安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[511. 二叉树遍历方式](#511. 二叉树遍历方式)
[513. 调试工具及异常排查流程](#513. 调试工具及异常排查流程)
[514. 避免故障的五大原则](#514. 避免故障的五大原则)
[515. 数据库索引结构与唯一索引场景](#515. 数据库索引结构与唯一索引场景)
[516. 数据库分页语句优化](#516. 数据库分页语句优化)
[517. HTTPS交互过程](#517. HTTPS交互过程)
[518. OAuth2.0风险与防护](#518. OAuth2.0风险与防护)
[519. 请求URL内容的安全防护](#519. 请求URL内容的安全防护)
[520. 参数入库过滤策略](#520. 参数入库过滤策略)
[521. 过滤器(Filter) vs 拦截器(Interceptor)](#521. 过滤器(Filter) vs 拦截器(Interceptor))
[522. SESSION与Cookie区别](#522. SESSION与Cookie区别)
[523. SESSIONID防JS读取](#523. SESSIONID防JS读取)
[524. CSRF Token设计原则](#524. CSRF Token设计原则)
[525. 同源策略与跨域安全](#525. 同源策略与跨域安全)
[526. 专家经验 vs 机器学习](#526. 专家经验 vs 机器学习)
[527. 安全产品自研与外采决策](#527. 安全产品自研与外采决策)
[528. 安全衡量指标设计](#528. 安全衡量指标设计)
[529. 避免"惊喜"的四重防线](#529. 避免“惊喜”的四重防线)
[530. 企业安全建设差异](#530. 企业安全建设差异)
[531. 避免安全事件的核心策略](#531. 避免安全事件的核心策略)
[532. 安全水位证明方法](#532. 安全水位证明方法)
[533. 安全三年计划制定](#533. 安全三年计划制定)
[534. 未来安全趋势(至2028年)](#534. 未来安全趋势(至2028年))
[535. 网络安全法落地实践](#535. 网络安全法落地实践)
[536. 异常操作自动化监控](#536. 异常操作自动化监控)
[537. 应用安全评估模板](#537. 应用安全评估模板)
[538. 蓝军 vs 常规渗透测试](#538. 蓝军 vs 常规渗透测试)
[539. 蓝军体系建设三步走](#539. 蓝军体系建设三步走)
[540. 网络空间安全与生物安全对](#540. 网络空间安全与生物安全对)
511 如何遍历二叉树? 512 1亿个随机生成的无序整数,找出中间大小的值。 513 调试工具及异常排查流程? 514 如何最大限度避免故障? 515 数据库索引结构,什么情况下应该建唯一索引? 516 数据库分页语句如何写? 517 HTTPS交互过程 518 OAuth2.0交互过程及其中可能存在的配置不当安全风险 519 获取一个入参url,请求url地址的内容时应注意什么? 520 参数入库前应该如何过滤? 521 过滤器和拦截器原理和应用场景? 522 SESSION和Cookie的区别? 523 SESSIONID如何不被Javascript读取? 524 CSRF的Token如何设计? 525 同源策略?如何实现安全的跨域请求? 526 专家经验和机器学习差异 527 安全产品是自研还是外采? 528 如何制定安全的衡量指标?如何衡量企业安全建设的水平? 529 如何避免出现各种各样的惊喜?比如资产没覆盖、扫描器规则没写好、出异常了等等各类情况 530 不同公司间的安全区别或差别是什么?比如腾讯和阿里,百度和京东 531 大公司像Facebook、Google、花期银行等都出过安全事件,我们如何确保自己不出安全事件? 532 如何证明/衡量我们的安全水位? 533 如何制定公司安全建设的三年甚至五年计划 534 未来安全行业趋势 535 信息安全等级保护、网络安全法、GDPR,挑选一到两个问其对其的来源理解以及落地程度取舍 536 如何通过技术手段实现对异常操作的自动化监控? 537 如何对一个应用进行安全评估? 538 安全蓝军和常规渗透测试的差异是什么? 539 蓝军如何体系建设? 540 网络空间安全和现实中生物安全异同?一、数据结构与算法(511-512)
511. 二叉树遍历方式
遍历方式 实现逻辑 应用场景 前序遍历 根节点 → 左子树 → 右子树 复制树结构 中序遍历 左子树 → 根节点 → 右子树 二叉搜索树排序输出 后序遍历 左子树 → 右子树 → 根节点 释放树内存(先删子节点) 层序遍历 按层级从左到右(队列实现) 查找最近公共祖先
Java
// 递归前序遍历示例 void preOrder(TreeNode root) { if (root == null) return; System.out.print(root.val); // 访问根 preOrder(root.left); // 左子树 preOrder(root.right); // 右子树 }
二、系统设计与数据库(513-516)
513. 调试工具及异常排查流程
- 工具 :
- Java:Arthas(实时诊断)、Jstack(线程分析)
- Web:Chrome DevTools(性能监控)、Wireshark(抓包)
- 排查流程 :
1️⃣ 现象定位 :日志检索(ELK聚合异常关键词)
2️⃣ 根因分析 :链路追踪(SkyWalking定位慢调用)→ 内存Dump(MAT分析OOM)
3️⃣ 验证修复:流量回放(Jepsen验证分布式一致性)514. 避免故障的五大原则
- 冗余设计:多可用区部署 + 自动故障转移(如K8s Pod自愈)
- 变更管控:灰度发布(5%→100%流量)、回滚预案
- 容量规划:定期压测(模拟双十一流量峰值)
- 混沌工程:主动注入故障(Netflix Chaos Monkey)
- 监控覆盖:业务指标(QPS/成功率) + 基础设施(CPU/内存)
515. 数据库索引结构与唯一索引场景
- 索引结构 :
- B+树(默认):范围查询高效(
WHERE age > 20)- 哈希索引:等值查询极快(
WHERE id=123),不支持排序- 全文索引:文本搜索(如ES倒排索引)
- 唯一索引适用场景 :
✅ 主键字段(如用户ID)
✅ 业务唯一约束(如身份证号、邮箱)
⚠️ 频繁更新的字段避免建唯一索引(影响写入性能)516. 数据库分页语句优化
基础写法 (低效):
Sql
SELECT * FROM table LIMIT 1000000, 10; -- 扫描前100万行优化方案 :
Sql
-- 方案1:基于索引键分页(需有序字段) SELECT * FROM table WHERE id > 1000000 ORDER BY id LIMIT 10; -- 方案2:子查询优化(MySQL 8.0+) SELECT * FROM table WHERE id >= (SELECT id FROM table ORDER BY id LIMIT 1000000, 1) LIMIT 10;
三、网络安全开发(517-525)
517. HTTPS交互过程
Mermai
sequenceDiagram Client->>Server: ClientHello (TLS版本/加密套件) Server->>Client: ServerHello (选定加密套件) + 证书 Client->>Client: 验证证书链 → 生成会话密钥 Client->>Server: 用证书公钥加密会话密钥 Server->>Server: 私钥解密获取会话密钥 Note over Client,Server: 后续通信使用会话密钥对称加密518. OAuth2.0风险与防护
- 流程 :
资源所有者 → 授权码 → 客户端 → Access Token → 访问资源- 配置风险 :
- ⚠️ 重定向URI未校验 → 攻击者劫持授权码
- ⚠️ Scope权限过大 → 恶意应用过度获取数据
- ⚠️ Access Token泄露 → 未启用HTTPS或Token未绑定IP
- 防护措施 :
✅ PKCE扩展(防授权码注入) ✅ JWT签名校验519. 请求URL内容的安全防护
- 协议校验 :禁止
file://、gopher://等危险协议- SSRF防护 :
- 解析域名 → 禁访问内网IP段(如
10.0.0.0/8)- 响应头校验(防302跳转攻击)
- 超时控制:设置5s连接超时,避免DoS
- 内容过滤 :扫描响应内容中的敏感数据(如
<password>标签)520. 参数入库过滤策略
- 分层防御 :
- 前端:正则校验(如手机号格式)
- 后端:
- 类型转换(
Integer.parseInt()防SQL注入)- 语义检查(如年龄范围0-150)
- ORM层:参数化查询(
PreparedStatement)- 数据库:最小权限原则(应用账号禁用
DROP)521. 过滤器(Filter) vs 拦截器(Interceptor)
维度 Filter Interceptor 作用范围 Servlet容器级别 Spring MVC上下文 依赖 不依赖Spring 依赖Spring框架 典型场景 全局日志/编码转换 权限校验/接口耗时统计 522. SESSION与Cookie区别
特性 SESSION Cookie 存储位置 服务端内存/Redis 浏览器本地 安全性 较高(数据不直接暴露) 需设置HttpOnly防XSS窃取 生命周期 可服务端主动销毁 依赖Expires/Max-Age 523. SESSIONID防JS读取
Java
// 关键配置:设置HttpOnly Cookie sessionCookie = new Cookie("JSESSIONID", sessionId); sessionCookie.setHttpOnly(true); // 禁止JS访问 response.addCookie(sessionCookie);524. CSRF Token设计原则
- 随机性:长度≥32字节的密码学随机数
- 绑定会话:Token与用户SESSION关联存储
- 单次有效:重要操作(如支付)后刷新Token
- 传输安全:放在HTTP Header(非URL)
525. 同源策略与跨域安全
- 同源策略:协议+域名+端口均相同才允许访问DOM
- 安全跨域方案 :
- CORS :服务端设置
Access-Control-Allow-Origin: https://trusted.com- JSONP:仅限GET且需内容过滤(防XSS)
- 反向代理 :Nginx将
/api代理到同域接口
四、企业安全建设(526-539)
526. 专家经验 vs 机器学习
维度 专家经验 机器学习 优势 逻辑可解释性强 处理海量数据(如10亿日志) 短板 难以覆盖0day攻击 依赖标注数据质量 最佳实践 规则引擎初筛 → ML模型二次分析 527. 安全产品自研与外采决策
场景 自研 外采 核心业务防护 ✅(贴合业务逻辑) ⚠️(需深度定制) 基础安全能力 ⚠️(成本高) ✅(WAF/防火墙商业化成熟) 创新研究方向 ✅(如AI风控模型) ❌(无现成产品) 528. 安全衡量指标设计
- 防御能力 :
- MTTC(平均遏制时间)<1小时
- 漏洞修复率 ≥95%(高危漏洞24h修复)
- 业务影响 :
- 安全事件导致的停机时间 < 0.1%
- 投入效率 :
- 自动化覆盖率(如80%工单自动处置)
529. 避免"惊喜"的四重防线
Mermaid
graph LR A[资产发现] --> B[自动化扫描] B --> C[监控告警] C --> D[预案演练]
- 资产发现:CMDB自动同步云平台资源
- 扫描规则:CI/CD集成SAST+DAST工具
- 异常监控:Sentry捕获异常 + Prometheus阈值告警
- 演练文化:每月红蓝对抗 + 故障复盘
530. 企业安全建设差异
公司 安全侧重点 典型实践 腾讯 业务安全(防羊毛党) 天御风控系统 阿里 数据安全(电商交易) 数据水印 + 密文计算 花旗 金融合规(SOX/GDPR) 交易行为审计 531. 避免安全事件的核心策略
🔐 安全不可能为0,但风险可控
- 纵深防御 :
网络层(零信任)→ 主机层(EDR)→ 应用层(RASP)- 威胁情报 :
对接微步在线/阿里云威胁情报库- 应急响应 :
预设剧本(如勒索病毒断网处置流程)532. 安全水位证明方法
- 外部视角 :
- 第三方渗透测试报告(年≥2次)
- 通过ISO27001/等保三级认证
- 内部视角 :
- 攻防指标:蓝军突破平均时间 > 30天
- 漏洞密度:代码千行漏洞数 < 0.1个
533. 安全三年计划制定
阶段 目标 关键举措 第1年 基础设施加固 全流量加密/零信任网络 第2年 数据安全体系 分类分级/DLP部署 第3年 主动防御能力 AI威胁狩猎/自动化攻防平台 534. 未来安全趋势(至2028年)
- AI攻防对抗 :
- 攻击方:AI生成钓鱼邮件/绕过验证码
- 防御方:UEBA用户行为分析
- 云原生安全 :
- 容器沙箱逃逸防护 → eBPF技术监控内核调用
- 量子安全 :
- 迁移抗量子密码算法(如NIST后量子标准)
535. 网络安全法落地实践
- 核心要求 :
- 关键信息基础设施(CII)需通过等保三级
- 数据出境安全评估(尤其重要数据)
- 落地取舍 :
✅ 优先覆盖等保的物理/网络层要求
⚠️ 业务快速迭代场景简化安全审计流程536. 异常操作自动化监控
- 技术栈 :
- 日志采集:Flink实时处理操作日志
- 行为建模:
- 规则引擎(基线策略:非工作时间访问)
- 机器学习(聚类异常账号行为)
- 响应闭环 :
告警 → 自动锁定账号 → 工单通知负责人537. 应用安全评估模板
Markdown
1. **资产梳理** - 开放端口(Nmap扫描) - API接口(Swagger文档分析) 2. **漏洞扫描** - 动态:BurpSuite爬虫 + 主动扫描 - 静态:CodeQL检索敏感函数 3. **渗透测试** - 业务逻辑漏洞(越权支付/优惠券复用) 4. **报告输出** - 风险评级(CVSS 7.0+为高危)538. 蓝军 vs 常规渗透测试
维度 常规渗透测试 安全蓝军 目标 发现漏洞数量 验证防御体系有效性 方法 工具扫描 + 手工验证 APT级攻击模拟(0day利用) 周期 项目制(2-4周/次) 持续对抗(全年≥4次战役) 539. 蓝军体系建设三步走
- 能力构建 :
- 红队工具链(Cobalt Strike + 定制C2)
- 漏洞情报订阅(第一时间获取0day)
- 规则制定 :
- 攻击边界(禁影响生产数据)
- 评分标准(突破深度/驻留时间)
- 价值转化 :
- 输出攻击技战术 → 优化WAF规则/EDR策略
五、扩展思考题(540)
540. 网络空间安全与生物安全对比
维度 网络空间安全 生物安全 防御对象 黑客/恶意代码 病毒/入侵物种 防护逻辑 分层防御(边界→主机→应用) 隔离控制(检疫→疫苗→消杀) 核心挑战 攻击快速进化(AI辅助攻击) 病原体变异(抗药性增强) 共性策略 早期检测 + 快速响应 💡 底层逻辑相通 :
均需构建"监测-预警-处置-恢复"的全生命周期防线