网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
2025年渗透测试面试题总结-拷打题库16
一、数据安全与隐私保护技术
1. 隐藏水印实现方式
2. 无显著特征数据分类分级
3. 避免员工非必要查询用户数据
二、数据生命周期管控
4. 避免超范围收集与使用数据
5. 数据销毁时机与方法
6. 机房迁移数据清除
三、数据安全计算与访问控制
7. 后台查询授权与敏感信息收敛
8. 非明文数据计算技术
四、访问控制模型对比
9. DAC vs MAC
10. ABAC特点与局限
五、权限管控与加密技术
11. 高危害权限防滥用
12. 不推荐的Hash与加密算法
13. 对称 vs 非对称加密
14. 硬编码密钥解决
六、密码学与传输安全
15. PKI原理
16. 国密算法原理
17. 密码存储与轮换
18. 内网传输加密必要性
七、合规与行业差异
19. 全站HTTPS实现
20. 国内外网络安全法律
21. 金融 vs 互联网合规差异
八、安全建设与行业实践
22. 内控、合规、审计关系
23. 传统 vs 互联网安全建设
2025年渗透测试面试题总结-拷打题库16
隐藏水印有哪些实现方式?
如何对无显著特征的数据进行分类分级?
如何避免员工因非工作需要查询用户数据?
如何避免未经用户授权收集用户数据?
如何避免用户数据被超范围使用?
何时应该进行用户数据销毁?
更换机房时如何清除原机房机器数据?
如何让每一次后台查询数据都得到用户授权?or如何收敛管理后台可查询任意敏感信息功能?
如何在不拿到明文数据的前提下,还能通过数据进行一些计算行为?如何实现合作伙伴原始数据不共享但能达成业务诉求?
DAC(DiscretionaryAccessControl)自主访问控制和MAC(MandatoryAccessControl)强制访问控制优劣势?
ABAC(AttributeBaseAccessControl)基于属性的权限控制的特点?
为什么ABAC没有RBAC(RoleBaseAccessControl)基于角色的权限控制流行?
如何避免审批工单无脑通过?
高危害影响权限如何避免滥用?
如何技术手段规避未进行权限检查?
大数据平台的权限管控体系中最重要的是什么?
哪些Hash和加密算法不建议使用?
对称加密和非对称加密的区别及优缺点
硬编码秘钥如何解决?
PKI原理
国密的底层原理?
密码如何保存在数据库?
如何让密码轮转?
内网传输是否需要加密?为什么?
可以在哪些层次对文件进行加密?
如何技术手段实现全站HTTPS
国内外有哪些网络安全相关法律?
金融行业和传统互联网行业合规差异
对于内控、合规、审计的理解(考察其对于要做的事情和岗位要求、公司环境是否匹配,考察其大局上考虑是否周全或是片面)
传统行业和互联网行业的安全建设的区别及各自的优劣势(是否能准确的抓住核心原因)
一、数据安全与隐私保护技术
1. 隐藏水印实现方式
| 类型 | 技术原理 | 应用场景 |
|---|
| 频域水印 | 在DCT/DWT变换域嵌入水印(如傅里叶变换) | 图片/视频版权保护(抗裁剪压缩) |
| LSB水印 | 修改像素最低有效位(肉眼不可见) | 文档防泄露(隐藏用户ID) |
| 元数据水印 | 在文件属性中插入加密字段 | PDF/Excel溯源追踪 |
2. 无显著特征数据分类分级
- 技术方案:
- 上下文关联:通过数据访问场景判断敏感度(如“13800138000”在通讯录中为个人数据,在统计报表中为脱敏数据)。
- 元数据分析:基于字段名(如
phone)、存储位置(/userdata目录)自动打标。 - 机器学习:训练模型识别数据模式(如身份证号规则
^[1-9]\d{5}(18|19|20)\d{2}(0[1-9]|1[012])(0[1-9]|[12]\d|3[01])\d{3}[0-9Xx]$)。
3. 避免员工非必要查询用户数据
- 控制策略:
- 最小权限原则:仅开放岗位必需的数据字段(如客服仅能查看订单状态,不可见支付详情)。
- 动态授权:每次查询需申请临时Token(有效期5分钟)。
- 审计溯源:记录查询日志(IP、时间、操作者),定期抽查异常访问(如非工作时间高频查询)。
二、数据生命周期管控
4. 避免超范围收集与使用数据
- 合规实践:
- 数据最小化:仅收集业务必需字段(如注册时无需身份证号)。
- 用户明示同意:通过勾选框明确用途(如“同意将地址用于物流配送”)。
- 使用监控:部署DLP系统拦截未授权操作(如禁止将用户数据导出至个人邮箱)。
5. 数据销毁时机与方法
- 触发条件:
- 法定期限:根据GDPR要求,用户注销后30天内删除数据。
- 业务终止:服务关闭后彻底清理数据库和备份。
- 销毁技术:
- 硬盘:物理消磁(DoD 5220.22-M标准)。
- 云存储:调用API覆盖数据7次(AWS S3对象版本清除)。
6. 机房迁移数据清除
- 步骤:
- 逻辑擦除:使用
shred命令覆盖文件系统。 - 物理销毁:拆除硬盘并粉碎(符合NIST SP 800-88标准)。
- 第三方审计:出具数据销毁证明(如第三方机构签章)。
三、数据安全计算与访问控制
7. 后台查询授权与敏感信息收敛
- 实现方案:
- 代理网关:所有查询需通过网关,动态鉴权(如OAuth Scope校验)。
- 数据脱敏:返回部分字段(如手机号显示为
138****0000)。 - 审批流集成:高危操作(如导出全表)需二级审批(企业微信/钉钉审批)。
8. 非明文数据计算技术
| 技术 | 原理 | 适用场景 |
|---|
| 同态加密 | 支持密文加减乘除运算(如Microsoft SEAL) | 联合统计(多家医院数据汇总) |
| 多方安全计算 | 数据分片多方协同计算(如联邦学习) | 风控模型训练(不共享原始数据) |
| 差分隐私 | 添加噪声保护个体数据(如Laplace机制) | 用户行为分析报表 |
四、访问控制模型对比
9. DAC vs MAC
| 维度 | DAC(自主访问控制) | MAC(强制访问控制) |
|---|
| 灵活性 | 高(用户可授权他人) | 低(由系统策略强制约束) |
| 安全性 | 低(易出现权限扩散) | 高(适用于军事/政府场景) |
| 管理成本 | 低(适合小型团队) | 高(需专业安全管理员) |
10. ABAC特点与局限
- 特点:
- 动态策略:基于属性(用户部门、时间、IP)动态决策(如“工作时间外禁止访问”)。
- 细粒度控制:可精确到单个文件或字段级权限。
- 未普及原因:
- 复杂度高:策略维护成本远高于RBAC角色映射。
- 性能瓶颈:实时属性计算对鉴权系统压力大。
五、权限管控与加密技术
11. 高危害权限防滥用
- 技术手段:
- 双人复核:超级管理员操作需另一管理员二次确认。
- 临时权限:高危命令(如
rm -rf)仅限临时Token执行。 - 行为画像:检测异常操作(如非运维时段执行数据库备份)。
12. 不推荐的Hash与加密算法
| 类型 | 不安全算法 | 替代方案 |
|---|
| Hash算法 | MD5、SHA-1 | SHA-256、SHA-3 |
| 对称加密 | DES、RC4 | AES-256、ChaCha20 |
| 非对称加密 | RSA-1024 | RSA-4096、ECC(secp521r1) |
13. 对称 vs 非对称加密
| 维度 | 对称加密(AES) | 非对称加密(RSA) |
|---|
| 速度 | 快(适合大数据量) | 慢(适合密钥交换) |
| 密钥管理 | 需安全通道传输密钥 | 公钥可公开,私钥保密 |
| 用途 | 数据加密(如文件存储) | 数字签名、SSL/TLS握手 |
14. 硬编码密钥解决
- 方案:
- 密钥管理系统:从KMS动态获取密钥(如AWS KMS API调用)。
- 环境变量注入:部署时通过CI/CD管道注入(如Kubernetes Secrets)。
六、密码学与传输安全
15. PKI原理
- 核心流程:
- CA签发证书:用户生成CSR,CA用私钥签名生成证书。
- 证书验证:客户端用CA公钥验证证书链(信任链锚定到根证书)。
- 密钥交换:TLS握手时通过非对称加密协商对称密钥。
16. 国密算法原理
- 算法体系:
- SM2:基于ECC的非对称加密(替代RSA)。
- SM3:Hash算法(替代SHA-256)。
- SM4:分组对称加密(替代AES)。
- 应用场景:中国政府、金融行业强制使用(如银联交易)。
17. 密码存储与轮换
- 存储方案:
- 加盐Hash:
bcrypt(password + salt),盐值随机存储。 - 定期轮换:每90天强制修改密码,禁止重复使用历史密码。
18. 内网传输加密必要性
- 必须加密:防止横向渗透(如Redis未加密通信导致数据泄露)。
- 技术方案:
- 服务间通信:mTLS双向认证。
- 数据库:启用SSL/TLS(如MySQL的
REQUIRE SSL配置)。
七、合规与行业差异
19. 全站HTTPS实现
- 步骤:
- 证书申请:从Let's Encrypt或商用CA获取证书。
- 强制跳转:Nginx配置
return 301 https://$host$request_uri;。 - HSTS预加载:响应头
Strict-Transport-Security: max-age=31536000; includeSubDomains。
20. 国内外网络安全法律
| 地区 | 核心法律 | 重点要求 |
|---|
| 中国 | 《网络安全法》《数据安全法》 | 数据本地化、个人信息保护 |
| 欧盟 | GDPR | 用户同意、数据可携权 |
| 美国 | CCPA(加州) | 用户数据删除权、透明度 |
21. 金融 vs 互联网合规差异
- 金融行业:
- 强监管:需符合《巴塞尔协议》、PCI DSS(支付卡安全)。
- 数据隔离:客户资金数据与业务系统物理隔离。
- 互联网行业:
- 敏捷性:快速迭代与合规平衡(如A/B测试需用户同意)。
- 全球化:满足多国法律(如同时遵守GDPR和CCPA)。
八、安全建设与行业实践
22. 内控、合规、审计关系
- 内控:建立流程防止风险(如审批分级)。
- 合规:确保符合外部法律(如等保2.0)。
- 审计:验证内控有效性(如SOC 2审计报告)。
23. 传统 vs 互联网安全建设
| 维度 | 传统行业(制造业) | 互联网行业 |
|---|
| 核心目标 | 保障生产连续性(OT安全) | 用户数据保护与业务可用性 |
| 技术栈 | 老旧系统兼容(Windows XP) | 云原生、微服务、DevSecOps |
| 风险类型 | 物理入侵、工业协议漏洞 | API滥用、0day漏洞利用 |
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
