网安面试经（2）

1.主机常见安全问题及处置方法

账户劫持/弱口令：采用12位以上复杂密码+MFA，定期更换并禁用默认口令，通过自动化工具48小时内修复高危漏洞。

权限滥用/内部泄密：实施最小权限原则，RBAC角色管理，特权账号"零信任"验证，配合审计日志追溯异常操作。

漏洞利用/恶意软件：部署HIDS实时监控文件完整性，结合EDR行为分析，自动修复CVE漏洞，关闭非必要端口（如22/3389）。

配置错误/数据泄露：遵循CIS基线加固系统，TLS加密传输数据，云硬盘/数据库静态加密，定期渗透测试验证防御有效性。

2.终端常见安全问题及处置方法

恶意软件/钓鱼攻击：安装EDR+防病毒双引擎，实时扫描+沙箱隔离，禁止USB/CD引导，通过模拟钓鱼演练提升员工安全意识。

设备丢失/物理安全：启用BitLocker/FileVault全盘加密，远程擦除功能，设置BIOS开机密码，物理锁定办公设备。

弱密码/权限失控：强制MFA登录，禁止共享账户，通过组策略限制软件后台权限，禁止非管理员安装未知应用。

补丁滞后/配置缺陷：WSUS/SCCM自动化补丁分发，测试环境验证后生产部署，禁用Guest账户，关闭系统还原功能。

3.防火墙安全产品原理及防御方法

基于预设规则监控流量，隔离内外网或内部区域，通过包过滤、状态检测或应用网关阻断非法访问，核心是"边界防护+访问控制"。防御需定期更新规则库，结合IPS主动防御，实施最小权限策略，强化日志审计与威胁情报联动。

4.零信任安全产品原理及防御方法

以"永不信任，始终验证"为核心，默认不信任任何用户/设备/应用，通过多因素认证、最小权限、微分段技术实现动态访问控制。防御需结合UEBA实时监控异常行为，采用ZTNA替代传统VPN，确保端到端加密与持续风险评估，减少横向移动风险。

5.终端安全等安全产品原理及防御方法

基于客户端/服务器模式，通过特征码识别、行为分析、AI检测恶意软件，集成漏洞修复、数据加密、防火墙功能。防御需部署EDR实时监控，实施补丁管理自动化，结合零信任架构强化设备合规验证，采用MFA*(Multi-factor authentication，多重要素验证)*与最小权限策略，保障操作系统与数据安全。

6.常见安全攻防对抗手段

攻击侧：

(1)钓鱼/鱼叉式攻击：伪装可信源诱导信息泄露，配合C2通信控制终端。

(2)零日利用：未公开漏洞实施精准打击，绕过传统防护。

(3)凭证喷洒：自动化工具批量测试账号密码，结合MFA绕过策略。

(4)横向移动：利用内网权限漏洞渗透核心系统，如Pass-the-Hash攻击。

防御侧：

(1)威胁情报联动：实时同步ATT&CK框架攻击特征，自动化阻断IOC

(2)沙箱/蜜罐：隔离可疑文件动态分析，诱捕攻击者行为模式。

(3)微隔离：SDN技术实现工作负载级访问控制，限制横向移动路径。

(4)动态加密：国密SM4/AES-GCM全流程加密，量子抗性算法预研部署。

(5)安全编排（SOAR）：自动化响应剧本，30分钟内闭环高危事件。

7.渗透测试流程

明确目标-->信息收集-->漏洞探测-->漏洞验证-->信息分析-->获取所需-->信息整理-->报告输出

IOC（Indicators of Compromise,威胁指标）

SDN（Software Defined Network，软件定义网络）

8.常见安全漏洞及技术原理

SQL注入：攻击者通过构造恶意SQL语句，利用应用未对输入过滤的漏洞，直接操作数据库执行任意命令。原理是参数未参数化，导致拼接执行，可窃取、篡改或删除数据，需采用预编译语句防御。

XSS跨站脚本：恶意脚本注入网页，用户浏览时在浏览器执行，窃取cookie或钓鱼。分为反射/存储型，需对用户输入进行HTML编码或CSP策略防御，避免脚本解析。

CSRF跨站伪造：攻击者诱骗已认证用户访问恶意链接，以用户身份执行非预期操作。原理是依赖cookie自动携带，需添加Token验证或SameSite Cookie属性防御，确保请求来源可信。

文件上传漏洞：上传恶意文件（如webshell）被服务器解析执行，导致远程代码执行。需限制文件类型、大小，使用白名单校验，关闭危险解析（如.php），并设置存储目录不可执行。

命令注入 ：用户输入被拼接进系统命令执行，如ls $(cat /etc/passwd)。需使用exec()等函数时过滤输入，或采用白名单参数，避免直接拼接，防止攻击者执行任意命令。

路径遍历 ：通过../或特殊字符访问未授权文件（如/etc/passwd）。需对输入路径规范化，使用绝对路径或白名单校验，限制文件访问权限，避免敏感文件暴露。

缓冲区溢出 ：程序向固定缓冲区写入超量数据，覆盖相邻内存区域，可能执行恶意代码。需使用安全函数（如strncpy替代strcpy），启用栈保护（如DEP/ASLR），并进行边界检查。

XXE外部实体 ：XML解析时引用外部实体，导致读取本地文件或执行SSRF。需禁用外部实体扩展（如<!ENTITY>），使用libxml2等库时设置XML_DISABLE_EXTERNAL_ENTITIES，避免实体注入。

SSRF服务端伪造：服务器向用户指定URL发起请求，可访问内网或敏感端口。需限制请求目标为可信域名/IP，使用白名单校验，关闭无用端口，并采用代理隔离内网访问。

逻辑漏洞：业务流程设计缺陷（如支付未验证、权限绕过）。需严格校验每一步骤的合法性（如订单状态、用户权限），避免依赖客户端验证，实施端到端加密与审计日志追踪。

强于昨天的自己就是进步！！！