0x85 吉利 极氪

0x85 吉利 极氪

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面（45min）

1. 挖简历，问实习，问细节

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

2. xss、sql、csrf、ssrf原理

参考完整回答（XSS）：

XSS 是用户可控内容被浏览器当成脚本执行。反射型常见于搜索参数或错误提示，存储型常见于评论、昵称、工单内容，DOM 型常见于前端从 location、hash、postMessage 中取值后写入页面。影响包括窃取用户信息、发起越权操作、劫持页面、钓鱼和横向传播。

修复要按输出上下文处理：输出到 HTML 文本要 HTML 编码，输出到属性要属性编码，输出到 JS 字符串要 JS 编码，输出到 URL 要限制协议并 URL 编码。富文本不能自己写黑名单，应该用成熟清洗库。Cookie 设置 HttpOnly、Secure、SameSite，降低被盗风险；CSP 可以限制脚本来源，作为纵深防御。

3. 指纹采集的原理

参考完整回答（指纹采集的原理）：

这题我会这样完整回答：针对“指纹采集的原理”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. 漏扫源码有没有读过?

参考完整回答（漏扫源码有没有读过）：

这题我会这样完整回答：针对“漏扫源码有没有读过?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

5. ssrf出现在哪些业务场景?

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

6. 无回显的ssrf怎么利用?

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

7. ssrf+redis利用中，为什么redis能正确处理dict协议发来的流量?

参考完整回答（SSRF）：

SSRF 是服务端请求伪造，攻击者控制 URL 参数，让服务器代替攻击者去访问目标。因为请求从服务端发出，所以可以访问攻击者本来访问不到的内网服务，比如 127.0.0.1、Redis、Consul、Kubernetes API、云厂商元数据地址 169.254.169.254 等。常见入口是图片抓取、URL 预览、文件下载、Webhook、PDF 生成和远程资源导入。

修复时我会做“解析后校验”而不是简单字符串判断。首先限制协议，只允许 http/https；其次使用白名单域名或固定资源代理；再次 DNS 解析后校验 IP，禁止私有地址、回环地址、链路本地地址、IPv6 本地地址和保留地址；还要处理重定向，每次跳转后重新校验；最后限制端口、超时时间、响应大小，并通过网络层让业务容器无法直连内网敏感服务和云元数据。

8. mssql命令执行讲一讲

参考完整回答（命令执行）：

命令执行漏洞是用户输入进入系统命令解释器，导致攻击者能拼接额外命令。危险点包括 system、exec、Runtime.exec、ProcessBuilder、popen、反引号、脚本调用等。利用不一定需要回显，可以通过延时、DNS 请求、写文件等方式验证。

修复的核心是不拼 shell 命令。能用语言内置 API 就不用系统命令；必须调用外部程序时使用参数数组，避免 shell=True，并对参数做白名单、长度、字符集和枚举校验。运行进程要低权限、容器隔离、限制出网，并记录异常命令调用。

9. 只有mysql权限怎么拿shell?

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

10. 怎么找绝对路径?

参考完整回答（怎么找绝对路径）：

这题我会这样完整回答：针对“怎么找绝对路径?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

11. 怎么定位web路径?

参考完整回答（怎么定位web路径）：

这题我会这样完整回答：针对“怎么定位web路径?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

12. 站库分离，mysql用来存储序列化数据，web站点不出网，你只能操作mysql，怎么反弹web主机的shell?

参考完整回答（站库分离mysql用来存储序列化数据web站点不出网你只能操作mysql怎么反弹web主机的shell）：

这题我会这样完整回答：针对“站库分离，mysql用来存储序列化数据，web站点不出网，你只能操作mysql，怎么反弹web主机的shell?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

13. http、tcp、socket、icmp隧道讲一讲?

参考完整回答（隧道代理）：

内网隧道用于在授权测试中把攻击者到内网目标的访问打通。常见方式有 HTTP/SOCKS 代理、端口转发、反向隧道、ICMP/DNS 隧道等。比如目标能出网时可以用反向代理工具建立 SOCKS，再通过代理访问内网 Web、RDP、数据库等服务。

防守角度要监控异常长连接、非常规协议、DNS 长域名、高频心跳、内网主机主动连接陌生外部地址；网络层做出网白名单和代理审计；主机侧关注 frp、ew、nps、chisel 等工具特征。

14. 还有很多八股，不写了，八股都挺常规

参考完整回答（还有很多八股不写了八股都挺常规）：

这题我会这样完整回答：针对“还有很多八股，不写了，八股都挺常规”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

15. hr面：什么时候来实习?能实习多久?车联网有兴趣吗?说说你的优势，怎么处理难题?

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”