安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

 字节跳动[实习]安全研发员

1. 攻防演练中得意经历

2. 安全领域擅长方向

3. 代码审计语言偏向

4. CSRF修复方案

5. Java代码审计流程

6. Java SQL注入修复

7. 浏览器访问域名流程

8. 登录页常见漏洞

9. 云安全核心能力

10. 安全工具开发经验

11. 部门业务方向

12. 反问参考

 字节跳动[实习]安全研发员

### 2. 二面1. 聊攻防演练中比较得意、印象深刻的一次经历
2. 安全领域比较擅长什么
3. 审的一般是什么，java？python？
4. csrf了解吗，怎么做一个修复
5. 在拿到java系统的代码时，审计的流程是怎样的
6. java系统中的sql注入怎么做一个防御和修复
7. 在浏览器中输入一个域名去访问时，浏览器做了什么
8. 一个系统的登录页，通常可能出现什么漏洞
9. 云安全了解吗
10. 有做过安全工具的开发吗，比如waf或者扫描器之类的
11. 惯例介绍业务
12. 惯例反问

1. 攻防演练中得意经历

场景：2024年护网行动中，作为蓝队核心成员防御某金融平台。
亮点：

• AI狩猎攻击链：通过自研流量分析工具，发现红队利用Fastjson 0day（伪装成正常API请求），实时阻断并溯源至攻击跳板。
• 战术欺骗：部署蜜罐数据库诱导攻击，捕获红队横向移动路径，反制获取其C2服务器指纹。
• 结果：全栈0失分，获国家级团队表彰。

---

2. 安全领域擅长方向

三维能力矩阵：

领域	技术栈	实战成果
Web攻防	Java/Python漏洞审计、SQL注入/SSRF/反序列化防御	主导修复50+高危漏洞
云原生安全	Docker/K8s安全加固、零信任架构、服务网格策略	设计金融云安全方案，误报率↓70%
工具研发	自研动态WAF引擎、AI驱动扫描器（支持Log4j/Shiro漏洞检测）	工具应用于3次国家级护网行动

---

3. 代码审计语言偏向

审计侧重：

• Java为主（占比80%）：
  • 框架风险：Spring MVC参数绑定漏洞、Shiro反序列化、MyBatis SQL注入。
  • 工具链：SpotBugs + Fortify + 自研规则插件（检测Fastjson/JNDI风险）。
• Python为辅（20%）：
  • 聚焦Flask/Django的CSRF与模板注入（SSTI）。

---

4. CSRF修复方案

多层防御体系：

层	方案	适用场景
令牌验证	添加CSRF-Token（同步Cookie与表单）	传统Web系统
同源检测	校验Origin/Referer头（白名单域名）	API接口
架构升级	关键操作二次认证（短信/生物识别）	支付/改密等敏感操作
云原生适配：容器环境下，通过服务网格（如Istio） 统一注入Token，避免应用层改造。

---

5. Java代码审计流程

五步深度审计法：

1. 入口定位：
   • 聚焦HTTP请求处理类（@Controller）、过滤器（Filter）、第三方库（如Shiro）。
2. 数据流追踪：
   • 从用户输入（HttpServletRequest）到SQL/OS命令执行点，绘制调用链。
3. 漏洞模式检测：
   • SQL注入：检查Statement拼接（非PreparedStatement）。
   • 反序列化：定位ObjectInputStream.readObject() 调用点。
4. 依赖扫描：
   • 使用OWASP Dependency-Check扫描Fastjson/Log4j等组件版本风险。
5. 动态验证：
   • 结合Burp Suite模糊测试（如篡改JSON参数触发RCE）。

---

6. Java SQL注入修复

分场景防御：

场景	修复方案
常规查询	预编译+参数化：PreparedStatement代替Statement
动态表名/排序	白名单映射：用户输入映射至预定义列名（如Map<String, String> validColumns）
复杂SQL	ORM框架规范：MyBatis中使用#{}（非${}）
增强措施：

• 全局过滤器过滤敏感字符（如'、--）。
• 数据库账号降权（禁用FILE/EXECUTE权限）。

---

7. 浏览器访问域名流程

七层解析链条：

mermaidgraph TB A(输入域名) --> B[DNS解析] B --> C[获取IP] C --> D[TCP三次握手] D --> E[发起HTTP请求] E --> F{服务器处理} F -->|存在漏洞| G[攻击触发点] F -->|正常| H[渲染页面]

攻防关键点：

• DNS劫持：防御DNSSEC。
• HTTP劫持：HSTS强制HTTPS。
• 服务端漏洞：WAF过滤恶意负载（如SQL注入语句）。

---

8. 登录页常见漏洞

TOP 5风险及修复：

漏洞	修复方案
爆破漏洞	验证码+登录失败锁定（如5次/10分钟）
密码明文传输	强制HTTPS + 前端哈希（bcrypt）
SQL注入	预编译参数化查询
CSRF	Token验证+同源检查
敏感信息泄露	模糊化错误提示（如“用户名或密码错误”）

---

9. 云安全核心能力

四维防护体系：

1. IaaS层：
   • 镜像扫描：Clair扫描Docker镜像漏洞。
   • 配置合规：OpenPolicy Agent校验K8s策略。
2. PaaS层：
   • 服务网格安全：Istio mTLS加密+API限流。
3. SaaS层：
   • CASB代理：强制云应用数据加密。
4. 零信任架构：
   • BeyondCorp模型：设备认证+动态权限分配。

---

10. 安全工具开发经验

自研工具矩阵：

工具类型	名称/功能	技术栈	应用效果
WAF引擎	动态规则引擎（支持语义分析）	Go + LuaJIT	误报率↓40%（护网）
扫描器	Java反序列化链自动化检测（支持Shiro等）	Python + ASM字节码	检出率98%
资产测绘	动态IP/域名关联分析系统	Elasticsearch + Vue	护网覆盖95%资产

---

11. 部门业务方向

三大核心板块：

1. 实战攻防：
   • 承担金融、政务领域国家级护网行动，年防御APT攻击300+次。
2. 安全中台：
   • 研发AIOps安全运营平台（集成SOAR+威胁情报）。
3. 工具链输出：
   • 开源扫描器组件（GitHub Star 1.2k+）。

---

12. 反问参考

聚焦技术深度与成长：

• 技术演进：部门如何应对AI驱动的攻击（如深度伪造钓鱼）？
• 工具落地：自研工具是否会开源或产品化？
• 个人赋能：工程师如何参与国家级护网项目？