网络安全面试题及参考答案.docxVIP

网络安全面试题及参考答案

一、基础理论题（共5题）

题目：请简述TCP三次握手的过程，以及攻击者如何利用三次握手漏洞发起SYNFlood攻击？

答案：TCP三次握手流程：①客户端发送SYN包请求建立连接；②服务器回应SYN+ACK包确认请求；③客户端发送ACK包完成连接建立。SYNFlood攻击原理是攻击者向服务器发送大量SYN包，但不回应服务器的SYN+ACK包，导致服务器维持大量半连接状态，耗尽TCP连接资源，使正常请求无法建立。

题目：什么是跨站脚本攻击（XSS）？按触发方式可分为哪几类？核心防护思路是什么？

答案：XSS是攻击者注入恶意脚本代码到网页中，当用户访问该页面时，脚本被浏览器执行，窃取用户cookie、会话等敏感信息的攻击。按触发方式分为存储型（脚本存入服务器数据库，如评论区）、反射型（脚本通过URL参数注入，如搜索框）、DOM型（通过操作页面DOM结构触发，不经过服务器）。核心防护：输入过滤（过滤script等危险标签和特殊字符）、输出编码（将用户输入内容编码后再渲染到页面）、开启CSP（内容安全策略）限制脚本加载源。

题目：请解释什么是SQL注入攻击？日常开发中如何从代码层面防范？

答案：SQL注入是攻击者通过构造特殊SQL语句，注入到应用程序的输入参数中，欺骗数据库执行非预期操作（如查询敏感数据、删除表）的攻击。代码层面防护：①使用参数化查询（PreparedStatement）或ORM框架（如MyBatis、Hibernate），避免直接拼接SQL语句；②严格限制数据库账号权限（如查询账号仅授予SELECT权限，禁止DROP、ALTER等高危操作）；③输入验证（校验输入数据的格式、长度、类型，拒绝特殊字符如单引号、分号）。

题目：什么是CSRF攻击？与XSS攻击的核心区别是什么？如何防护？

答案：CSRF（跨站请求伪造）是攻击者利用用户已登录的身份，诱导用户点击恶意链接或访问恶意页面，发起非预期的HTTP请求（如转账、修改密码）。核心区别：XSS利用用户对网站的信任，注入恶意脚本；CSRF利用网站对用户的信任，伪造用户合法请求。防护措施：①在请求中添加CSRFToken（随机字符串，服务器验证Token有效性）；②验证Referer/Origin请求头（确认请求来源是否合法）；③关键操作增加二次验证（如短信验证码、密码确认）。

题目：请说明对称加密和非对称加密的区别，各举2个常见算法。

答案：对称加密：加密和解密使用同一密钥，优点是加密速度快、效率高，缺点是密钥分发和管理困难；常见算法：AES、DES。非对称加密：使用公钥（公开）和私钥（保密）成对密钥，公钥加密需私钥解密，私钥加密需公钥解密，优点是密钥管理安全，缺点是加密速度慢；常见算法：RSA、ECC（椭圆曲线加密）。

二、实操技能题（共4题）

题目：当你发现服务器被黑客入侵，第一步应该做什么？后续排查和处置流程是什么？

答案：第一步：隔离受影响服务器（断开外网连接或关闭相关端口），防止攻击扩散和敏感数据泄露。后续流程：①取证分析：备份服务器日志（系统日志、应用日志、访问日志）、进程快照、网络连接记录，确定入侵时间、攻击路径（如通过哪个漏洞进入）、黑客操作行为；②漏洞修复：修补入侵漏洞（如更新系统补丁、修复应用程序漏洞、删除恶意账号）；③清除恶意文件：删除黑客植入的木马、后门程序、挖矿程序等，检查系统配置是否被篡改（如管理员账号、防火墙规则）；④恢复系统：若系统被严重篡改，使用干净备份恢复，或重装系统后重新部署应用；⑤安全加固：优化服务器配置（关闭不必要端口、禁用无用服务）、升级软件版本、加强账号密码策略（如复杂度要求、定期更换）；⑥重新上线：确认安全无虞后，恢复服务器网络连接，持续监控运行状态。

题目：如何检测服务器是否存在挖矿程序？请列举至少3种排查方法。

答案：①查看系统资源：通过top、htop命令查看CPU、内存使用率，挖矿程序通常会占用大量CPU（常达90%以上）；②检查异常进程：使用ps-ef、netstat-an命令，排查未知进程、异常网络连接（如连接境外矿池IP）；③查找恶意文件：检查/tmp、/var/tmp、/root等目录，是否存在陌生可执行文件（如名称随机的脚本、二进制文件），查看开机自启项（crontab、/etc/rc.d/init.d/）是否有异常任务；④检查系统日志：查看/var/log/auth.log等日志，是否有异常登录记录（如境外IP登录、新增未知账号）；⑤使用安全工具：通过chkrootkit、rkhunter等工具扫描rootkit