0x36 度小满 信息安全工程师

0x36 度小满 信息安全工程师

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. sql注入原理，waf如何检测

参考完整回答（SQL注入绕过）：

SQL 注入绕过通常是因为防护用了黑名单，比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代；过滤逗号时，MySQL 某些场景可以用 join、from for 或子查询改写。

但我在面试中会强调：绕过技巧说明黑名单不可靠，修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助，但不能代替代码层修复。

2. ssrf csrf区别

参考完整回答（CSRF）：

CSRF 的关键点是攻击者无法读取目标站响应，但可以诱导用户浏览器带着 Cookie 发起请求。如果用户已经登录，浏览器会自动携带 Cookie，导致转账、改密码、绑定邮箱等操作被伪造。

我会从三层防护回答：第一，关键状态变更请求必须校验 CSRF Token，Token 与会话绑定且不可预测；第二，校验 Origin/Referer，拦截跨站来源；第三，Cookie 设置 SameSite=Lax 或 Strict，HTTPS 下加 Secure。对于高危操作，还可以加二次确认、验证码或重新认证。只靠 GET 改状态是不安全的，状态变更应使用 POST/PUT/DELETE 并做服务端校验。

3. 邮件协议了解多少

参考完整回答（邮件协议了解多少）：

这题我会这样完整回答：针对“邮件协议了解多少”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. smtp如何伪造? （搭建匿名邮件服务器、如果目标域名没有设置SPF Sender Policy Framework,就可以伪造）

参考完整回答（smtp如何伪造搭建匿名邮件服务器如果目标域名没有设置spfsenderpolicyframework就可以伪造）：

这题我会这样完整回答：针对“smtp如何伪造? （搭建匿名邮件服务器、如果目标域名没有设置SPF Sender Policy Framework,就可以伪造）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

5. 入侵检测全流程

参考完整回答（入侵检测全流程）：

这题我会这样完整回答：针对“入侵检测全流程”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

6. 提权怎么检测

参考完整回答（提权怎么检测）：

这题我会这样完整回答：针对“提权怎么检测”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 提权 什么情况会出现误报?

参考完整回答（WAF/IDS/误报）：

WAF/IDS 误报多来自规则只看单个关键字、缺少业务上下文、参数位置不同、编码变化、正常运维脚本触发和资产类型差异。比如 mysql 执行 powershell 可能是运维脚本，也可能是入侵后的横向行为，不能只看一个命中点。

优化时我会做分层：高危明确攻击特征可以阻断；中低危先告警并结合频率、来源信誉、参数位置、响应码、命中规则数、登录态和资产重要性打分；对确定的正常业务加精确白名单，而不是大范围放行；持续把处置结果反馈到规则，形成闭环。

8. 容器内提权，怎么检测?

参考完整回答（容器安全）：

容器安全要从镜像、运行时、编排和宿主机四层看。镜像层要避免使用高危基础镜像、硬编码密钥和 root 用户；运行时要限制特权容器、hostPath、hostNetwork、SYS_ADMIN 等危险能力；Kubernetes 层要控制 RBAC、ServiceAccount token、API Server 暴露、etcd 访问和网络策略；宿主机层要及时更新内核和容器运行时。

容器逃逸通常依赖特权配置、危险挂载、内核漏洞、Docker socket 暴露或 K8s 权限过大。防护是最小权限、只读文件系统、seccomp/AppArmor、禁止特权容器、镜像扫描、网络隔离和审计异常容器行为。

9. 内网被搭了隧道，怎么检测?

参考完整回答（隧道代理）：

内网隧道用于在授权测试中把攻击者到内网目标的访问打通。常见方式有 HTTP/SOCKS 代理、端口转发、反向隧道、ICMP/DNS 隧道等。比如目标能出网时可以用反向代理工具建立 SOCKS，再通过代理访问内网 Web、RDP、数据库等服务。

防守角度要监控异常长连接、非常规协议、DNS 长域名、高频心跳、内网主机主动连接陌生外部地址；网络层做出网白名单和代理审计；主机侧关注 frp、ew、nps、chisel 等工具特征。

10. 流量加密了 怎么检测?

参考完整回答（流量分析/研判）：

流量分析我会先看五元组、协议、时间分布、包大小、连接状态和请求内容，再和业务基线比较。扫描通常表现为同一源短时间访问大量端口或路径；爆破表现为登录失败暴增；Web 攻击会在参数里出现 union、sleep、../、<script>、jndi 等特征；C2 可能有固定间隔心跳、小包长连接或异常域名；数据外传则体现为内网主机向陌生外部地址持续上传。

工具上可以用 Wireshark 做人工分析，用 tcpdump 抓关键流量，用 Zeek/Suricata 结构化日志和告警。最终要结合主机日志和应用日志确认，不能只靠单包下结论。

二面

11. 框架类漏洞挖掘思路、业务逻辑漏洞挖掘思路

参考完整回答（框架类漏洞挖掘思路业务逻辑漏洞挖掘思路）：

这题我会这样完整回答：针对“框架类漏洞挖掘思路、业务逻辑漏洞挖掘思路”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

12. 反序列化漏洞如何检测

参考完整回答（反序列化漏洞如何检测）：

这题我会这样完整回答：针对“反序列化漏洞如何检测”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

13. AES分类，默认密钥长度

参考完整回答（加密/签名）：

对称加密是同一把密钥加解密，例如 AES，速度快，适合大量数据传输，但密钥分发是问题。非对称加密使用公钥和私钥，例如 RSA/ECC，公钥可以公开，私钥保密，适合密钥交换和数字签名，但性能较慢。哈希是单向摘要，例如 SHA-256，用于完整性校验；HMAC 是带密钥的摘要，能防止消息被篡改。

数字签名的流程是先对消息做哈希，再用私钥签名，接收方用公钥验签。它能证明消息来自私钥持有者、内容未被篡改，并提供不可否认性。TLS 里通常用非对称算法完成身份认证和密钥交换，再用对称加密传输数据。

14. AES加密流程

参考完整回答（加密/签名）：

对称加密是同一把密钥加解密，例如 AES，速度快，适合大量数据传输，但密钥分发是问题。非对称加密使用公钥和私钥，例如 RSA/ECC，公钥可以公开，私钥保密，适合密钥交换和数字签名，但性能较慢。哈希是单向摘要，例如 SHA-256，用于完整性校验；HMAC 是带密钥的摘要，能防止消息被篡改。

数字签名的流程是先对消息做哈希，再用私钥签名，接收方用公钥验签。它能证明消息来自私钥持有者、内容未被篡改，并提供不可否认性。TLS 里通常用非对称算法完成身份认证和密钥交换，再用对称加密传输数据。

15. shiro爆破key，构建的初始序列化数据是什么?

参考完整回答（Shiro反序列化）：

Shiro 经典反序列化漏洞通常出现在 rememberMe 功能。Shiro 会把序列化对象加密后放进 rememberMe Cookie，如果密钥是默认值或泄露，攻击者就能用这个密钥加密恶意序列化数据发给服务端，服务端解密后反序列化，触发 CommonsCollections 等 gadget 链。

我会回答形成原因是：客户端可控 Cookie、服务端自动解密反序列化、密钥弱或默认、环境中存在可用 gadget。修复包括升级 Shiro，使用随机强密钥，禁用不必要的 rememberMe，减少危险依赖，开启出网限制，并监控异常 rememberMe Cookie 长度、特征和反序列化异常。