2025年渗透测试面试题总结- 阿某云安全实习（题目+回答）

  网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

 阿里云安全实习

一、代码审计经验与思路

二、越权漏洞原理与审计要点

三、SSRF漏洞解析与防御

四、教育系统攻防演练案例

五、内网渗透通用思路

六、岗位适配性说明（阿里云云平台安全）

反问环节建议

 阿某云安全实习

看你简历上说擅长java、php代码审计，也没有类似的经历能够分享一下，比如说独自审的一套代码或者开源项目，从中发现的一些比较高危的问题。

在审计项目的时候，比如一个web网站，简单说说思路。

简单描述一下什么是水平越权，什么是垂直越权，我要发现这俩类漏洞，那我代码审计要注意什么地方。

解释一下SSRF

如何防御SSRF，场景：http://ip/?url=image.jpg

场景的内网网段有哪些，他们的掩码是什么

教育系统攻防演练，分享一个渗透的例子。

除了学校，有没有渗透过别的系统

这样的场景（给内网靶标），渗透内网系统的思路。

反问环节，岗位做的是阿里云云平台安全，内部安全保障，保障阿里云自身的安全不出问题。整个系统的上线中前后过程，每个方向都有人。

一、代码审计经验与思路

1. 实战案例分享

   • Java反序列化漏洞：审计某开源CMS时发现ObjectInputStream未做白名单过滤，攻击者可构造恶意序列化数据实现RCE（如利用Apache Commons Collections链）。
   • PHP文件上传绕过：在电商系统中发现未校验文件MIME类型及后缀黑名单不完整（如.phtml未过滤），导致webshell上传。
   • 水平越权漏洞：用户查询订单接口未校验userId与Session绑定，通过修改URL参数可遍历他人数据。

2. Web代码审计通用思路

   • 入口点分析：优先检查用户输入层（HTTP参数、Headers、Cookie）和敏感功能模块（登录、支付、文件上传）。
   • 数据流追踪：从$_GET/$_POST到SQL查询/文件操作，验证过滤逻辑（如htmlspecialchars防XSS、PDO预处理防注入）。
   • 框架安全配置：检查Struts2/Spring Security等组件版本是否存在已知漏洞（如CVE-2017-5638）。
   • 权限控制盲区：全局搜索isAdmin()、checkPermission()等函数调用是否缺失或逻辑错误。
   • 日志与异常处理：观察错误信息泄露（如堆栈跟踪暴露路径）或日志未脱敏（记录明文密码）。

---

二、越权漏洞原理与审计要点

类型	定义	代码审计关注点
水平越权	同角色用户间越权访问数据（如A查看B的订单）	检查数据查询是否绑定用户唯一标识（如WHERE user_id=$current_user）
垂直越权	低权限用户访问高权限功能（如普通用户调用管理员API）	验证接口是否强制校验角色（如@PreAuthorize("hasRole('ADMIN')")）

---

三、SSRF漏洞解析与防御

1. SSRF原理
   攻击者通过服务端发起伪造请求，绕过网络边界访问内网资源（如file:///etc/passwd或http://169.254.169.254获取云元数据）。

2. 防御方案（以http://ip/?url=image.jpg 为例）

   • 输入过滤：使用正则表达式限制url参数为域名白名单（如^https?://(example\.com|cdn\.safe\.net)/）。
   • 协议限制：禁用file://、gopher://等高危协议。
   • 网络隔离：配置防火墙禁止应用服务器访问内网网段（如10.0.0.0/8）。
   • DNS重绑定防护：解析URL域名后二次验证IP是否在允许范围内。

3. 典型内网网段及掩码

   • 10.0.0.0/8（掩码255.0.0.0）
   • 172.16.0.0/12（掩码255.240.0.0）
   • 192.168.0.0/16（掩码255.255.0.0）
   • 169.254.0.0/16（链路本地地址，常用于云元数据服务）

---

四、教育系统攻防演练案例

场景：某高校OA系统渗透

1. 入口突破：通过弱口令admin/admin123登录后台，发现SQL注入漏洞（id=1' AND 1=1--）。
2. 权限提升：利用注入点导出数据库，获取管理员哈希值并破解（MD5加盐不充分）。
3. 横向移动：通过管理员权限下载学生信息表，发现内网Gitlab地址（10.10.1.20），利用未授权访问漏洞获取源代码。
4. 持久化：在服务器写入计划任务反弹Shell，最终控制教务系统核心数据库。

---

五、内网渗透通用思路

1. 信息收集
   • ARP扫描（nmap -sn 10.0.0.0/24）定位存活主机。
   • 端口服务识别（如445端口可能存在永恒之蓝漏洞）。
2. 漏洞利用
   • 针对老旧系统（如Windows Server 2008）尝试MS17-010。
   • 利用Redis未授权访问写入SSH公钥。
3. 横向移动
   • 抓取内存密码（Mimikatz）或Pass-The-Hash攻击。
   • 通过SMB共享文件植入后门。
4. 权限维持
   • 创建隐藏账户或注册表注入。
   • 部署Cobalt Strike Beacon实现C2通信。
5. 跨网段攻击
   • 通过已控主机作为跳板，渗透核心业务区（如数据库VLAN）。

---

六、岗位适配性说明（阿里云云平台安全）

1. 系统上线全周期防护经验
   • 开发阶段：参与过SDL流程，推动API接口鉴权方案（如OAuth2.0）和代码安全扫描（SonarQube）。
   • 测试阶段：设计灰盒测试用例，覆盖配置错误（如OSS Bucket权限泄露）和逻辑漏洞（如订阅服务并发扣费缺陷）。
   • 运维阶段：搭建WAF规则防御CC攻击，通过HIDS监控异常进程行为（如挖矿木马）。
2. 内部安全保障能力
   • 曾主导RBAC权限矩阵梳理，实现最小化授权（如RAM策略限制Action: ecs:Delete*）。
   • 设计过KMS密钥轮转方案，满足等保2.0三级要求。

---

反问环节建议

1. 团队协作：询问安全左移的具体实践（如CI/CD流水线中SAST/DAST工具集成）。
2. 技术栈：了解内部自研防御系统（如针对DDoS的流量清洗算法）。
3. 合规性：探讨云平台如何满足GDPR或国内《数据安全法》要求。