网络安全工程师面试题及答案.docxVIP

网络安全工程师面试题及答案

一、基础能力题（考察核心概念理解）

问：TCP/IP协议栈中，哪些层容易出现安全漏洞？请举例说明常见漏洞及防御思路。

答：主要集中在网络层、传输层、应用层。

网络层：比如IP欺骗（伪造源IP绕过访问控制），防御用“反向路径验证”（检查数据包源IP是否与路由路径匹配），或在防火墙禁用“源IP伪造”规则；

传输层：TCPSYN洪水攻击（半连接耗尽服务器资源），防御用“SYNCookie”（服务器不保存半连接，用Cookie验证客户端合法性）；

应用层：比如HTTP协议的“未授权访问”（后台地址泄露），防御用“URL访问控制”（基于角色授权）+“隐藏后台路径”（避免默认/admin），再配合WAF拦截异常访问。

问：SQL注入和XSS的本质区别是什么？实际工作中怎么快速验证这两种漏洞？

答：本质区别是攻击目标不同——SQL注入针对“数据库”（通过注入SQL语句篡改/窃取数据），XSS针对“用户浏览器”（注入恶意脚本窃取Cookie/钓鱼）。

验证方法：

SQL注入：在输入框填or1=1--（比如登录用户名），若直接登录成功/返回异常SQL报错，大概率存在注入；或用BurpSuite抓包，修改参数为id=1unionselect1,database(),3，看是否返回数据库名；

XSS：在输入框填scriptalert(document.cookie)/script，若页面弹出Cookie内容，就是存储型/反射型XSS；若在评论区提交后，其他用户打开页面也弹窗，就是存储型XSS（危害更大）。

二、核心技能题（考察实操能力）

问：公司内网有一台服务器，需要禁止外部IP00访问其8080端口，但允许内网/24网段访问，怎么用Linuxiptables配置？

答：分两步配置，注意规则顺序（iptables按顺序匹配，先拒绝再允许）：

拒绝外部IP访问8080端口：iptables-AINPUT-s00-ptcp--dport8080-jDROP；

允许内网网段访问8080端口：iptables-AINPUT-s/24-ptcp--dport8080-jACCEPT；

保存规则（避免重启失效）：serviceiptablessave（CentOS系统）或iptables-save/etc/iptables/rules.v4（Ubuntu系统）。

（补充：实际配置前会先测试，比如用iptables-L查看现有规则，避免冲突；若有防火墙管理工具，也可在Web界面可视化配置，但命令行更直接。）

问：做渗透测试时，拿到一个目标网站，你的信息收集步骤是什么？至少说5个关键操作。

答：核心是“全面摸清目标资产和弱点”，步骤如下：

域名信息：用whois查注册人、邮箱、DNS服务器；用“子域名爆破工具”（如Layer子域名挖掘机）找隐藏子域名（比如、）；

服务器信息：用nmap扫端口（nmap-sVxxx.xxx.xxx.xxx），看开放的服务（如80、443、3389、22）及版本（比如Apache2.4.7，可能有漏洞）；

网站架构：用BurpSuite抓包看响应头，找服务器类型（如Nginx）、编程语言（如PHP/Java）、框架（如ThinkPHP、Struts2）；

历史数据：用“WaybackMachine”查网站历史页面，看是否有泄露的后台地址、测试账号；

敏感文件：访问常见敏感路径（如/robots.txt、/backup.zip、/sql.sql），看是否能下载备份文件；

社工信息：查目标公司员工的LinkedIn、知乎账号，看是否有泄露的内网地址、工作邮箱（用于钓鱼或撞库）。

三、实战经验题（考察问题解决能力）

问：公司某天早上发现多台电脑被勒索病毒加密，文件后缀变成.xxx，你作为安全工程师，第一步要做什么？后续怎么处理？

答：第一步是“阻止病毒扩散”，再溯源和恢复，具体步骤：

紧急隔离：立即断开被感染电脑的网线/Wi-Fi，关闭内网共享文件夹；通知IT部门禁用所有电脑的USB接口（避免通过U盘传播）；

样本收集：找到勒索信（通常是TXT文件），记录勒索地址、联系方式；把加密后的文件和未加密的原文件（若有）打包，提交给360/奇安信等厂商的病毒分析平台，看是否有解密工具；

溯源排查：查被感染电脑的系统日志（Windows看“事件查看器”的安全日志，Linux看/var/log/auth.lo