《网安面试指南》
https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN
5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect
大量面试题来袭。。。。
- 问:如何绕过云WAF实现SQL注入?列举3种技术原理并说明检测特征
答:
-
- 分块传输编码:将恶意SQL语句分割成多个HTTP块传输,绕过正则匹配。检测特征为Transfer-Encoding: chunked头与非常规分块长度。
- 内联注释混淆:利用
/*!UNION*/SELECT语法绕过关键字检测,特征为请求中含MySQL/Oracle特有注释结构。 - JSON参数污染:通过多层嵌套JSON传递注入语句,利用解析差异绕过过滤。特征为Content-Type: application/json且参数值含SQL运算符。
- 问:内存马的持久化驻留如何实现?列举Windows和Linux各一种技术方案
答:
-
- Windows:通过APC(异步过程调用)注入到lsass.exe进程,利用LSASS的合法网络通信通道实现隐蔽通信。
- Linux:劫持动态链接库(如libc.so),通过LD_PRELOAD加载恶意模块,劫持系统调用如connect()实现流量重定向。
- 问:Kerberos协议的黄金票据攻击原理是什么?如何通过流量特征检测此类攻击
答:
-
- 原理:伪造KRBTGT账户的NTLM哈希生成TGT票据,获取域管理员权限。关键在于破解域控制器的AES256加密密钥。
- 检测特征:
-
-
- 票据请求(AS-REQ)中encrypted-timestamp字段时间戳异常
- TGS-REP响应中PAC(特权属性证书)的签名算法与域策略不符。
-
- 问:TLS 1.3协议中如何实现前向安全?给出关键算法组合
答:采用ECDHE密钥交换+AEAD加密模式(如AES-GCM或ChaCha20-Poly1305)。每次会话生成临时椭圆曲线DH参数,会话密钥仅存于内存,即使长期私钥泄露也无法解密历史流量。 - 问:解释SM4国密算法在GCM模式下的初始化向量(IV)生成规范
答:IV构造需满足:
-
- 固定部分:4字节的salt(来自密钥派生)
- 可变部分:8字节的随机数+4字节的计数器
- 总长度12字节,符合NIST SP 800-38D标准,防止IV重复导致密钥流复用。
- 问:彩虹表攻击如何优化破解效率?给出防御方案中的数学原理
答:
-
- 攻击优化:通过链式哈希约简函数(R)减少存储空间,时间复杂度从O(N)降至O(N^(1/2))。
- 防御原理:采用PBKDF2或bcrypt算法,引入迭代哈希(如10万次SHA-256)和盐值,使计算成本指数级增加。
- 问:如何通过NetFlow数据检测APT横向移动?列举3个关键指标
答:
-
- SMB协议异常:同一主机短时间内发起大量SMBv1连接请求(可能为永恒之蓝漏洞利用)
- 低频高熵DNS查询:检测DGA域名生成算法特征(如熵值>4.5)
- RDP登录模式异常:非工作时间段出现多账户NTLM登录失败事件。
- 问:解释Tor网络的隐蔽通信原理,给出基于机器学习的检测方法
答:
-
- 原理:通过多跳电路(entry-guard-middle-exit节点)和洋葱路由加密(AES-128-CTR层叠加密)实现流量混淆。
- 检测方法:
-
-
- 特征工程:数据包时序间隔的统计分布(如Jensen-Shannon散度)
- 深度学习:使用LSTM模型识别TLS握手阶段的证书扩展字段模式。
-
- 问:Linux内核的Dirty Pipe漏洞(CVE-2022-0847)如何实现特权提升?写出利用步骤
答:
-
- 创建管道并写入恶意payload
- 通过splice()系统调用将payload注入到只读文件(如/etc/passwd)的页面缓存
- 利用"flags"参数溢出覆盖pipe_buffer的flags字段,绕过权限检查
- 触发页面缓存回写,完成任意文件修改。
- 问:Weblogic T3协议反序列化漏洞利用中,如何绕过JEP290过滤机制?
答:
-
- 使用JRMP链代替常规gadget链,通过RemoteObjectInvocationHandler代理触发二次反序列化
- 构造AnnotatedElementType数组绕过类型检查,特征为Payload中含java.util.Collections$空数组。
- 问:设计零信任架构下的微隔离方案,要求包含流量加密与策略生成算法
答:
-
- 加密方案:基于SPIFFE标准的X.509证书,每服务独立身份,TLS双向认证
- 策略算法:
-
-
- 使用图卷积网络(GCN)分析服务调用拓扑
- 基于强化学习动态生成最小权限策略(如REINFORCE算法)
- 策略部署采用eBPF实现内核级流量拦截。
-
- 问:如何通过eBPF实现容器逃逸攻击的实时阻断?给出技术架构
答:
