0x4E 完美世界安全分析工程师

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. 自我介绍

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. 聊了一下简历上的攻防经历

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

3. 聊了漏洞挖掘的方式

参考完整回答（聊了漏洞挖掘的方式）：

这题我会这样完整回答：针对“聊了漏洞挖掘的方式”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. 聊了一下护网的事

参考完整回答（护网）：

护网如果是蓝队角色，我会说主要工作包括资产梳理、暴露面收敛、弱口令治理、基线加固、WAF/IDS/EDR 告警监控、流量研判、应急处置和复盘报告。遇到告警时先确认资产和攻击链，再判断是否成功入侵，最后做封禁、隔离、修复和溯源。

如果是红队角色，则按目标画像、信息收集、漏洞验证、权限获取、内网横向和目标达成讲。无论红蓝，都要说清自己实际负责的动作，例如分析了哪些日志、处置了什么告警、发现了什么入口、如何推动修复。

5. windows和linux怎么查看登录日志

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

6. windows自启动的方式

参考完整回答（windows自启动的方式）：

这题我会这样完整回答：针对“windows自启动的方式”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 假如现在一台机器中了木马，知道他的C2回连地址，怎么找出这个进程

参考完整回答（免杀）：

免杀的本质是绕过静态特征、行为检测和沙箱检测。常见思路包括编码/加密载荷、分阶段加载、API 动态解析、混淆、反沙箱、内存加载和行为降噪。但在面试中我会注意边界，不展示可直接滥用的细节，而是从防守视角说明检测点。

防护上不能只依赖特征查杀，要结合行为监控、命令行审计、父子进程关系、网络外连、内存执行、脚本执行策略和最小权限。对企业来说，PowerShell 日志、EDR、应用白名单和出网控制很关键。

8. 一台有web服务的机器，中了挖矿木马，怎么应急处置

参考完整回答（应急响应）：

应急响应我会按“发现、遏制、分析、清除、恢复、复盘”回答。发现阶段确认告警来源和影响范围；遏制阶段先隔离主机或封禁恶意 IP，避免扩散；分析阶段看进程、网络连接、账号、计划任务、启动项、Web 目录、日志和流量，确认入侵入口和攻击链；清除阶段删除后门、修补漏洞、重置凭证；恢复阶段验证业务和安全状态；最后形成复盘报告和加固清单。

常用命令包括 ps、top、ss、lsof、last、journalctl、crontab、systemctl、find、sha256sum、tcpdump。关键是证据保全，不要一上来就删文件导致无法溯源。

9. 聊了一下实习1防守队的经历

参考完整回答（项目/实习经历）：

10. 内网流量了解吗

参考完整回答（内网渗透/横向）：

内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别，重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索，例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证；如果授权允许，再验证横向移动和权限提升路径。

防守视角我会补充：内网安全不能只靠边界防火墙，要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。

11. 怎么写ssh暴破的规则（不是主机上的规则，是路由器上流量的规则）

参考完整回答（WAF/IDS/误报）：

WAF/IDS 误报多来自规则只看单个关键字、缺少业务上下文、参数位置不同、编码变化、正常运维脚本触发和资产类型差异。比如 mysql 执行 powershell 可能是运维脚本，也可能是入侵后的横向行为，不能只看一个命中点。

优化时我会做分层：高危明确攻击特征可以阻断；中低危先告警并结合频率、来源信誉、参数位置、响应码、命中规则数、登录态和资产重要性打分；对确定的正常业务加精确白名单，而不是大范围放行；持续把处置结果反馈到规则，形成闭环。

12. 聊了一下他们的安全业务和需求（应急响应、规则分析之类的）

参考完整回答（应急响应）：

常用命令包括 ps、top、ss、lsof、last、journalctl、crontab、systemctl、find、sha256sum、tcpdump。关键是证据保全，不要一上来就删文件导致无法溯源。

二面

13. 聊实习3（互联网公司红队）的经历

参考完整回答（项目/实习经历）：

14. 国家hw的成果

参考完整回答（项目/实习经历）：

15. 自己找到了哪些突破口

参考完整回答（弱口令突破）：

如果资产收集后要找突破口，我会优先看高价值、低成本和暴露明显的点：管理后台、VPN、堡垒机、OA、GitLab、Jenkins、Nexus、Swagger、测试环境、默认口令服务、历史漏洞组件和云存储暴露。弱口令只是入口之一，不会盲目大规模爆破，而是结合口令策略、默认账号、泄露字典和授权范围做低频验证。

拿到入口后要验证影响，比如是否能访问后台、上传文件、执行任务或读取敏感配置。防护上是 MFA、强密码策略、登录限速、默认账号治理、暴露面收敛和异常登录告警。

16. 聊学校攻防演练

参考完整回答（聊学校攻防演练）：

这题我会这样完整回答：针对“聊学校攻防演练”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

17. 聊成果，怎么打的，数据怎么获取的，shell怎么拿的

参考完整回答（项目/实习经历）：

18. 聊其他hw经历

参考完整回答（项目/实习经历）：

19. 上传了文件然后执行不了是什么原因

参考完整回答（文件上传/WebShell）：

文件上传漏洞的风险在于攻击者上传脚本文件或伪装文件，最终让服务器解析执行。绕过方式可能包括双后缀、大小写、MIME 伪造、图片马、解析漏洞、条件竞争和上传路径可控。

完整修复我会这样做：后端使用扩展名白名单，只允许业务需要的类型；校验文件头和真实内容，不信任 Content-Type；上传后随机重命名，文件名不使用用户输入；上传目录放到静态资源域或对象存储，禁止脚本执行；图片类文件做二次处理；限制大小和数量；最后配合杀毒/内容检测和日志审计。Nginx/Apache/PHP-FPM 也要避免把非脚本目录交给解释器解析。

20. 聊实习1（互联网公司蓝队）的经历

参考完整回答（项目/实习经历）：

21. 应急响应怎么做的（要关注什么地方）

参考完整回答（应急响应）：

常用命令包括 ps、top、ss、lsof、last、journalctl、crontab、systemctl、find、sha256sum、tcpdump。关键是证据保全，不要一上来就删文件导致无法溯源。

22. 怎么处置告警的，误报会不会很多

参考完整回答（WAF/IDS/误报）：

23. 发现被扫描了会怎么处理

参考完整回答（发现被扫描了会怎么处理）：

这题我会这样完整回答：针对“发现被扫描了会怎么处理”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

24. windows下的应急响应（发现回连了c2服务器怎么排查）

参考完整回答（应急响应）：

常用命令包括 ps、top、ss、lsof、last、journalctl、crontab、systemctl、find、sha256sum、tcpdump。关键是证据保全，不要一上来就删文件导致无法溯源。

25. c2地址是域名不是ip的情况下怎么排查

参考完整回答（c地址是域名不是ip的情况下怎么排查）：

这题我会这样完整回答：针对“c2地址是域名不是ip的情况下怎么排查”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

26. linux下怎么做应急响应

参考完整回答（应急响应）：

常用命令包括 ps、top、ss、lsof、last、journalctl、crontab、systemctl、find、sha256sum、tcpdump。关键是证据保全，不要一上来就删文件导致无法溯源。

27. 做过pc端的逆向吗（二进制那种逆向）

参考完整回答（做过pc端的逆向吗二进制那种逆向）：

这题我会这样完整回答：针对“做过pc端的逆向吗（二进制那种逆向）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

28. 反问

参考完整回答（反问）：

反问可以围绕岗位职责、团队方向、技术栈、培养机制、实习生预期、日常工作比例和后续流程。不要只问薪资和作息，可以问“这个岗位更偏漏洞研究、工程建设还是应急响应？”来体现目标感。

返回安全面经目录