面试题参考 – 作者:夕立-安全小百科

前言

在安全行业五个年头了，期间有面试过也有被面试过。之前在参加面试准备和作为面试官出题的时候，总是头疼没有资料可参考。考虑到IT行业其它分支面经浩如烟海，安全相关面试题目却寥寥的情况，特将自己遇到过的各类面试题做一精编，以飨读者。

本文综合考虑了甲方和乙方的视角，包括阿里这类大厂的面试题和初创公司的面试题，希望也为安全同仁略献绵薄之力。

另：由于各类安全社区也有少量面试题汇总，本人也做了个集合以供参考，之前本人在其他地方见过的面试题不再在本文赘述。

正文

Q：移动端渗透测试怎么做？

A：主要考虑两个方向，1.服务端参考web测试，主要需要解决的问题是抓包。2客户端主要涉及逆向。下面具体展开

Q：APP怎么抓包？

A：最简单的直接导证书即可，复杂的需要绕ssl pinning,考虑以下几种方法：

1.xposed justtrustme

2.有root权限，能把这些个第三方证书安到系统默认预置的证书区里面

3.反编译APK打断点调试（其实有点偏离严格意义上的抓包）

Q：双向认证怎么绕过？

A：反编译后在APK的 assets 中就可以找到客户端证书 .p12 和.cer 的文件，导入时会需要一个证书密码，IDA静态分析伪代码，关键词”PKCS12″能够定位到加载证书的位置，搜索 KeyStore 或者逆向分析客户端的.p12 来找到密码。

Q：SSL pinning实现？

A：1 OKhttp

2Apache的HttpClient

3HttpsURLConnection

4WebView 加载 Https 页面时的证书校验

Q：app四大组件安全问题：

A：Activity组件:

activity绑定browserable与自定义协议

ActivityManager漏洞

Activity组件劫持

Service组件:

权限提升，拒绝服务攻击

Broadcast Receiver组件:

权限管理不当

BroadcastReceiver导出漏洞

动态注册广播组件暴露漏洞

Content Provider组件:

读写权限漏洞

Content Provider中的SQL注入漏洞

Provider文件目录遍历漏洞

Q：客户端安全还有什么部分？

A：代码是否可编译，混淆加壳等保护；安装包签名，完整性检测；数据文件，内存信息，日志等是否存在数据泄露？（如本地db）；进程保护方面，内存访问和修改，动态注入Hook函数，可考虑xopsed框架；通信安全主要考虑证书和数据加密，校验等；

Q：小程序测试？

A：小程序逆向提取源码，PKG文件，分析源码审计；服务端参考web测试，抓包

Q：可以用xposed做什么

A:结合项目经验讲即可，一般来说绕ssl pinning，跟踪函数，监控流量等；

Q：csp是什么？

A：CSP 主要是为了解决跨站脚本攻击和数据注入攻击，它的核心原理是在服务端渲染页面的时候 http header 头里带上 CSP 协议，协议里面有一个nonce（服务端随机生成的码，不需要存储），然后页面需要执行的 js 必须也必须带上该nonce。

CSP通过指定有效域——即浏览器认可的可执行脚本的有效来源——使服务器管理者有能力减少或消除XSS攻击所依赖的载体。一个CSP兼容的浏览器将会仅执行从白名单域获取到的脚本文件，忽略所有的其他脚本 (包括内联脚本和HTML的事件处理属性)。

作为一种终极防护形式，始终不允许执行脚本的站点可以选择全面禁止脚本执行。

Q：CSP实现？

A：配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面，并配置相应的值，以控制用户代理（浏览器等）可以为该页面获取哪些资源。比如一个可以上传文件和显示图片页面，应该允许图片来自任何地方，但限制表单的action属性只可以赋值为指定的端点。一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击

简单实现参考：一个网站管理者想要所有内容均来自站点的同一个源 (不包括其子域名)，使用 Content-Security-Policy HTTP头部指定策略：

Content-Security-Policy: default-src ‘self’

Q：linux安全基线配置？

A:1.BIOS安全主要是grub.conf以及ctl+alt+delete热键关机等物理安全特性

2.账号安全例如口令，过期时间，密码最大使用天数，账号注销时间timeout，sudo ，su，账号权限分配，禁用guest等等

3.文件系统安全例如文件系统的权限以及特殊权限例如chattr等等

4.WEB目录安全用户目录分离以及上传目录取消执行等操作

5.目录监控例如aide,tripwire等

6.内核参数加固以及内核定制

7.日志安全

8.selinux安全

9. 配置管理例如cfengine以及Puppet

10. 系统加密例如ipsec等

11. 入侵检测系统例如snort

12. 防火墙例如iptables

13. 蜜罐

14. linux防病毒，macfee

15. linux防webshell,hm

Q：owasptop 10

A：最新版本：

1. Top1-注入
2.失效身份验证和会话管理
3.敏感信息泄露
4.XML外部实体注入攻击（XXE）
5.失效访问控制
6.安全性错误配置
7.Cross-Site-Scripting(XSS)
8.不安全的反序列化
9.使用具有已知漏洞的组件
10.日志记录和监控不足

Q ：linux内核安全？

A：使用lsm框架进行hook检查，内核升级避免脏牛等。

Q：python装饰器是做什么的？

A：本质上就是一个函数，它可以让其他函数在不需要做任何代码变动的前提下增加额外的功能，

装饰器的返回值也是一个函数对象

Q：python内置装饰器都有哪些

A：特性装饰器：@property　　类方法装饰器： @classmethod 　　静态方法装饰器：@staticmethod

Q：python实现半自动化/自动化越权测试，思路？

A：参考github上的一些轮子，大体架构供参考

讲明白各个模块主要的库，函数实现即可

Q：mysql orderby注入点利用？

A：可控制的位置在order by子句后，如下order参数可控：select * from goods order by $_GET[‘order’]

利用报错：/?order=IF(1=1,1,(select+1+union+select+2)) 正确

/?order=IF(1=2,1,(select+1+union+select+2)) 错误

基于时间报错：/?order=if(1=1,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) 正常响应时间

/?order=if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) sleep 2秒

猜解数据：/?order=(select+1+regexp+if(substring(user(),1,1)=0x72,1,0×00)) 正确

/?order=(select+1+regexp+if(substring(user(),1,1)=0x71,1,0×00)) 错误

Q;Mysql报错注入常用函数？

A：xpath处理函数报错注入

extractvalue(xml_doc, xpath) 从指定xml文档中查询指定的字符串

updatexml(xml_doc,xpath,new_value) 利用xpath把xml文档中的指定字符串替换成新值

报错payload：

and (extractvalue(1,concat(0x7e,(select user()),0x7e)));

and (updatexml(1,concat(0x7e,(select user()),0x7e),1));

exp(x) 数学函数返回值 e (自然对数的底) 的 x 次方

报错payload：

and exp(~(select * from(select user())a));

几何函数报错注入

geometrycollection()，multipoint()，polygon()，multipolygon()，linestring()，multilinestring()

函数对参数要求是形如(1 2,3 3,2 2 1)这样几何数据，如果不满足要求，则会报错

select multipoint((select * from (select * from (select * from (select version())a)b)c));

ERROR 1367 (22007): Illegal non geometric ‘(select `c`.`version()` from (select ‘5.5.40-log’ AS `version()` from dual) `c`)’ value found during parsing

列名重复报错注入

name_const()函数

报错payload：

select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))a;

虚拟表主键重复报错注入

floor() + rand() + group by

报错payload：

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2));

Q：ssqlmap不认证ssl用什么参数

A:–force-ssl

因为sqlmap没办法忽略https证书所以有两个解决方法

通过本地代理端口进行访问
通过搭建web，访问代理文件进行注入

Q：sqlmap原理实现了解吗？os-shell原理是什么？

A：mysql原理很简单，就是用into outfile函数将一个可以用来上传的php文件写到网站的根目录下

Sqlserver –os-shell主要是利用xp_cmdshell扩展进行命令执行。mysql还有一种实现原理是UDF提权

Q:框架层面解决sql注入？

A：sql注入预编译，waf，rasp，iast监控；注意预编译和部分框架依然会导致sql注入，考虑存储过程，前后端输入输出检查，db权限控制等；

Q：xpath注入？

A：漏洞描述：XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。

检测手段：//users/user[loginID/text()=” or 1=1 or ”=” and password/text()=” or 1=1 or ”=”]供参考

修复：1、数据提交到服务器上端，在服务端正式处理这批数据之前，对提交数据的合法性进行验证。

2、检查提交的数据是否包含特殊字符，对特殊字符进行编码转换或替换、删除敏感字符或字符串。

3、对于系统出现的错误信息，以 IE 错误编码信息替换，屏蔽系统本身的出错信息。

4、参数化 XPath 查询

Q：XXE修复方案？具体实现？

A：在编写处理可能不受信任的来源的XML的软件时，要做到尽可能的安全，必须禁用一些XML功能，主要有：

DTD解释器，确保DOCTYPE标记被忽略或包含它们的文档被拒绝；

外部实体，如果DOCTYPE不能完全禁用，请确保引用的外部实体被拒绝；

schemaLocation，如果解析器包含这个属性，要确保任意文档不会被检索。

XIncludes，此功能应被禁用。

具体实现参考：jAVA在使用DOM处理xml的时候，要用setFeature参数来禁用外部实体、参数实体、内联DTD等。示例如下：

//未捕获ParserConfigurationException 异常，仅参考

import javax.xml.parsers.DocumentBuilderFactory;

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

//修复方法1:不允许DTDS(DOCTYPE)，优先选择的解决方案，几乎可以阻止所有的XML实体攻击

dbf.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”, true);

//修复方法2:

//true表示实现安全的处理XML，会对XML的结构进行限制，避免出现利用XXE进行文件读取的攻击行为

//如果设置为false，表示根据XML的规范处理XML，忽略安全问题

dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING,true);

//其它说明：如果没办法完全不允许DTDS，至少按照如下方法修复

//该feature的作用是配置是否包含参数实体，设置false禁用参数实体

//xerces 1:http://xerces.apache.org/xerces-j/features.html#external-parameter-entities

//xerces 2:http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities

dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

//该feature的功能指是否包含外部生成的实体，设置false禁用外部实体。

//利用外部实体的payload示例：

/*

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE xxesec [<!ENTITY xxe SYSTEM "http://aaa.8ug564.ceye.io" >]>

<methodname>&xxe;</methodname>

*／

//xerces 1:http://xerces.apache.org/xerces-j/features.html#external-general-entities

//xerces 2:http://xerces.apache.org/xerces2-j/features.html#external-general-entities

dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);

//该feature的功能指是否包含外部DTD，设置false禁用外部Dtd

//xerces:http://xerces.apache.org/xerces-j/features.html#load-external-dtd

dbf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd"，false);

Q：文件上传漏洞如何绕过？

A：

供参考。

Q：CORS漏洞常规检测字段？

A：origin。

Origin为*的时候，使用curl测试CORS，curl <url> -H “Origin: https://evil.com” -I再寻找的api接口是否有敏感信息泄漏。 Burp也有相关插件，github有开源工具，大家可以自己看一下具体实现。

Q：CORS利用

A：结合xss漏洞利用cors漏洞，针对http_only js代码无法读取，api信息泄露等；

Q：CORS与JSNOP比较？

A：JSONP只支持GET请求，CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。

Q：CORS修复

A：不要盲目反射Origin头
严格校验Origin头，避免出现权限泄露
不要配置Access-Control-Allow-Origin: null
HTTPS网站不要信任HTTP域
不要信任全部自身子域，减少攻击面
不要配置Origin:*和Credentials: true
增加Vary: Origin头

Q：跨域实现方式？

A:绕过同源策略限制的方法

1、document.domain属性

2、片段识别符（URL后加#号）

3、window.name

4、跨文档通信API

5、JSONP

6、CORS

7、WebSockets

Q：CROS中options的作用?

A:主要有两种：一.django-cors扩展 django flask 或者其他扩展：

编写中间件，在中间件中拦截处理options
判断请求方式是否是options，如果不是opitons，不做处理，进入视图执行，否则，按照下面的流程处理
从options请求中取出访问域名，与白名单中的允许域名对比，
如果在白名单中，则返回允许跨域访问，否则返回不允许

二.当 ajax 请求绑定了 upload 的事件并且跨域的时候，就会自动发起这个请求

自动发起的 OPTIONS 请求，其请求头包含了的一些关键性字段：

OPTIONS /upload HTTP/1.1Access-Control-Request-Method:POST Access-Control-Request-Headers:accept, content-type Origin:http://xxx.com

响应头中关键性的字段：

Access-Control-Allow-Method: POST Access-Control-Allow-Origin: http://xxx.com

Access-Control-Allow-Method 和 Access-Control-Allow-Origin 分别告知客户端，服务器允许客户端用于跨域的方法和域名

Q：SSRF csrf区别？

A：CSRF是服务器端没有对用户提交的数据进行严格的把控，导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。而SSRF是服务器对用户提供的可控URL地址过于信任，没有经过严格检测，导致攻击者可以以此为跳板攻击内网或其他服务器。

Q：CSRF具体利用的例子和代码

A：结合项目经验说具体即可，不要说burp生成的代码。。一般考虑结合xss等

Q：csrf修复方式？

A：1.提交验证码

在表单中添加一个随机的数字或字母验证码。通过强制用户和应用进行交互。来有效地遏制CSRF攻击。

2.Referer Check

检查假设是非正常页面过来的请求，则极有可能是CSRF攻击。

3.token验证

在 HTTP 请求中以參数的形式添加一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，假设请求中没有token 或者 token 内容不对，则觉得可能是 CSRF 攻击而拒绝该请求。
token需要足够随机
敏感的操作应该使用POST。而不是GET，以form表单的形式提交。能够避免token泄露。

4在 HTTP 头中自己定义属性并验证

这样的方法也是使用 token 并进行验证。这里并非把 token 以參数的形式置于 HTTP 请求之中，而是把它放到HTTP 头中自己定义的属性里。通过 XMLHttpRequest 这个类，能够一次性给全部该类请求加上 csrftoken 这 HTTP 头属性。并把 token 值放入当中。这样攻克了上种方法在请求中添加 token 的不便。同一时候，通过XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏，也不用操心 token 会透过 Referer 泄露到其它站点中去。

Q：token存放的位置？

A：放到 local / session stograge 或者 cookies

ajax的headers里面自带x-csrf-token

Q：CSRF为什么可以用token防御？

A：CSRF本质原因是“重要操作的所有参数都是可以被攻击者猜测到的”，Token加密后通过Cookie储存，只有同源页面可以读取，把Token作为重要操作的参数，CSRF无法获取Token放在参数中，也无法仿造出正确的Token，就被防止掉了

Q：CSRFtoken工作实现和原理？

A：csrftoken机制：服务器生成的字符串，运用一些算法，并加上密钥，生成一个Token，然后通过BASE64编码一下之后将这个Token返回给客户端，客户端将Token保存起来（可以通过数据库或文件形式保存本地）。下次请求时，客户端只需要带上Token，服务器收到请求后，会用相同的算法和密钥去验证Token。

最简单的Token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名，由Token的前几位+盐以哈希算法压缩成一定长的十六进制字符串，可以防止恶意第三方拼接Token请求服务器)

Q：盲注的原理？

A：无法依据服务器的返回值来判断，依据两次执行的差距来判断；

Q：前端认证原理

A：oauth,session,cookie,token,jwt几个点讲明白即可

Q：ssrf如何利用，结合redis？

A：绝对路径写webshell

写ssh公钥

写contrab计划任务反弹shell

Q：写ssh公钥无法登录主机的情况下怎么利用？

A：反弹shell

Q：java反序列化原理？利用核心

A：序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化，它将流转换为对象。使用反序列化本身并不会产生问题。当用户（攻击者）可以控制被反序列化的数据时就出现问题了，例如，如果数据可以通过网络连接传送到反序列化例程中。如果攻击者控制的数据被反序列化，那么它们对内存中的变量和程序对象就会有一些影响。之后，如果攻击者可以影响内存中的变量和程序对象，那么它们可以影响使用这些变量和对象的代码流

Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行

反射机制中有一个实现该接口的类可以通过调用java的反射机制来调用任意函数：InvokerTransformer。如Runtime.getRuntime().exec(）即可执行系统命令。

挖掘反序列化漏洞简单过程：

(1)确定反序列化输入点

首先应找出readObject方法调用，在找到之后进行下一步的注入操作。

一般可以通过以下方法进行查找：

源码审计：寻找可以利用的“靶点”，即确定调用反序列化函数readObject的调用地点。
对该应用进行网络行为抓包，寻找序列化数据，如wireshark,tcpdump等

(2)再考察应用的Class Path中是否包含Apache Commons Collections库

(3)生成反序列化的payload

(4)提交我们的payload数据

常用工具：ysoserial

Q：java框架和应用漏洞？

A：spring,jboss,weblogic,tomcat,apache,fastjson,struts2,shiro,flink,dubbo，均有大量漏洞，查资料即可

Q：8000端口默认是什么服务，有什么漏洞？

A：jdwp 命令执行 JDWP（Java DEbugger Wire Protocol）：即Java调试线协议，是一个为Java调试而设计的通讯交互协议，它定义了调试器和被调试程序之间传递的信息的格式

Q：fastjson反序列漏洞原理和修复？

A：涉及代码分析很长，大家自己找资料看下，最好搭建环境单步调试深入理解以防被问住细节；

Q：OGNL表达式干什么的？

A：用途：是一个用来获取和设置 java对象属性的表达式语言。

应用场合：通过使用表达式语法导航对象图，而不是直接调用对象的获取和设置方法可以提供许多应用。比如在XML文件或者脚本文件中嵌入OGNL表达式语法，在JSP页面使用OGNL表达式语法。

使用OGNL，你可以通过某种表达式语法，存取Java对象树中的任意属性、调用Java对象树的方法、同时能够自动实现必要的类型转化。如果我们把表达式看做是一个带有语义的字符串，那么OGNL无疑成为了这个语义字符串与Java对象之间沟通的桥梁

Q：反射型xss和dom型xss的区别

A：反射型和服务器有交互，输出点不同；

Q：xss修复？

A：通用方法，转义，过滤，黑白名单，owasp有完整的xss过滤表，包括不同浏览器和语言下应该过滤的，安全框架，html编码，scp

Q:windows加入域是什么命令

A:可以使用NETDOM JOIN（加入域命令） %COMPUTERNAME% (获取客户端计算机名称，也可以直接输入计算机名。) /DOMAIN:dc.com（所需加入的域名） /UserD:luogr（用户帐号） /PasswordD:P@ssw0rd（用户密码） /REBOOT（加入域后是否需要重启）

Q:Linux文本操作 awk -f -F 是什么意思

A:-F指定分隔符，-f调用脚本

Q:如何绕安全狗？如何绕waf?

A:a) 大小写混合 b)替换关键字 c)使用编码 d)使用注释 e)等价函数与命令 f)使用特殊符号 g)HTTP参数控制 h)缓冲区溢出 i)整合绕过

绕安全狗：

有很多师傅研究过了，供参考

Q：某oa,某论坛，某框架有什么漏洞

A：自己查资料即可，一般问的都是你做过的项目，对简历上写的东西要掌握清楚。

Q：sdl有哪些流程，具体怎么做的？

A：

参考模型说自己负责的部分即可

Q：漏洞修复的流程

A：参考

Q：如何推动修复漏洞

A：主要靠1.安全意识培训，甚至可以是实地演示漏洞2.公司制度或监管，甚至可以找上级沟通等

Q：如果修复漏洞和业务冲突？

A：看漏洞情况，作为安全尽量推动漏洞修复；或者根据风险评估的方法可以接受风险，根据应聘岗位发挥即可；

Q：fortify规则编写

A：过滤函数，覆写规则，新建规则几个常规步骤掌握即可；

Q：代码审计相关漏洞如何手工寻找？

A：

java,供参考

Q：mysql mybits框架用了还有sql注入吗？

A：涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式，由于$底层原理不使用预编译，这样的参数需要我们在代码中手工进行处理来防止注入。

Q：公司采用的安全架构？

A：云原生，分布式，大数据，人工智能，零信任，devsecops；根据公司具体情况介绍就可以，没有可以吹比的点，老老实实PPDR等常规安全架构讲一讲就可以

Q：目前就职公司主要的安全问题？

A：应聘架构谈架构，应聘技术谈技术上的细节；

Q：团队人手不够，是什么原因？如何向领导要人？

A：自由发挥

Q：云安全有哪些问题？要怎么做？

A：就像传统的业务一样，抗ddos，waf,ips这些常规的；对于主机的漏洞检测，应用的漏洞扫描，主机的基线配置；对于云用户来说，云用户可能是恶意的，需要东西向流量检测；云管理平台的漏洞；虚拟机逃逸等容器安全；网络的隔离等；建议回答时先搞清楚云的模式，从租户侧和管理侧两方面展开说，可以参考云平台等保基础和扩展项；

Q：安全区域划分？

A：参考业务和数据需要保护的情况；一般来说，DMZ，互联网区，运管区，内网区，专线直连区域，备份和容灾区域等，结合公司实际来考虑；

Q：实现区域隔离的策略实现

A：交换机防火墙等，具体写法参考设备类型；从划分VLAN和防火墙ACL考虑

Q：供应链安全？

A：资产监控，确认所有供应商；对无法解决的问题的供应商进行替换；收取一手消息，全网监控，收集威胁情报，和供应商搞好关系，第一时间给予支持，获取安全信息等；

Q：应急响应流程和做过印象深刻的例子？

A：主要遵守应急响应PDCERF模型

Prepare（准备）：主要是建立完整的监控体系，第一时间发现，以及发现第一现场；

Detection（检测）：系统信息排查

进程排查

文件排查