网络安全工程师面试题及参考答案.docxVIP

网络安全工程师面试题及参考答案

一、基础能力题（考察核心认知与实操基础）

问题：日常工作中如何快速判断服务器是否遭受暴力破解攻击？请说明具体排查步骤和常用工具。

答案：排查分3步：①查看系统日志（Linux看/var/log/secure，Windows看事件查看器→安全日志），筛选“登录失败”“invaliduser”等关键词，统计同一IP高频失败记录；②检查端口状态，用netstat或ss命令查看22（SSH）、3389（RDP）等端口是否有异常连接，结合fail2ban、DenyHosts等工具的拦截日志；③结合流量分析工具（如Wireshark、tcpdump），过滤目标端口的TCP握手包，若存在大量来自同一IP的SYN包且无后续ACK，大概率是暴力破解。常用工具：grep（日志筛选）、fail2ban（实时拦截）、nmap（端口探测）。

问题：什么是SQL注入攻击？请举例说明最常见的注入场景，并给出2种以上防御方案（需具体可落地）。

答案：SQL注入是攻击者通过输入恶意SQL语句（如or1=1--），使应用程序拼接后执行非预期查询，窃取或篡改数据库数据的攻击。常见场景：登录页面（用户名输入框输入“admin--”，若后端未过滤，可能绕过密码验证）、搜索框（输入“xxxunionselectusername,passwordfromusers--”，窃取用户数据）。防御方案：①用参数化查询/预编译语句（如Java的PreparedStatement、Python的pymysql参数绑定），避免字符串拼接SQL；②开启应用层输入过滤，过滤单引号、union、select等关键字，结合白名单限制输入格式；③数据库最小权限原则，应用程序账号仅分配查询/插入权限，禁止drop、alter等高危操作；④开启数据库审计日志，定期排查异常查询。

问题：HTTPS为何能保证传输安全？请简述其握手过程，以及实际部署时需要注意什么？

答案：HTTPS通过“HTTP+SSL/TLS”实现安全传输，核心是加密（防窃听）、认证（防伪装）、完整性校验（防篡改）。握手过程：①客户端向服务器发送支持的SSL/TLS版本、加密套件列表；②服务器返回数字证书（含公钥）、选定的加密套件；③客户端验证证书有效性（校验CA签名、有效期、域名匹配），生成随机会话密钥，用服务器公钥加密后发送；④服务器用私钥解密得到会话密钥，后续通信用会话密钥加密数据。部署注意事项：①选择可靠CA机构颁发的证书（避免自签名证书，除非内网环境）；②禁用弱加密套件（如SSLv3、TLS1.0/1.1），优先TLS1.2+；③配置证书链完整，避免客户端验证失败；④开启HTTP强制跳转HTTPS，设置HSTS头防止降级攻击。

二、进阶技能题（考察问题解决与架构思维）

问题：公司内网一台服务器突然出现CPU占用100%，疑似被植入挖矿程序，你会如何应急处置？请按优先级排序步骤。

答案：优先级处置步骤：①隔离止损：立即断开该服务器与内网、外网的连接（避免挖矿程序扩散、窃取内网数据），同时保存当前系统状态（用ps、top命令记录进程信息，截图CPU/内存占用）；②定位恶意进程：用top、psaux命令查找占用CPU最高的进程，查看进程路径（ls-l/proc/[PID]/exe），判断是否为未知进程；③清除恶意程序：终止恶意进程（kill-9PID），删除进程对应的可执行文件、启动脚本（检查/etc/crontab、/etc/rc.d/init.d/等开机自启目录），清理定时任务（crontab-l查看并删除异常任务）；④溯源分析：查看系统日志（/var/log/auth.log、历史命令history），排查入侵入口（是否有SSH弱口令、Web漏洞），用find命令查找近期新增的可疑文件（find/-mtime-3-typef|grep-vsystem）；⑤漏洞修复：修补入侵入口（修改弱口令、升级Web服务版本、修复已知漏洞），安装杀毒软件（如ClamAV）全盘扫描；⑥恢复上线：确认无残留后，重新接入网络，开启监控（如Zabbix、Prometheus）跟踪系统状态。

问题：如何设计一套企业级的Web应用安全防护体系？请从“防御层”角度说明，每个层级至少包含2项具体措施。

答案：按“外到内”防御层设计，共5层：①网络层防护：部署WAF（Web应用防火墙，如阿里云WAF、Nginx+ModSecurity）