网安面试题收集（3）

🧩 面试题 1：请解释 SSRF（服务器端请求伪造）的原理，并说明防御方法。

考察点： 服务端安全、内网渗透思路

参考答案：

• 原理： 攻击者通过向服务器发送特制请求，诱使服务器去访问攻击者指定的资源（如内网地址、云服务元数据接口等），从而达到访问受限网络或获取敏感数据的目的。
  例如：

  http://example.com/fetch?url=http://127.0.0.1:8080/admin
  

• 可能造成的危害：

  • 访问内网管理端口或Redis/Memcached；

  • 读取云环境凭证（如 AWS Metadata）；

  • 扫描内网或横向渗透。

• 防御措施：

  1. 限制可请求的协议与地址范围（仅允许 http/https）；

  2. URL 解析后进行 IP 白名单验证；

  3. 禁止跟随重定向；

  4. 使用 SSRF 检测中间件（如 open-redirect 防护）。

⚙️ 面试题 2：请说明常见的权限提升（Privilege Escalation）方式有哪些？

考察点： 系统漏洞与渗透后阶段操作

参考答案：

• 本地提权（Local Privilege Escalation）：

  1. 利用系统漏洞（如 CVE-2021-4034 Polkit）；

  2. 弱权限配置（如 SUID、可写定时任务文件）；

  3. 凭据提取（读取 /etc/shadow 或 Windows SAM）；

  4. 内核漏洞利用。

• 垂直提权 vs 水平提权：

  • 垂直提权：普通用户 → 管理员；

  • 水平提权：同级账户间越权（如访问他人数据）。

• 防御思路：
  及时打补丁、最小权限原则、账号隔离、日志监控。

🕵️ 面试题 3：请描述一次 WebShell 检测与分析的思路。

考察点： Web安全防护与日志取证

参考答案：

1. 检测阶段：

   • 文件特征检测：通过正则匹配常见 PHP eval/exec/base64_decode 特征；

   • 文件时间差分析：异常修改时间或隐藏文件；

   • 请求日志检测：关注 POST 请求中含有可疑参数（如 cmd, eval, shell）。

2. 分析阶段：

   • 解码或反混淆 WebShell 内容；

   • 检查是否存在命令执行、文件上传、数据库操作；

   • 确定攻击入口与上传路径。

3. 防御：

   • 上传目录禁用脚本执行；

   • 使用 WebShell 扫描工具（如 D盾、腾讯云HIDS、ClamAV）；

   • 加强日志审计。

🌐 面试题 4：什么是威胁情报（Threat Intelligence）？它在安全防御中的作用是什么？

考察点： 蓝队防御思维、威胁建模

参考答案：

• 定义：
  威胁情报是基于攻击者行为、攻击手段、攻击基础设施收集、分析并提炼出的可操作信息，用于提前发现潜在威胁。

• 类型：

  • 战略情报（Strategic）：宏观趋势、APT组织分析；

  • 战术情报（Tactical）：攻击工具、手法（TTPs）；

  • 操作情报（Operational）：IOC（如恶意IP、域名、Hash）。

• 作用：

  • 通过 IOC 快速阻断攻击；

  • 改善入侵检测规则（IDS/WAF）；

  • 指导安全运营中心（SOC）分析与响应；

  • 形成威胁情报共享机制（如 MISP、ATT&CK）。

🧰 面试题 5：漏洞管理流程包含哪些核心环节？

考察点： 安全运维与风险管理体系

参考答案：

1. 漏洞发现（Identify）：
   通过扫描、渗透测试、安全情报等途径识别漏洞；

2. 漏洞评估（Assess）：
   判断漏洞影响范围、风险等级（CVSS评分）；

3. 修复与缓解（Remediate）：

   • 优先修复高危漏洞；

   • 临时采用缓解措施（如防火墙规则、补丁回退方案）。

4. 验证与复测（Verify）：
   确认漏洞确实修复；

5. 持续监控与报告（Monitor & Report）：
   跟踪新漏洞、生成周期性报告，完善漏洞资产库。