网络安全面试题及答案.docxVIP

网络安全面试题及答案

一、基础概念题

问：HTTPS和SSL/TLS是什么关系？实际使用中怎么确认证书有效？

答：HTTPS是HTTP加SSL/TLS加密的组合，SSL/TLS是底层的加密协议（现在常用TLS1.2/1.3）。确认证书有效主要看三点：一是浏览器地址栏是否有绿色锁标；二是点击锁标查看证书，确认“颁发者”是正规CA机构（比如Let’sEncrypt、赛门铁克）；三是证书“有效期”没过期，且“主题”里的域名和当前访问域名一致。

问：什么是“最小权限原则”？举个实际配置的例子。

答：就是给用户/程序只分配能完成工作的最小权限，多一点都不给。比如服务器上的Web服务，用www-data这类普通用户启动，而不是root；数据库账号只给select/insert权限（对应业务需求），不给drop/alter权限，避免被入侵后删库。

二、攻击与防御题

问：SQL注入怎么防范？为什么拼接SQL语句不安全？

答：防范核心是“隔离SQL逻辑和用户输入”，常用三种方法：一是用参数化查询（比如Java的PreparedStatement、Python的pymysql参数化），让输入只当数据，不被解析成SQL指令；二是输入过滤，比如限制输入只能是数字/字母，过滤掉单引号、分号这些特殊字符；三是用ORM框架（比如MyBatis、DjangoORM），自动处理注入风险。

拼接SQL不安全是因为用户能篡改逻辑，比如原本“select*fromuserwhereid=+id+”，如果id传“1or1=1”，拼接后就变成查所有用户，直接绕过验证。

问：遇到XSS攻击怎么处理？三种XSS（存储型、反射型、DOM型）防御有啥区别？

答：通用防御是“输出转义”，把用户输入的特殊字符（比如、、）转成HTML实体（、、），让浏览器不解析成脚本。

区别：存储型（比如评论区）要在“存入数据库前”和“页面渲染时”都转义；反射型（比如URL参数）重点在“接收参数后渲染前”转义；DOM型（前端通过JS操作DOM）要避免用innerHTML、document.write这类直接插入HTML的API，改用textContent，或者对JS里的输入做转义。

问：DDoS攻击怎么防御？小公司没预算买抗D设备，有啥低成本方案？

答：防御分三层：一是流量清洗，用高防IP/CDN（比如阿里云高防、Cloudflare）把攻击流量挡在外面；二是服务器优化，比如Linux下调优TCP参数（syn_cookie开启、减少TIME_WAIT连接），Windows改注册表限制半连接数；三是应用层防护，比如识别异常请求（比如同一IP短时间发几百次请求），用Nginx配置限流（limit_req模块）。

低成本方案：用免费CDN（比如Cloudflare免费版）分流；服务器上装DDoS防御工具（比如Linux的fail2ban，自动拉黑频繁攻击的IP）；业务层面做降级，比如攻击时暂时关闭非核心功能（比如评论、搜索），保证首页能访问。

三、应急响应题

问：发现服务器被入侵（比如有陌生进程、文件被篡改），第一步做什么？后续流程怎么跑？

答：第一步绝对是“断网隔离”，要么拔网线，要么在路由器里封服务器IP，防止入侵者进一步扩散（比如横向攻击其他机器），也避免服务器成为肉鸡攻击别人。

后续流程：①备份现场，把日志（/var/log/secure、Windows事件查看器）、进程列表（ps-ef）、网络连接（netstat-tuln）都存下来，别破坏证据；②排查入侵点，比如看是否有弱密码（查登录日志）、Web服务是否有漏洞（比如旧版Struts2）、是否有后门文件（比如隐藏的.php脚本）；③清除入侵痕迹，删后门、杀陌生进程、改所有账号密码；④修复漏洞，比如更Web框架、打系统补丁；⑤联网测试，先在内网测业务正常，再慢慢开放外网，同时开监控（比如用zabbix看进程/流量）。

问：员工电脑中毒，文件被加密（勒索病毒），怎么处理？

答：先断网，避免病毒传其他电脑。然后分情况：①如果公司有备份（比如每天备份到异地硬盘），直接格式化硬盘重装系统，从备份恢复文件；②没备份的话，别交赎金（交了也不一定解密），试试找免费解密工具（比如360、卡巴斯基的勒索病毒解密库），同时联系公安网安部门报案；③后续要做全盘杀毒，更新杀毒软件病毒库，还要给所有电脑开U盘权限控制（很多勒索病毒通过U盘传播），员工培训别点陌生邮件附件。

四、合规与运