软件安全测试面试题及答案（实战版）.docxVIP

软件安全测试面试题及答案（实战版）

一、基础认知题（考察核心概念与工作逻辑）

题目：请说说软件安全测试和功能测试的核心区别，举1个实际场景说明两者关注的重点不同。

答案：核心区别在于测试目标——功能测试验证“软件能不能用”（满足需求规格），安全测试验证“软件会不会被攻破”（抵御恶意攻击）。比如登录功能：功能测试关注“输入正确账号密码能否登录、错误信息是否提示”；安全测试关注“是否存在SQL注入（输入or1=1#能否绕过验证）、密码是否明文传输、是否支持暴力破解（无登录次数限制）”。

题目：常见的Web应用安全漏洞有哪些？挑2个你认为最高发的，说明其危害和基础防护手段。

答案：高发漏洞优先选SQL注入和XSS跨站脚本攻击。

SQL注入：危害是攻击者可窃取数据库数据（如用户信息）、篡改数据甚至控制服务器；防护手段包括参数化查询（避免拼接SQL语句）、输入过滤（过滤特殊字符、#、or等）、最小权限原则（数据库账号仅开放查询权限，无删除/修改权限）。

XSS跨站脚本：危害是注入恶意脚本（如窃取Cookie、伪造操作），影响用户账号安全；防护手段包括输出编码（将特殊字符、、转义）、设置Cookie的HttpOnly属性（禁止JS读取）、输入验证（限制输入内容长度和格式）。

题目：你理解的“左移测试”在安全测试中怎么落地？为什么要这么做？

答案：安全左移是把安全测试提前到需求、设计、开发阶段，而非等到上线前。落地方式：①需求阶段：评审需求中的安全风险（如用户隐私数据是否需要加密存储）；②设计阶段：检查架构安全性（如是否有权限隔离、接口是否需要鉴权）；③开发阶段：配合代码审计（重点查敏感函数调用，如SQL拼接、文件上传）、指导开发使用安全框架（如SpringSecurity）。这么做是因为后期修复安全漏洞的成本是前期的10-100倍，且左移能从源头减少漏洞产生。

二、工具实操题（考察常用工具使用经验）

题目：用BurpSuite做Web应用渗透测试时，你常用哪些模块？举1个场景说明如何用它发现漏洞。

答案：常用模块：Proxy（代理抓包）、Intruder（暴力破解/批量测试）、Scanner（自动扫描漏洞）、Repeater（重复发送请求调试）。场景：发现SQL注入漏洞。操作步骤：①用Proxy抓包，获取目标接口的请求（如/login?username=testpassword=123）；②将请求发送到Repeater，修改username参数为test，发送后观察响应是否出现SQL语法错误（如“YouhaveanerrorinyourSQLsyntax”）；③若出现错误，再用Intruder批量发送不同的注入payload（如testor1=1#、testunionselect1,2,3#），验证是否能绕过登录或获取敏感数据。

题目：代码审计时，你会重点关注哪些编程语言的哪些敏感函数/代码片段？比如Java或Python。

答案：以Java和Python为例：

Java：重点关注SQL拼接（如Stringsql=select*fromuserwhereusername=+username+）、文件上传（如MultipartFile未校验文件类型/后缀）、反序列化（如ObjectInputStream.readObject()未做安全校验）、命令执行（如Runtime.getRuntime().exec(cmd)，cmd参数由用户输入控制）。

Python：重点关注SQLAlchemy的字符串拼接查询（如db.session.execute(fselect*fromuserwhereusername={username})）、Flask的路由未鉴权（如@app.route(/admin)未加登录验证）、文件操作（如open(file_path,w)，file_path由用户输入控制可能导致路径穿越）、pickle反序列化（pickle.loads()存在代码执行风险）。

题目：如何用Nessus做服务器漏洞扫描？扫描后发现高危漏洞（如Log4j2漏洞），你会怎么处理？

答案：Nessus扫描步骤：①新建扫描任务，输入目标服务器IP/网段；②选择扫描策略（如“AdvancedScan”，包含系统漏洞、应用漏洞、配置合规性）；③启动扫描，等待扫描完成后查看漏洞报告（按风险等级排序：高危、中危、低危）。处理Log4j2漏洞：①先确认