📋 面试问题分类与高频题库
一、基础理论题(必考,但要求深度)
这些问题考察你的基本功是否扎实,回答时需结合原理和实际场景。
| 类别 | 高频问题 | 回答要点(2026年升级版) |
|---|---|---|
| Web安全 | 1. SQL注入原理、类型、防御? 2. XSS与CSRF的区别与防御? 3. 文件上传漏洞绕过方法? 4. SSRF漏洞利用与防御? | 不要只背概念,要讲实战细节 : - SQL注入:除了union注入,要讲时间盲注、DNSlog外带、WAF绕过(如%0a代替空格) - XSS:区分存储型、反射型、DOM型,讲CSP绕过、XSS钓鱼实战案例 - 文件上传:讲双写绕过、.htaccess绕过、图片马制作 - SSRF:讲gopher协议打Redis、file协议读文件、绕过限制技巧 |
| 内网渗透 | 1. 域渗透流程? 2. 黄金票据与白银票据区别? 3. 横向移动常用方法? 4. 权限维持手段? | 体现内网实战经验 : - 域渗透:从信息收集(net view / ipconfig / nslookup)到拿下域控(MS14-068、PTH攻击) - 票据:黄金票据是伪造TGT,白银票据是伪造ST,讲实际利用工具(mimikatz)和检测方法 - 横向:psexec、wmi、smbexec、计划任务,讲如何绕过AV - 权限:隐藏账户、计划任务、服务、启动项、WMI事件订阅 |
| 漏洞原理 | 1. Log4j2漏洞原理? 2. Shiro-550反序列化原理? 3. Fastjson反序列化原理? 4. Weblogic反序列化链? | 展示漏洞分析能力 : - 不要只说"有漏洞",要讲触发点、利用链、补丁绕过 - 例如Log4j2:JNDI注入→LDAP/RMI服务→加载恶意类→RCE,讲dnslog探测、绕过技巧 |
| 网络协议 | 1. TCP三次握手/四次挥手? 2. HTTP与HTTPS区别? 3. DNS工作原理? 4. ARP欺骗原理与防御? | 结合安全场景 : - TCP:讲SYN Flood攻击、TCP序列号预测 - HTTPS:讲中间人攻击、证书伪造、SSL剥离 - DNS:讲DNS劫持、DNS隧道隐蔽通信 - ARP:讲**内网嗅探、ARP欺骗防御(静态ARP绑定)** |
二、实战操作题(2026年重点)
面试官会模拟真实场景,考察你的动手能力和思维过程。
1. 场景模拟题
-
"给你一个登录页面,有什么渗透思路?"
- 标准回答:信息收集(JS文件、目录扫描)→爆破测试(弱口令、验证码绕过)→漏洞测试(SQL注入、XSS、逻辑漏洞)→框架漏洞(Shiro、Fastjson)→总结报告。
-
"发现SQL注入告警,如何处理?"
- 蓝队视角:确认攻击(看请求包/响应包)→判断影响(授权范围内验证)→应急处置(封禁IP)→溯源报告(记录攻击链)。
-
"网站有CDN,如何找真实IP?"
- 展示信息收集广度:历史解析记录、子域名探测、全球Ping、漏洞利用(SSRF、phpinfo)、社会工程(邮件服务器)。
2. 工具使用题
-
"BurpSuite你常用哪些模块?Intruder怎么配置?"
- 要讲实战配置:Intruder的四种攻击模式(Sniper、Battering ram、Pitchfork、Cluster bomb),如何设置Payload、处理重定向。
-
"如何用Nmap做隐蔽扫描?"
- 讲**-sS SYN扫描、-sT TCP连接扫描、-sN NULL扫描、-sF FIN扫描**的区别和适用场景。
-
"Wireshark怎么过滤出攻击流量?"
- 演示过滤表达式 :
http.request.method == "POST"、tcp contains "union select"、ip.src == 192.168.1.100。
- 演示过滤表达式 :
3. 应急响应题
-
"服务器被上传Webshell,如何排查?"
- 完整流程 :查进程(
ps aux | grep php)→查网络连接(netstat -antp)→查文件(find / -name "*.php" -mtime -1)→查日志(Apache/Nginx access.log)→查计划任务(crontab -l)。
- 完整流程 :查进程(
-
"如何判断是否中了勒索病毒?"
- 关键迹象:文件后缀被改、桌面出现勒索信、CPU占用异常、大量网络连接、安全软件被关闭。
三、项目经验题(最核心)
面试官会深挖你的简历,用STAR法则(Situation-Task-Action-Result)准备。
1. 护网经历
-
必问:"参加过几次护网?具体做什么?"
-
回答模板:"参加过2次国家级护网,担任蓝队研判岗。主要工作:分析天眼/NGSOC告警,研判攻击真实性;对确认攻击提交处置单封禁IP;分析攻击流量,溯源攻击者IP;编写安全分析报告。期间独立处置150+条告警,成功阻断20+次Web攻击。"
2. 漏洞挖掘经历
-
必问:"在SRC平台提交过哪些漏洞?讲一个印象深的。"
-
回答模板 :"在补天平台提交过12个漏洞,3个高危。印象最深的是某OA系统SQL注入:通过信息收集发现
/admin/login.php,测试发现username参数存在注入,用' and '1'='1绕过登录,用union select拖出管理员表数据,最终拿到系统权限。提交报告后获厂商致谢。"
3. 渗透测试项目
-
必问:"描述一个完整的渗透测试项目。"
-
回答模板 :"对某电商系统进行授权测试。先信息收集(子域名、端口、框架识别),发现
Spring Boot框架且存在/actuator未授权访问,通过/env接口获取数据库密码,连接数据库后找到管理员表,解密MD5密码后登录后台,发现文件上传功能,上传Webshell拿到服务器权限。最终输出包含5个高危漏洞的报告。"
四、思维与场景题
考察你的安全思维和解决问题的能力。
-
"如何从0到1搭建企业安全体系?"
- 体现架构思维:基础防护(防火墙、EDR)→主动防御(WAF、SIEM)→检测响应(告警规则、应急预案)→持续改进(漏洞管理、员工培训)。
-
"如果业务部门说安全措施影响效率,你怎么沟通?"
- 展示软技能:先倾听诉求,用数据说明风险(如某公司因漏洞损失XX万),提供替代方案(如白名单机制、自动化工具),强调安全是"赋能"而非"阻碍"。
-
"2026年网络安全的新趋势是什么?"
- 展示行业视野:AI安全(大模型提示词注入)、云原生安全(容器逃逸、服务网格)、供应链攻击(开源组件漏洞)、勒索软件演进(双重勒索)。
🎯 如何准备与展示实战经验?
一、简历优化:让经验"可视化"
-
用数据说话:"提交12个漏洞"比"会挖漏洞"更有说服力。
-
项目描述标准化:采用"目标-行动-结果"格式,例如:"对XX系统进行渗透测试,发现5个高危漏洞,提供修复方案,系统安全评分从60分提升至85分。"
-
技能具体化:将"熟悉BurpSuite"改为"熟练使用BurpSuite进行SQL注入测试、XSS漏洞挖掘、CSRF令牌破解"。
二、打造你的"作品集"
-
GitHub仓库:存放自己写的扫描脚本、工具配置、漏洞复现笔记。
-
技术博客:记录漏洞分析、攻防实战、工具使用心得。
-
CTF排名:参与知名CTF比赛(如XCTF、强网杯),哪怕没获奖也能证明动手能力。
-
漏洞平台证书:补天、漏洞盒子、CNVD的致谢证书或排名截图。
三、模拟面试:找人"拷问"你
-
找同行模拟:让对方随机抽题,特别是场景模拟题。
-
录制视频:回看自己的回答,检查语言表达、逻辑是否清晰。
-
重点准备:针对简历上的每个项目,准备3-5个可能被深挖的问题。
⚠️ 面试避坑指南(2026年最新)
1. 不要"背答案",要"讲思路"
-
错误:被问"渗透测试流程"时,机械背诵"信息收集→漏洞扫描→漏洞利用→报告编写"。
-
正确 :结合具体案例:"以某次实战为例,我先用FOFA搜索目标资产,发现
Spring Boot框架后重点测试/actuator接口,通过/heapdump拿到数据库密码,最终通过SQL注入获取权限。整个过程用了哪些工具、遇到什么问题、如何解决。"
2. 区分甲方和乙方的侧重点
-
乙方(安全厂商) :重技术深度、实战案例、报告能力。多讲漏洞挖掘、工具使用、项目交付。
-
甲方(企业自建团队) :重合规意识、体系建设、沟通协调。多讲等保测评、应急响应、安全培训、与业务部门的协作。
3. 遇到不会的问题,用"迁移法"
-
不要说"我不会",可以说:"这个技术我没直接用过,但我了解类似的XX技术,它们的原理都是......,我觉得您问的这个问题可以从YY角度尝试。"
-
展示学习能力:"这个问题我目前了解不深,但我的学习方法是看官方文档、搭环境复现、看安全社区分析,我面试后会立刻研究。"
4. 基础不牢,地动山摇
-
必须掌握:TCP/IP协议栈、HTTP/HTTPS、常见端口(22/80/443/3306/6379)、Linux常用命令(ps、netstat、find、grep)。
-
典型坑:不知道HTTPS握手哪些信息是明文(版本协商、加密套件列表)、分不清SYN和ACK顺序。
5. 安全意识是底线
-
强调授权:所有测试都在授权范围内进行。
-
遵守法律:不碰黑产、不挖未授权目标、不传播漏洞细节。
-
保护隐私:不泄露客户数据、不讨论敏感信息。
🚀 最后建议:2026年面试新趋势
-
AI安全成为热点:准备1-2个AI安全相关话题,如"大模型提示词注入防御""AI生成的钓鱼邮件检测"。
-
云原生安全是加分项:了解容器安全、K8s安全、服务网格安全的基本概念。
-
软技能越来越重要 :特别是沟通能力、文档编写、项目管理,甲方岗位尤其看重。
-
持续学习是硬道理 :关注CNVD、CVE、安全客、FreeBuf 的最新漏洞,保持技术敏感度。
记住,网络安全面试的本质是证明你能解决实际问题。带上你的实战案例、清晰的思路和持续学习的态度,去拿下属于你的offer。现在就开始准备,祝你面试顺利!