0x1B 某安全公司-安全研究员

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. 讲讲你写的几个Burp插件原理

参考完整回答（讲讲你写的几个burp插件原理）：

这题我会这样完整回答：针对“讲讲你写的几个Burp插件原理”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

2. 做过什么JavaWeb项目吗

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

3. CC1-7找熟悉的讲一下原理

参考完整回答（cc-找熟悉的讲一下原理）：

这题我会这样完整回答：针对“CC1-7找熟悉的讲一下原理”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. Fastjson和Jackson反序列化原理讲讲

参考完整回答（Fastjson）：

Fastjson 的典型问题和 autoType 反序列化有关。攻击者提交带 @type 的 JSON，让 Fastjson 实例化攻击者指定的类；如果目标环境存在可利用 gadget，就可能触发 JNDI、setter、副作用方法或反序列化链，造成远程命令执行、SSRF 或敏感操作。

回答时可以说利用条件包括：目标使用受影响版本、开启或绕过 autoType、类路径中存在可利用类、输入 JSON 可控。修复是升级到安全版本，关闭 autoType，使用白名单而不是黑名单，避免对外部输入做任意类型反序列化；同时限制应用出网，减少 JNDI 类漏洞的利用成功率，并在日志中监控 @type、JdbcRowSetImpl、TemplatesImpl 等高危特征。

5. BCEL可以用其他类加载器吗

参考完整回答（bcel可以用其他类加载器吗）：

这题我会这样完整回答：针对“BCEL可以用其他类加载器吗”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

6. XStream反序列化讲讲

参考完整回答（xstream反序列化讲讲）：

这题我会这样完整回答：针对“XStream反序列化讲讲”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 最基本的反序列化原理是什么

参考完整回答（最基本的反序列化原理是什么）：

这题我会这样完整回答：针对“最基本的反序列化原理是什么”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

8. 了解JEP290的原理吗

参考完整回答（了解jep的原理吗）：

这题我会这样完整回答：针对“了解JEP290的原理吗”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

9. 讲下RMI原理以及相关的漏洞

参考完整回答（讲下rmi原理以及相关的漏洞）：

这题我会这样完整回答：针对“讲下RMI原理以及相关的漏洞”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

10. JdbcRowSetImpl如何触发的JNDI注入

参考完整回答（SQL注入）：

SQL 注入的本质是用户输入进入 SQL 语句后被数据库当作语法执行，改变了原本查询逻辑。比如登录、搜索、筛选、排序、导出接口中，如果后端直接拼接 username、id、keyword、orderBy 等参数，就可能导致布尔盲注、报错注入、联合查询、时间盲注甚至写文件或提权。

修复上我会首选预编译和参数化查询，让用户输入只作为数据而不是 SQL 语法。对于 order by、表名、列名这类无法直接用占位符的位置，不能拼接用户输入，而应该做白名单映射，例如前端传 name，后端映射到固定字段 user_name；排序方向只允许 asc/desc。除此之外，还要限制数据库账号权限、关闭详细报错、记录异常 SQL 行为，并在上线前做 SAST/DAST 和手工复测。

11. CC链四个Transformer区别

参考完整回答（cc链四个transformer区别）：

这题我会这样完整回答：针对“CC链四个Transformer区别”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

12. 讲下你挖过的CVE和CNVD

参考完整回答（漏洞挖掘经验）：

漏洞挖掘我不会说成纯工具扫描。我的流程是先确定授权范围和资产清单，再根据资产类型选择策略：后台类系统重点看弱口令、越权、文件上传和接口泄露；API 类系统重点看鉴权、签名、重放和参数污染；老旧系统重点看组件版本和历史 CVE；云资产重点看对象存储、密钥泄露和安全组。

举例回答可以说：我曾在测试环境中通过 JS 文件和接口文档定位到一个未在页面展示的管理接口，用低权限账号访问后发现只校验登录态，没有校验角色，最终形成垂直越权。提交报告时我写了复现步骤、影响范围、截图证据、修复建议和复测结果。

13. 反序列化除了readObject还有什么触发点

参考完整回答（反序列化除了readobject还有什么触发点）：

这题我会这样完整回答：针对“反序列化除了readObject还有什么触发点”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

14. 讲下Spring相关的RCE原理

参考完整回答（命令执行）：

命令执行漏洞是用户输入进入系统命令解释器，导致攻击者能拼接额外命令。危险点包括 system、exec、Runtime.exec、ProcessBuilder、popen、反引号、脚本调用等。利用不一定需要回显，可以通过延时、DNS 请求、写文件等方式验证。

修复的核心是不拼 shell 命令。能用语言内置 API 就不用系统命令；必须调用外部程序时使用参数数组，避免 shell=True，并对参数做白名单、长度、字符集和枚举校验。运行进程要低权限、容器隔离、限制出网，并记录异常命令调用。

15. 讲讲IIOP和T3反序列化原理

参考完整回答（讲讲iiop和t反序列化原理）：

这题我会这样完整回答：针对“讲讲IIOP和T3反序列化原理”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

16. PHP等语言的反序列化讲讲

参考完整回答（PHP代码审计）：

PHP 审计我会先看入口文件、路由规则、控制器、公共函数和配置项，然后追踪 $_GET、$_POST、$_COOKIE、$_REQUEST、上传文件和 Header 到危险函数。重点函数包括 eval/assert、system/exec、include/require、unserialize、file_get_contents/file_put_contents、move_uploaded_file、SQL 执行函数和模板输出。

框架项目还要理解框架本身的过滤、ORM、路由和模板机制，不能只搜函数。比如 ThinkPHP 要看版本历史漏洞、控制器方法暴露、参数绑定、模型查询和模板渲染；原生 PHP 则要特别关注变量覆盖、文件包含、上传目录执行权限和弱类型比较。

二面

17. 做了几年安全

参考完整回答（做了几年安全）：

这题我会这样完整回答：针对“做了几年安全”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

18. 未来想做什么

参考完整回答（项目/实习经历）：

19. 讲讲实习期间做的事

参考完整回答（项目/实习经历）：

20. 工作地点要求

参考完整回答（HR问题）：

这类 HR 问题要回答得稳定、真诚、不过度暴露弱点。期望薪资可以说“我会结合岗位职责、城市和公司薪酬体系，希望在贵司对应校招/实习生范围内匹配，我更看重团队方向和成长空间”；工作地点可以说明优先级和可接受范围；多久到岗要给明确时间；职业规划可以说短期打牢安全基础并在业务中独立承担任务，中长期希望在漏洞研究/安全工程/攻防方向形成专长。

遇到个人生活类问题，保持简洁，不展开隐私，把回答拉回工作稳定性和投入度即可。

返回安全面经目录