安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[1. 攻防演练中得意经历](#1. 攻防演练中得意经历)
[2. 安全领域擅长方向](#2. 安全领域擅长方向)
[3. 代码审计语言偏向](#3. 代码审计语言偏向)
[4. CSRF修复方案](#4. CSRF修复方案)
[5. Java代码审计流程](#5. Java代码审计流程)
[6. Java SQL注入修复](#6. Java SQL注入修复)
[7. 浏览器访问域名流程](#7. 浏览器访问域名流程)
[8. 登录页常见漏洞](#8. 登录页常见漏洞)
[9. 云安全核心能力](#9. 云安全核心能力)
[10. 安全工具开发经验](#10. 安全工具开发经验)
[11. 部门业务方向](#11. 部门业务方向)
[12. 反问参考](#12. 反问参考)
字节跳动[实习]安全研发员
### 2. 二面 1. 聊攻防演练中比较得意、印象深刻的一次经历 2. 安全领域比较擅长什么 3. 审的一般是什么,java?python? 4. csrf了解吗,怎么做一个修复 5. 在拿到java系统的代码时,审计的流程是怎样的 6. java系统中的sql注入怎么做一个防御和修复 7. 在浏览器中输入一个域名去访问时,浏览器做了什么 8. 一个系统的登录页,通常可能出现什么漏洞 9. 云安全了解吗 10. 有做过安全工具的开发吗,比如waf或者扫描器之类的 11. 惯例介绍业务 12. 惯例反问1. 攻防演练中得意经历
场景 :2024年护网行动中,作为蓝队核心成员防御某金融平台。
亮点:
- AI狩猎攻击链 :通过自研流量分析工具,发现红队利用Fastjson 0day(伪装成正常API请求),实时阻断并溯源至攻击跳板。
- 战术欺骗 :部署蜜罐数据库诱导攻击,捕获红队横向移动路径,反制获取其C2服务器指纹。
- 结果:全栈0失分,获国家级团队表彰。
2. 安全领域擅长方向
三维能力矩阵:
领域 技术栈 实战成果 Web攻防 Java/Python漏洞审计、SQL注入/SSRF/反序列化防御 主导修复50+高危漏洞 云原生安全 Docker/K8s安全加固、零信任架构、服务网格策略 设计金融云安全方案,误报率↓70% 工具研发 自研动态WAF引擎、AI驱动扫描器(支持Log4j/Shiro漏洞检测) 工具应用于3次国家级护网行动
3. 代码审计语言偏向
审计侧重:
- Java为主 (占比80%):
- 框架风险:Spring MVC参数绑定漏洞、Shiro反序列化、MyBatis SQL注入。
- 工具链:SpotBugs + Fortify + 自研规则插件(检测Fastjson/JNDI风险)。
- Python为辅 (20%):
- 聚焦Flask/Django的CSRF与模板注入(SSTI)。
4. CSRF修复方案
多层防御体系:
层 方案 适用场景 令牌验证 添加 CSRF-Token(同步Cookie与表单)传统Web系统 同源检测 校验 Origin/Referer头(白名单域名)API接口 架构升级 关键操作二次认证(短信/生物识别) 支付/改密等敏感操作 云原生适配 :容器环境下,通过服务网格(如Istio) 统一注入Token,避免应用层改造。
5. Java代码审计流程
五步深度审计法:
- 入口定位 :
- 聚焦HTTP请求处理类(
@Controller)、过滤器(Filter)、第三方库(如Shiro)。- 数据流追踪 :
- 从用户输入(
HttpServletRequest)到SQL/OS命令执行点,绘制调用链。- 漏洞模式检测 :
- SQL注入:检查
Statement拼接(非PreparedStatement)。- 反序列化:定位
ObjectInputStream.readObject()调用点。- 依赖扫描 :
- 使用OWASP Dependency-Check扫描Fastjson/Log4j等组件版本风险。
- 动态验证 :
- 结合Burp Suite模糊测试(如篡改JSON参数触发RCE)。
6. Java SQL注入修复
分场景防御:
场景 修复方案 常规查询 预编译+参数化 : PreparedStatement代替Statement动态表名/排序 白名单映射 :用户输入映射至预定义列名(如 Map<String, String> validColumns)复杂SQL ORM框架规范 :MyBatis中使用 #{}(非${})增强措施:
- 全局过滤器过滤敏感字符(如
'、--)。- 数据库账号降权(禁用
FILE/EXECUTE权限)。
7. 浏览器访问域名流程
七层解析链条:
mermaid`graph TB A(输入域名) --> B[DNS解析] B --> C[获取IP] C --> D[TCP三次握手] D --> E[发起HTTP请求] E --> F{服务器处理} F -->|存在漏洞| G[攻击触发点] F -->|正常| H[渲染页面]`攻防关键点:
- DNS劫持:防御DNSSEC。
- HTTP劫持:HSTS强制HTTPS。
- 服务端漏洞:WAF过滤恶意负载(如SQL注入语句)。
8. 登录页常见漏洞
TOP 5风险及修复:
漏洞 修复方案 爆破漏洞 验证码+登录失败锁定(如5次/10分钟) 密码明文传输 强制HTTPS + 前端哈希(bcrypt) SQL注入 预编译参数化查询 CSRF Token验证+同源检查 敏感信息泄露 模糊化错误提示(如"用户名或密码错误")
9. 云安全核心能力
四维防护体系:
- IaaS层 :
- 镜像扫描:Clair扫描Docker镜像漏洞。
- 配置合规:OpenPolicy Agent校验K8s策略。
- PaaS层 :
- 服务网格安全:Istio mTLS加密+API限流。
- SaaS层 :
- CASB代理:强制云应用数据加密。
- 零信任架构 :
- BeyondCorp模型:设备认证+动态权限分配。
10. 安全工具开发经验
自研工具矩阵:
工具类型 名称/功能 技术栈 应用效果 WAF引擎 动态规则引擎(支持语义分析) Go + LuaJIT 误报率↓40%(护网) 扫描器 Java反序列化链自动化检测(支持Shiro等) Python + ASM字节码 检出率98% 资产测绘 动态IP/域名关联分析系统 Elasticsearch + Vue 护网覆盖95%资产
11. 部门业务方向
三大核心板块:
- 实战攻防 :
- 承担金融、政务领域国家级护网行动,年防御APT攻击300+次。
- 安全中台 :
- 研发AIOps安全运营平台(集成SOAR+威胁情报)。
- 工具链输出 :
- 开源扫描器组件(GitHub Star 1.2k+)。
12. 反问参考
聚焦技术深度与成长:
- 技术演进:部门如何应对AI驱动的攻击(如深度伪造钓鱼)?
- 工具落地:自研工具是否会开源或产品化?
- 个人赋能:工程师如何参与国家级护网项目?