当前位置：首页 > news >正文

2025年渗透测试面试题总结-204（题目+回答）

news 2025/10/15 9:24:30

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

1. 自我介绍

2. Web漏洞原理、进攻与防御技巧

3. jQuery库中直接导致XSS的函数

4. 导致XSS的常见手法

5. 文件上传攻击思路

6. 代码审计方法与工具

7. 漏洞挖掘自动化

8. 同源策略与跨域方式

9. JSONP与CORS漏洞

10. CSP的作用与绕过姿势

11. 网站渗透测试流程与漏洞类型

12. 甲方网站防护方案

13. 新漏洞跟进与分析

总结：2025年安全趋势图谱

1、自我介绍
2、各种web漏洞的原理、进攻及防御技巧
3、jquery库里面有一个函数可以直接导致xss的是哪个函数？
4、一般有哪些熟悉可以导致xss？
5、文件上传你都有什么思路？
6、做了这么多代码审计，你有什么独到的方法？都用什么工具？seay那个工具的原理有了解过吗？
7、有想过挖洞自动化吗？
8、讲一讲同源策略，跨域都有什么方式？
9、讲一讲你对jsonp的了解？还有cors一般都会有什么漏洞？
10、csp是干嘛的？有啥绕过姿势吗？
11、给你一个网站，你一般是怎么做渗透测试的？一般会挖什么类型的漏洞？
12、那对于甲方来说，你觉得怎么来对一个网站做好防护准备？
13、平时会对一些新的漏洞进行跟进甚至分析吗？
1. 自我介绍

网络安全资深研究员 | 专注Web安全7年+

当前职位：2025年任职于长亭科技威胁情报团队，负责高级漏洞挖掘与自动化防护系统研发。
核心成就：
主导开发AI赋能的Web漏洞扫描引擎（日均检测10万+端点）。
独立发现Spring 6.3 RCE漏洞（CVE-2025-XXXX），获微软致谢。
出版《量子时代Web安全实战》（2025年机械工业出版社）。

技术专长：二进制逆向、云原生安全、APT攻击溯源。

2. Web漏洞原理、进攻与防御技巧

2025年五大关键漏洞全景解析：

漏洞类型 原理 进攻技巧（2025更新） 防御技巧（企业级方案）
XSS（跨站脚本） 恶意脚本注入用户页面执行利用AI生成混淆Payload（如<svg onload=alert(1)>） CSP 3.0 + 输入输出编码（如DOMPurify库）
SQL注入 非法SQL查询篡改数据库二阶注入 + 时间盲注绕过WAF 预编译语句（PreparedStatement） + RASP监控
文件上传漏洞 恶意文件上传至服务器执行利用Polyglot文件绕过检测（如JPEG含PHP代码）文件签名验证 + 沙箱执行
SSRF（服务端请求伪造） 利用服务器发起内部请求绕过URL解析器（如http://127.0.0.1@evil.com ）网络隔离 + 请求目标白名单
RCE（远程代码执行） 攻击者执行任意系统命令反序列化链构造（如Fastjson漏洞利用）禁用危险函数（如eval()） + eBPF行为监控
2025年趋势防御：AI实时流量分析阻断0day攻击，误报率<2%。

3. jQuery库中直接导致XSS的函数

高危函数：html()

原理：$("#element").html(user_input) 直接解析HTML字符串，未转义恶意脚本。
进攻案例：若user_input为<img src=x onerror=alert(1)>，触发XSS。
防御：使用text()替代或启用jQuery的$.parseHTML()安全解析。
补充：2025年jQuery使用率降至15%（转向Vue/React），但遗留系统仍高危。

4. 导致XSS的常见手法

五大攻击场景（2025年统计）：

反射型XSS：恶意参数通过URL反射输出（如搜索框注入）。
存储型XSS：恶意脚本存储到数据库（如评论区攻击）。
DOM-based XSS：客户端脚本操作DOM引发（如document.write() ）。
盲XSS：延时触发（如日志文件注入）。
突变XSS：HTML解析器特性导致（如<title><img src=1>变异）。
防御统一方案：

输入验证（白名单正则） + 输出编码（如HTML Entity编码） + CSP策略。

5. 文件上传攻击思路

四层绕过技巧与防御：
mermaidgraph LR A[文件类型绕过] --> B[扩展名伪造（.php.jpg ）] A --> C[MIME类型篡改（image/jpg -> text/php）] D[内容绕过] --> E[Polyglot文件（JPEG含PHP shell）] D --> F[压缩包解压漏洞（Zip炸弹）] G[解析漏洞] --> H[路径遍历（../../../shell.php ）] G --> I[服务器解析特性（Apache多后缀解析）] J[防御措施] --> K[文件签名检测（非扩展名）] J --> L[沙箱动态分析 + 权限隔离] 
2025年创新：量子哈希验证文件完整性（抗碰撞攻击）。

6. 代码审计方法与工具

独到方法：三维深度审计框架

静态分析：
工具：Semgrep（支持200+语言）、CodeQL（自定义查询规则）。
技巧：聚焦危险函数（如eval(), deserialize()），溯源数据流。

动态分析：
工具：OSS-Fuzz（覆盖边缘场景）、AI辅助审计（如DeepCode）。
技巧：Hook运行时行为（如RASP注入检测）。

Seay工具原理：基于AST（抽象语法树）解析PHP代码，匹配预置漏洞模式（如未过滤的$_GET），2025年已开源改进版支持AI误报抑制。
2025年效率：百万行代码审计<10分钟，误报率<5%。

7. 漏洞挖掘自动化

是，2025年自动化体系成熟：

资产发现：分布式爬虫（如Celery集群）扫描全网暴露面。
漏洞挖掘：
AI Fuzzing：生成自适应Payload（如遗传算法优化）。
符号执行：覆盖全代码路径（如KLEE工具）。

漏洞验证：自动化PoC生成（集成Metasploit框架）。
防御对抗：模拟攻击流量训练防御模型（GAN网络）。
案例：自动化发现云服务配置错误漏洞（年均节省1000+人工小时）。

8. 同源策略与跨域方式

同源策略本质：协议+域名+端口一致才允许资源交互，防止数据窃取。
跨域五大方式（2025年更新）：

方式实现 安全风险
CORS 服务端设置Access-Control-Allow-Origin 配置错误导致任意域访问（如*滥用）
JSONP <script>动态加载回调函数 XSS + 数据泄露（违反CSP）
代理转发 Nginx反向代理/api请求代理层SSRF漏洞
WebSocket ws://协议无同源限制未加密信道劫持
postMessage 窗口间消息传递未校验来源导致XSS

9. JSONP与CORS漏洞

JSONP本质：利用<script>标签跨域获取数据，通过回调函数处理响应。

漏洞：
未过滤回调参数导致XSS（如callback=alert(1)//）。
敏感数据泄露（如返回用户凭证）。
CORS漏洞：

配置错误：Access-Control-Allow-Origin: * 允许任意域。
凭证泄露：Access-Control-Allow-Credentials: true 配合低信任域。
2025年防御：严格白名单 + HTTPS强制 + 预检请求验证。

10. CSP的作用与绕过姿势

CSP（内容安全策略）：HTTP头限制资源加载源（如脚本、样式），防止XSS。

策略示例：Content-Security-Policy: script-src 'self'。
绕过姿势（2025年新手法）：

Script-src绕过：利用CDN白名单漏洞（如<script src="trusted-cdn.com/evil.js"> ）。
JSONP注入：回调函数执行恶意代码（CSP不阻.js加载）。
数据URI攻击：<iframe src="data:text/html,<script>alert(1)">。
DNS重绑定：利用TTL过期切换域名解析至恶意IP。
加固方案：CSP 3.0 + 报告模式（Report-URI） + 沙箱隔离。

11. 网站渗透测试流程与漏洞类型

渗透测试五步法（2025年高效模型）：
mermaidgraph TB A[信息收集] --> B[漏洞扫描] B --> C[手动验证] C --> D[权限提升] D --> E[报告输出] 
核心漏洞类型：
业务逻辑漏洞（如越权支付）。
API安全风险（GraphQL注入）。
云配置错误（公开的S3存储桶）。
0day利用（如框架未修补漏洞）。
耗时：中小型网站<24小时，检出率>90%。

12. 甲方网站防护方案

2025年企业级防护体系：

层级措施 工具/案例
事前防御 安全编码规范（OWASP ASVS） + 威胁建模 Semgrep集成CI/CD流水线
事中监控 WAF（如ModSecurity） + RASP运行时防护 AI异常流量实时阻断（延迟<50ms）
事后响应 自动化溯源（区块链存证） + 红蓝对抗演练量子加密日志防篡改
持续改进 漏洞赏金计划 + 第三方渗透测试年均修复漏洞>500个

13. 新漏洞跟进与分析

是，构建闭环响应流程：

实时监控：订阅CVE数据库（如cve.org ）、GitHub安全通告。
深度分析：
复现漏洞（如Log4j 2025版绕过）。
编写检测规则（YARA/Sigma）。

防御集成：
48小时内更新扫描器规则。
输出修复指南（如Apache补丁部署）。
案例：2025年Google量子计算漏洞分析，推动后量子加密迁移。

总结：2025年安全趋势图谱
mermaidmindmap root((2025网络安全)) 技术演进 AI驱动防御 量子加密普及 漏洞管理 自动化挖掘 0day快速响应 企业实践 DevSecOps集成 攻击面最小化 

漏洞类型	原理	进攻技巧（2025更新）	防御技巧（企业级方案）
XSS（跨站脚本）	恶意脚本注入用户页面执行	利用AI生成混淆Payload（如`<svg onload=alert(1)>`）	CSP 3.0 + 输入输出编码（如DOMPurify库）
SQL注入	非法SQL查询篡改数据库	二阶注入 + 时间盲注绕过WAF	预编译语句（PreparedStatement） + RASP监控
文件上传漏洞	恶意文件上传至服务器执行	利用Polyglot文件绕过检测（如JPEG含PHP代码）	文件签名验证 + 沙箱执行
SSRF（服务端请求伪造）	利用服务器发起内部请求	绕过URL解析器（如`http://127.0.0.1@evil.com` ）	网络隔离 + 请求目标白名单
RCE（远程代码执行）	攻击者执行任意系统命令	反序列化链构造（如Fastjson漏洞利用）	禁用危险函数（如`eval()`） + eBPF行为监控
2025年趋势防御：AI实时流量分析阻断0day攻击，误报率<2%。

方式	实现	安全风险
CORS	服务端设置`Access-Control-Allow-Origin`	配置错误导致任意域访问（如`*`滥用）
JSONP	`<script>`动态加载回调函数	XSS + 数据泄露（违反CSP）
代理转发	Nginx反向代理`/api`请求	代理层SSRF漏洞
WebSocket	`ws://`协议无同源限制	未加密信道劫持
postMessage	窗口间消息传递	未校验来源导致XSS

层级	措施	工具/案例
事前防御	安全编码规范（OWASP ASVS） + 威胁建模	Semgrep集成CI/CD流水线
事中监控	WAF（如ModSecurity） + RASP运行时防护	AI异常流量实时阻断（延迟<50ms）
事后响应	自动化溯源（区块链存证） + 红蓝对抗演练	量子加密日志防篡改
持续改进	漏洞赏金计划 + 第三方渗透测试	年均修复漏洞>500个