0x32 蚂蚁安全工程师实习

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

简历面

1. 自我介绍一下

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. hw的项目做了什么负责什么角色

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

3. 重保的项目做了什么负责什么角色

参考完整回答（项目/实习经历）：

4. 应急响应做过吗

参考完整回答（应急响应）：

应急响应我会按“发现、遏制、分析、清除、恢复、复盘”回答。发现阶段确认告警来源和影响范围；遏制阶段先隔离主机或封禁恶意 IP，避免扩散；分析阶段看进程、网络连接、账号、计划任务、启动项、Web 目录、日志和流量，确认入侵入口和攻击链；清除阶段删除后门、修补漏洞、重置凭证；恢复阶段验证业务和安全状态；最后形成复盘报告和加固清单。

常用命令包括 ps、top、ss、lsof、last、journalctl、crontab、systemctl、find、sha256sum、tcpdump。关键是证据保全，不要一上来就删文件导致无法溯源。

5. 内网渗透有了解吗然后问了关于内网渗透的东西

参考完整回答（内网渗透/横向）：

内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别，重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索，例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证；如果授权允许，再验证横向移动和权限提升路径。

防守视角我会补充：内网安全不能只靠边界防火墙，要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。

6. ctf有打过吗

参考完整回答（CTF复盘）：

CTF 题复盘要讲清题型、关键突破点、踩坑和沉淀。比如 Web 题可以按信息泄露、源码审计、参数污染、反序列化、SSTI、SQL 注入等链路讲；Pwn 题讲保护机制、溢出点、泄露地址、ROP 或堆利用；Crypto 题讲算法弱点和数学条件。

关键是不要只说“做出来了”，而要说明自己如何定位问题、如何验证假设、失败过哪些思路、最后沉淀了什么工具或知识点。

7. 逆向二进制有做过吗

参考完整回答（逆向二进制有做过吗）：

这题我会这样完整回答：针对“逆向二进制有做过吗”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

8. 反序列化php和java

参考完整回答（Java代码审计）：

Java 审计我会从路由和鉴权开始，看 Controller、Filter、Interceptor、Spring Security/Shiro 配置和权限注解是否覆盖所有接口。数据访问层重点看 MyBatis 的 ${} 拼接、JPA 原生 SQL、排序字段拼接和多租户条件缺失。危险能力方面看反序列化、Fastjson/Jackson、SpEL/OGNL、模板引擎、文件上传下载、SSRF、XXE 和第三方依赖 CVE。

举例来说，审 SQL 注入时我会搜索 MyBatis XML 里的 ${}，确认参数是否来自请求；如果是 order by，我会要求白名单字段映射。审越权时会看接口是否从 token 中取用户身份，并校验资源 owner，而不是直接使用请求里的 userId。

9. 你有什么想问我的吗

参考完整回答（反问）：

反问可以围绕岗位职责、团队方向、技术栈、培养机制、实习生预期、日常工作比例和后续流程。不要只问薪资和作息，可以问“这个岗位更偏漏洞研究、工程建设还是应急响应？”来体现目标感。

一面

10. 自我介绍

参考完整回答（自我介绍）：

11. hw项目

参考完整回答（项目/实习经历）：

12. 重保项目

参考完整回答（项目/实习经历）：

13. src项目

参考完整回答（漏洞挖掘经验）：

漏洞挖掘我不会说成纯工具扫描。我的流程是先确定授权范围和资产清单，再根据资产类型选择策略：后台类系统重点看弱口令、越权、文件上传和接口泄露；API 类系统重点看鉴权、签名、重放和参数污染；老旧系统重点看组件版本和历史 CVE；云资产重点看对象存储、密钥泄露和安全组。

举例回答可以说：我曾在测试环境中通过 JS 文件和接口文档定位到一个未在页面展示的管理接口，用低权限账号访问后发现只校验登录态，没有校验角色，最终形成垂直越权。提交报告时我写了复现步骤、影响范围、截图证据、修复建议和复测结果。

14. src中你印象最深刻的一个漏洞

参考完整回答（漏洞挖掘经验）：

15. src中你碰到的困难以及如何克服的

参考完整回答（漏洞挖掘经验）：

16. log4j2

参考完整回答（Log4j/JNDI）：

Log4j2 的 Log4Shell 漏洞是因为日志内容中的 ${jndi:...} 会触发 JNDI Lookup。攻击者只要能控制被记录到日志里的内容，比如 User-Agent、用户名、请求参数，就可能让服务器访问恶意 LDAP/RMI 地址，进而触发远程类加载或本地 gadget，造成 RCE。

完整修复是升级 Log4j 到安全版本；临时措施包括删除 JndiLookup 类、关闭 lookup、设置相关安全参数，但最终仍应升级。还要排查传递依赖，因为很多应用不是直接引入 Log4j；网络层限制服务器访问外部 LDAP/RMI；日志侧检索 ${jndi:、lower、upper、::- 等混淆特征，确认是否被探测或利用。

17. jndi注入

参考完整回答（SQL注入）：

SQL 注入的本质是用户输入进入 SQL 语句后被数据库当作语法执行，改变了原本查询逻辑。比如登录、搜索、筛选、排序、导出接口中，如果后端直接拼接 username、id、keyword、orderBy 等参数，就可能导致布尔盲注、报错注入、联合查询、时间盲注甚至写文件或提权。

修复上我会首选预编译和参数化查询，让用户输入只作为数据而不是 SQL 语法。对于 order by、表名、列名这类无法直接用占位符的位置，不能拼接用户输入，而应该做白名单映射，例如前端传 name，后端映射到固定字段 user_name；排序方向只允许 asc/desc。除此之外，还要限制数据库账号权限、关闭详细报错、记录异常 SQL 行为，并在上线前做 SAST/DAST 和手工复测。

18. 逆向二进制有了解吗

参考完整回答（逆向二进制有了解吗）：

这题我会这样完整回答：针对“逆向二进制有了解吗”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

19. 大学中学的最好的课

参考完整回答（大学中学的最好的课）：

这题我会这样完整回答：针对“大学中学的最好的课”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

20. 我们地点是在xx地有问题吗

参考完整回答（我们地点是在xx地有问题吗）：

这题我会这样完整回答：针对“我们地点是在xx地有问题吗”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

21. 有没有考研的想法

参考完整回答（有没有考研的想法）：

这题我会这样完整回答：针对“有没有考研的想法”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

22. 你有什么想问我的吗

参考完整回答（反问）：

二面

23. 自我介绍一下

参考完整回答（自我介绍）：

24. 自我介绍完面试官说前面两次面试已经基本差不多技术方面的东西都问完了，我来问你点别的

参考完整回答（自我介绍）：

25. 然后问我对我这些src中挖到的漏洞的思考以及克服的困难和印象最深刻的漏洞

参考完整回答（漏洞挖掘经验）：

26. 如果是我蚂蚁的业务支付宝你会怎么样去测试

参考完整回答（如果是我蚂蚁的业务支付宝你会怎么样去测试）：

这题我会这样完整回答：针对“如果是我蚂蚁的业务支付宝你会怎么样去测试”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

27. 有考研的打算吗

参考完整回答（有考研的打算吗）：

这题我会这样完整回答：针对“有考研的打算吗”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

28. 什么时候能来

参考完整回答（什么时候能来）：

这题我会这样完整回答：针对“什么时候能来”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

29. 你有什么想问我的吗

参考完整回答（反问）：

返回安全面经目录