确认，不能只靠单包下结论。

49. 听都没听过

参考完整回答（听都没听过）：

这题我会这样完整回答：针对“听都没听过”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

50. ssh隧道

参考完整回答（隧道代理）：

内网隧道用于在授权测试中把攻击者到内网目标的访问打通。常见方式有 HTTP/SOCKS 代理、端口转发、反向隧道、ICMP/DNS 隧道等。比如目标能出网时可以用反向代理工具建立 SOCKS，再通过代理访问内网 Web、RDP、数据库等服务。

防守角度要监控异常长连接、非常规协议、DNS 长域名、高频心跳、内网主机主动连接陌生外部地址；网络层做出网白名单和代理审计；主机侧关注 frp、ew、nps、chisel 等工具特征。

51. 面试没听清楚，听到隧道就以为是UDP穿越隧道开讲了

参考完整回答（隧道代理）：

52. https证书机制介绍

参考完整回答（TLS/HTTPS）：

HTTPS 是 HTTP 加 TLS。TLS 首先通过证书验证服务器身份，客户端检查证书链、域名、有效期和吊销状态；然后双方通过 ECDHE 等方式协商会话密钥；握手完成后用对称加密保护 HTTP 数据，并用 AEAD 或 MAC 保证完整性。

安全配置上应禁用 SSL、TLS 1.0/1.1 和弱加密套件，优先 TLS 1.2/1.3，启用 HSTS，Cookie 加 Secure/HttpOnly/SameSite。HTTPS 能防窃听和篡改，但不能自动防 SQL 注入、XSS、越权这类应用层漏洞。

53. burpsuite一些使用方法，插件开发方法

参考完整回答（安全工具开发）：

安全工具开发我会先明确工具目标：是资产发现、漏洞扫描、代码审计、日志分析还是告警处置。以漏洞扫描器为例，核心模块包括任务调度、资产输入、指纹识别、PoC 模板、请求限速、结果去重、误报复核、报告输出和权限控制。PoC 设计上要尽量无害验证，避免写文件、删数据或执行破坏性命令。

工程上还要考虑稳定性和可维护性：超时重试、并发控制、代理支持、失败日志、模板版本管理、资产标签和历史结果对比。安全工具本身也要做鉴权和审计，避免变成新的攻击入口。

54. nmap的基本操作

参考完整回答（端口扫描）：

端口扫描是向目标端口发送探测包，根据响应判断端口状态。TCP connect 扫描会完成三次握手，SYN 扫描收到 SYN/ACK 说明开放，收到 RST 说明关闭，超时或 ICMP 不可达可能是 filtered；UDP 扫描因为无连接，判断更依赖 ICMP 和应用响应。版本探测会进一步读取 banner 或发送探测包识别服务。

安全角度看，扫描是发现攻击面的基础。防护不是简单禁止所有扫描，而是减少暴露端口、只开放必要服务、使用安全组和防火墙限制来源、监控短时间多端口访问和异常连接失败率。

55. redis漏洞利用

参考完整回答（Redis漏洞）：

Redis 常见安全问题是未授权访问和弱口令。如果 Redis 暴露在公网或内网可被攻击者访问，攻击者可能写入 SSH 公钥、写 WebShell、写计划任务，或者通过主从复制和模块加载达到命令执行。它本质上不是 Redis 单点漏洞，而是配置和网络暴露问题。

修复应包括：Redis 只监听内网或本机地址，不暴露公网；设置强密码和 Redis 6 ACL；rename 或禁用高危命令只是辅助；使用低权限用户运行 Redis；限制工作目录写权限；防火墙只允许业务主机访问；开启日志审计和异常命令监控。业务侧还要避免 SSRF 能直接访问 Redis。

56. runc容器逃逸原理

参考完整回答（容器安全）：

容器安全要从镜像、运行时、编排和宿主机四层看。镜像层要避免使用高危基础镜像、硬编码密钥和 root 用户；运行时要限制特权容器、hostPath、hostNetwork、SYS_ADMIN 等危险能力；Kubernetes 层要控制 RBAC、ServiceAccount token、API Server 暴露、etcd 访问和网络策略；宿主机层要及时更新内核和容器运行时。

容器逃逸通常依赖特权配置、危险挂载、内核漏洞、Docker socket 暴露或 K8s 权限过大。防护是最小权限、只读文件系统、seccomp/AppArmor、禁止特权容器、镜像扫描、网络隔离和审计异常容器行为。

57. 常见WAF种类(不知道为什么还特别问了长亭的WAF)

参考完整回答（WAF/IDS/误报）：

WAF/IDS 误报多来自规则只看单个关键字、缺少业务上下文、参数位置不同、编码变化、正常运维脚本触发和资产类型差异。比如 mysql 执行 powershell 可能是运维脚本，也可能是入侵后的横向行为，不能只看一个命中点。

优化时我会做分层：高危明确攻击特征可以阻断；中低危先告警并结合频率、来源信誉、参数位置、响应码、命中规则数、登录态和资产重要性打分；对确定的正常业务加精确白名单，而不是大范围放行；持续把处置结果反馈到规则，形成闭环。

58. MySQL的UAF

参考完整回答（mysql的uaf）：

这题我会这样完整回答：针对“MySQL的UAF”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

59. 没听过

参考完整回答（没听过）：

这题我会这样完整回答：针对“没听过”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

60. 算法题(比较简单，leetcode easy级别)

参考完整回答（算法题比较简单leetcodeeasy级别）：

这题我会这样完整回答：针对“算法题(比较简单，leetcode easy级别)”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

61. Linux进程通信

参考完整回答（Linux安全）：

62. 反问

参考完整回答（反问）：

返回安全面经目录