一些面经

网络安全岗位面试问题汇总

一、基础理论类

网络与协议

1. 什么是 TCP/IP 协议？它分几层？TCP 三次握手的核心目的是什么？为什么不能是两次？

   应用层、表示层、会话层，确认双方的初始序列号，不能可靠同步序列号

2. OSI 七层模型分别是什么？每一层对应的安全风险有哪些？

   物链网输会示用

   物理：侧信道攻击

   链路：ARP 欺骗

   网络：伪造ip

   传输：ddos

   会话：未授权访问

   表示：证书伪造

   应用层：CSRF

3. ARP 欺骗的原理是什么？有哪些防御方案？

   通过 IP 地址查询对应的 MAC 地址，实现局域网内设备通信。收到 ARP 响应包就更新缓存，不管是否真的发送过请求，也不管发送者是谁，新的响应会覆盖旧的记录.

   设置成静态arp，arp防火墙。

4. HTTPS 的通信安全机制是什么？握手过程中可能存在哪些篡改风险？

安全目标	实现机制	解决的问题
加密传输	对称加密 + 非对称加密混合	防止窃听（中间人看不到明文）
身份认证	数字证书 + CA 信任链	防止冒充（确认对方是真人）
数据完整性	MAC（消息认证码）/ 数字签名	防止篡改（内容被改能发现）

5. DNS 协议的安全风险有哪些？DNS 隧道的原理是什么？

   DNS 劫持（指向别的ip），DNS 放大（发送 60 字节查询，返回 4000+ 字节响应，伪造源地址攻击受害者）。DNS 隧道利用 DNS 协议的合法性和穿透性，将数据封装在 DNS 查询和响应中传输，绕过防火墙、入侵检测和内容过滤。

安全基础

1. 网络安全的 CIA 三元组是什么？分别代表什么含义？

   完整性，保密性，可用性

   确保信息在存储、传输、处理过程中未被未授权篡改，且真实可信。

   确保信息仅被授权人员访问，防止未授权泄露。

   确保授权用户在需要时能够及时、可靠地访问信息和资源。

2. OWASP Top 10 是什么？2025 版中最常见的漏洞有哪些？

十大最关键 Web 应用安全风险清单

排名	风险类别	核心问题	关键变化
A01	访问控制失效 Broken Access Control	用户可执行未授权操作或访问受限资源	保持第 1，SSRF 并入此类别（从 A10:2021 移入）
A02	安全配置错误 Security Misconfiguration	默认配置、开放端口、云配置错误等	从第 5 跃升至第 2，云原生复杂度加剧风险
A03	软件供应链失效 Software Supply Chain Failures	第三方依赖、CI/CD 管道、构建系统被渗透	新增类别，取代 A06:2021（易受攻击组件），范围扩展至全流程
A04	加密机制失效 Cryptographic Failures	弱算法、密钥管理不当、传输/存储未加密	从第 2 降至第 4，现代框架改善但要求更严
A05	注入攻击 Injection	SQL、OS 命令、LDAP、NoSQL 等注入	从第 3 降至第 5，框架防护见效但仍高发
A06	不安全的设计 Insecure Design	架构级缺陷、业务逻辑漏洞、威胁建模缺失	从第 4 降至第 6，强调"安全左移"设计阶段解决
A07	身份认证失败 Authentication Failures	弱密码、会话劫持、缺乏 MFA、凭证填充	更名自 A07:2021（Identification and…），排名不变
A08	软件或数据完整性失效 Software or Data Integrity Failures	未验证更新、篡改代码/数据、版本管理漏洞	扩展至 CI/CD 流程和构建完整性
A09	安全日志记录和告警失效 Logging and Alerting Failures	缺乏审计日志、监控盲区、响应延迟	更名强调实时告警，排名不变
A10	异常情况处理不当 Mishandling of Exceptional Conditions	错误处理泄露信息、故障开放、资源耗尽	新增类别，取代 A10:2021（SSRF），聚焦系统韧性

3. 对称加密（AES）和非对称加密（RSA）的区别是什么？各自的应用场景？

特性	对称加密（AES）	非对称加密（RSA）
密钥	加密解密用同一密钥	加密解密用不同密钥对（公钥/私钥）
速度	极快（硬件加速可达 GB/s 级）	极慢（比 AES 慢 100-1000 倍）
密钥长度	128/192/256 位	2048/3072/4096 位（甚至更高）
密钥分发	难题——如何安全传递密钥？	天然安全——公钥公开，私钥保密
数学基础	置换-置换网络（SPN）、Feistel 网络	大整数分解难题（RSA）、离散对数（ECC）
资源消耗	CPU/内存占用低	计算密集，耗电量大（尤其移动端）

AES场景

场景	原因
大文件/磁盘加密	全盘加密（BitLocker、FileVault）、视频流加密
实时通信	VPN（IPSec）、语音/视频通话（SRTP）、游戏数据同步
数据库加密	透明数据加密（TDE），性能要求极高
TLS/HTTPS 数据传输	握手后的批量数据加密
物联网/嵌入式	AES 硬件指令普及（ARM AES-NI），省电高效

RSA场景

场景	作用
TLS/SSL 握手	密钥交换、服务器身份认证（证书）
数字签名	代码签名（软件更新）、文档签名、区块链交易
电子邮件加密	PGP/GPG：用收件人公钥加密邮件内容
SSH 登录	密钥对认证（~/.ssh/id_rsa.pub）
加密货币	钱包地址（公钥哈希）、交易签名（私钥）

4. 防火墙、IDS/IPS、WAF 的核心区别是什么？它们如何协同工作？

维度	防火墙（Firewall）	IDS（入侵检测系统）	IPS（入侵防御系统）	WAF（Web应用防火墙）
工作层级	网络层（L3）- 传输层（L4）	网络层（L3）- 应用层（L7）	网络层（L3）- 应用层（L7）	专精应用层（L7）
核心能力	访问控制——允许/拒绝流量	检测告警——发现攻击行为	检测+阻断——实时拦截攻击	防护Web漏洞——SQL注入、XSS等
部署方式	串行（必经之路）	旁路（镜像流量，不介入）	串行（Inline，流量必经）	串行（反向代理或透明代理）
决策依据	IP、端口、协议、状态表	特征库、异常行为模型、威胁情报	同IDS，但具备阻断能力	HTTP语义分析、虚拟补丁、Bot管理
响应速度	微秒级（硬件转发）	秒级-分钟级（分析后告警）	毫秒级（实时阻断）	毫秒级（请求级检测）
防护盲区	应用层攻击（如SQL注入）	加密流量、零日攻击	同IDS，误报可能阻断业务	非Web协议（如SSH、RDP）

5. 零信任架构的核心原则是什么？为什么传统 VPN 需要结合零信任？

原则	传统思维	零信任思维
1. 永不信任，始终验证	内网=安全，外网=危险	无内外网之分，每次访问都需认证授权
2. 最小权限访问	一旦准入，广泛授权	按需授权、即时授权（Just-in-Time）、动态调整
3. 假设已失陷	防御边界，阻止入侵	微分段隔离、持续监控、快速检测响应

二、Web 安全类

漏洞原理与防御

1. SQL 注入的原理是什么？有哪些分类？如何防御？

SQL 注入的本质是攻击者将恶意 SQL 代码插入到应用程序的输入字段中，使数据库执行非预期的 SQL 语句

类型	说明	特点
联合查询注入 (Union-based)	使用 UNION SELECT 合并查询结果	可直接获取数据，直观可见
报错注入 (Error-based)	通过数据库错误信息获取数据	依赖数据库报错回显
布尔盲注 (Boolean-based Blind)	通过页面返回的真/假判断逐字符获取数据	无回显，速度慢
时间盲注 (Time-based Blind)	通过 SLEEP() 等延时函数判断	无回显，依赖时间差
堆叠注入 (Stacked Queries)	使用分号 ; 执行多条 SQL 语句	可执行增删改操作，危害极大
宽字节注入	利用字符集转换（如 GBK）绕过转义	针对 addslashes() 等防护
二次注入	恶意数据存入数据库，后续被调用时触发	隐蔽性强，难以发现

防御层级	方法	实施要点
参数化查询（首选）	使用 Prepared Statements	将 SQL 结构与数据分离
存储过程	封装业务逻辑	限制直接 SQL 操作
输入验证	白名单过滤	正则匹配预期格式
转义特殊字符	使用数据库提供的转义函数	作为辅助手段，非主要方案
最小权限原则	数据库账号权限控制	禁止 DROP/UNION 等危险操作
WAF/IDS	Web 应用防火墙	拦截常见注入特征

1. 如何绕过 WAF 执行 SQL 注入？列举至少 3 种手法。

   WAF 绕过技术的核心在于利用解析差异、编码变形和上下文漏洞，使恶意载荷绕过规则检测但仍被数据库正确执行。主要手法包括三类：编码混淆（多重 URL 编码、Unicode 变形、注释符干扰等，考验 WAF 的解码深度）、语法等价替换（关键字拆分、逻辑表达式变形、函数别名等，考验 WAF 的语义理解能力）、以及上下文与架构利用（JSON/XML 参数注入、HTTP 头注入、分块传输、直接访问源站等，考验 WAF 的覆盖范围和部署架构）。

2. XSS 攻击的原理是什么？存储型和反射型的区别是什么？如何防御？

XSS（跨站脚本攻击）是一种将恶意 JavaScript 代码注入到网页中执行的攻击方式，核心原理是攻击者利用网站对用户输入过滤不严的漏洞，将可执行脚本嵌入页面，使其在其他用户的浏览器中运行，从而窃取 Cookie、会话令牌、键盘记录或执行任意操作。

特性	存储型 XSS（Stored）	反射型 XSS（Reflected）	DOM 型 XSS（DOM-based）
别名	持久型 XSS	非持久型 XSS	客户端 XSS
恶意代码位置	服务器数据库/文件/缓存	URL 参数/表单/Header，不存储	前端 JavaScript 处理的数据
数据流向	攻击者 → 服务器存储 → 受害者浏览器	攻击者 → 服务器 → 受害者浏览器	攻击者 → 前端 JS → 受害者浏览器（不经过服务器）
触发机制	用户正常浏览页面自动触发	需点击恶意链接触发	用户交互触发（点击、输入、页面加载等）
攻击流程	提交恶意代码 → 存储 → 渲染执行	构造 URL → 诱骗点击 → 服务器反射 → 执行	构造数据 → 前端 JS 读取 → 不安全写入 DOM → 执行
服务器参与	✅ 存储并返回恶意代码	✅ 反射恶意代码	❌ 纯前端处理，服务器无感知
典型漏洞点	评论区、论坛帖子、用户资料、站内信、商品评价	搜索框、错误页面、跳转参数、登录回显	innerHTML、document.write、eval、location.hash、window.name
攻击示例	评论提交 <script>steal()</script>	?search=<script>alert(1)</script>	/#<img src=x onerror=steal()> 被 JS 读取插入页面
隐蔽性	极高，与正常内容混合	较低，URL 可见	高，无网络请求特征，难以 WAF 检测
检测难度	困难，需审计存储和渲染	较易，检查 URL 和响应	困难，需代码审计前端 JS 逻辑
社工依赖	无需社工	强依赖社工诱骗点击	中等，需诱导访问含 payload 的页面
影响范围	所有访问页面的用户	仅点击链接的用户	执行相关前端逻辑的用户
危害程度	严重，蠕虫、长期窃取	中等，定向钓鱼	严重，可绕过服务端所有防护
WAF 防护效果	有效（检测存储内容）	有效（检测请求/响应）	无效，无服务端交互
防御核心	入库净化 + 出库编码	输入过滤 + 输出编码	安全编码实践 + 避免危险 API
关键防御代码	模板自动转义 {{ content }}	上下文敏感编码	使用 textContent 替代 innerHTML
审计重点	用户可编辑的持久化存储点	直接回显外部参数的接口	所有操作 DOM 的前端 JS 代码

1. CSRF 攻击的原理是什么？和 XSS 的本质区别是什么？如何防御？

CSRF（跨站请求伪造）是一种利用用户已认证身份，诱导其在不知情的情况下执行非预期操作的攻击方式。攻击者构造恶意请求，借用用户在目标网站的登录状态（Cookie），以用户名义完成转账、改密、发文等敏感操作。

维度	CSRF（跨站请求伪造）	XSS（跨站脚本攻击）
攻击核心	伪造用户请求，利用浏览器自动携带 Cookie 的机制	注入执行恶意脚本，控制用户浏览器
恶意代码位置	第三方恶意网站	目标网站本身的页面
利用的是	用户的身份凭证（Cookie 自动携带）	用户的浏览器执行环境（同源策略绕过）
是否需要用户交互	通常无需交互，自动提交请求	通常需要页面加载或特定触发
能否读取响应	不能，受同源策略限制	能，脚本在同源页面执行
攻击目标	更改服务器状态（转账、改密、删帖）	窃取数据（Cookie、键盘记录）、钓鱼、挖矿
对 JavaScript 依赖	不依赖，纯 HTML 表单即可攻击	依赖，必须执行 JS 代码
防御重点	验证请求来源、添加不可预测令牌	输入过滤、输出编码、CSP
危害场景	资金转移、权限变更、数据篡改	会话劫持、信息泄露、蠕虫传播
本质一句话	借刀杀人（用你的身份做坏事）	特洛伊木马（在你的地盘植入后门）

1. SSRF 漏洞的原理是什么？有哪些内网利用场景？

   SSRF（Server-Side Request Forgery，服务器端请求伪造）是一种常见的 Web 安全漏洞，它允许攻击者诱导服务器向攻击者指定的任意地址发起请求。

   扫描文件，端口(服务器拥有内网访问权限，而外部用户通常没有)

2. XXE 攻击的原理是什么？会造成哪些危害？如何防御？

   XXE（XML External Entity，XML 外部实体注入）是一种针对 XML 解析器的安全漏洞，攻击者利用 XML 标准中的外部实体特性，读取服务器上的敏感文件、执行 SSRF 攻击或造成拒绝服务。

   任意文件读取

   禁用外部实体、用JSON、上WAF

3. 文件上传漏洞的检测和防护方案有哪些？

   文件扩展名白名单、文件内容检测、文件名随机化

4. 目录遍历漏洞的利用方法是什么？如何防御？

   目录遍历（Path Traversal / Directory Traversal）是一种利用应用程序对文件路径处理不当，访问服务器上非授权目录和文件的漏洞。攻击者通过构造特殊路径，突破应用程序的目录限制，读取敏感文件甚至执行系统命令。

   路径规范化 + 校验、白名单

5. 浏览器同源策略的绕过技术有哪些？

渗透测试流程

1. 描述一次完整的渗透测试标准流程（PTES）。

2. 描述一次你印象最深的渗透测试经历，讲清楚细节。

3. 如果项目时间很短，你会怎么筛选目标，快速出结果？

4. 如果你发现页面返回了数据库报错信息，你会怎么做？

5. 一台服务器你扫不到端口，但你觉得它有服务在运行，你怎么判断？

三、系统与内网安全类

系统安全

1. Linux 服务器被入侵后，你的排查步骤是什么？

2. Linux 系统安全加固的关键配置有哪些？（如 SSH 加固、文件权限、内核防护等）

3. Windows 系统中，如何通过组策略禁用 USB 存储？

4. Windows 域环境中，Kerberos 认证协议的工作过程是什么？常见的漏洞有哪些？

5. 密码存储的安全最佳实践是什么？如何防御彩虹表攻击？

内网渗透

1. 内网横向移动的常见技术有哪些？比如 Pass-the-Hash 的原理？

2. 从外网到域控的完整攻击路径是什么？

3. 红队演练中，隐蔽 C2 通信的方式有哪些？

4. 蜜罐系统的类型和目的是什么？

四、应急响应与运维安全类

1. 如果发现服务器被入侵，你的应急响应流程是什么？

2. 如果公司网络遭受 DDoS 攻击，你会如何应对？

3. 数据泄露的响应流程是什么？（NIST 框架）

4. 如果遇到勒索病毒攻击，你会怎么处理？

5. 收到钓鱼邮件后，你的处理步骤是什么？

6. 日志分析在事件响应中的作用是什么？常用的工具有哪些？

7. 恶意软件分析的关键步骤是什么？

8. 漏洞管理的生命周期包括哪些阶段？

五、工具与实战能力类

1. Nmap 的常用命令有哪些？比如扫描指定 IP 的常用端口。

2. Burp Suite 的核心功能有哪些？如何用它抓包改包？如何绕过验证码？

3. 如何用 Wireshark 抓包？怎么过滤出指定 IP 的流量？如何分析攻击流量？

4. 如何通过内存取证分析无文件攻击？Volatility 的常用命令？

5. Sqlmap 的使用场景有哪些？如何用 tamper 脚本绕过 WAF？

6. Metasploit 框架的基本模块有哪些？

7. 如何用 Python 写一个简单的端口扫描器？

8. 如何写脚本监控 /etc/passwd 文件的篡改？

六、云与云原生安全类

1. 云安全的责任共担模型是什么？

2. IAM 策略配置错误会导致哪些数据泄露风险？比如 S3 桶的配置问题。

3. Kubernetes 安全中，RBAC 的设计细节是什么？如何防止权限提升？

4. 如何设计一个支持多租户的容器安全策略？

5. Linux namespace 和 cgroup 在安全隔离中的作用是什么？

6. 容器（Docker）的常见风险点有哪些？

7. 如何设计一个云原生的零信任架构？

七、大厂 / 企业专项面试题

云安全方向

1. 如何设计一个云原生零信任架构？

2. 安全策略误报时的应急响应机制是什么？

3. 如何在不影响业务的情况下实现安全策略？

4. 如何平衡安全与业务敏捷性？

5. 如何推动安全规范在开发团队的落地？

反欺诈方向

1. 如何实现一个基于图计算的欺诈检测算法？

2. 如何处理反欺诈中的类别不平衡问题？

3. 如何在毫秒级延迟内完成风险判断？

4. 微信支付场景的欺诈风险点有哪些？如何设计多层次的反欺诈策略？

内容安全方向

1. 如何设计一个支持多语言的内容审核系统？

2. 如何处理审核系统的误杀和漏检的平衡？

3. 如何设计一个日处理 10 亿条内容的审核系统？

4. 如何结合文本、图像、视频进行综合审核？

渗透测试方向

1. 红队和蓝队的角色定位是什么？

2. DevSecOps 中的安全自动化工具有哪些？

3. 安全开发生命周期（SDL）的阶段有哪些？

4. 等保 2.0 的核心要求是什么？

5. PCI DSS 合规的核心要求是什么？

八、软技能与行为类

1. 你为什么选择网络安全这个行业？

2. 当业务部门不配合安全工作时，你会怎么处理？

3. 如何向非技术人员解释 DDoS 攻击的危害？

4. 遇到不会的技术问题时，你会怎么处理？

5. 你平时通过什么方式跟进最新的安全技术和漏洞？

6. 你有没有参与过护网行动？在其中负责什么？