安全領域各種資源,學習文檔,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各種好玩的項目及好用的工具,歡迎關注。
目錄
?字節跳動[實習]安全研發員
1. 攻防演練中得意經歷
2. 安全領域擅長方向
3. 代碼審計語言偏向
4. CSRF修復方案
5. Java代碼審計流程
6. Java SQL注入修復
7. 瀏覽器訪問域名流程
8. 登錄頁常見漏洞
9. 云安全核心能力
10. 安全工具開發經驗
11. 部門業務方向
12. 反問參考
?字節跳動[實習]安全研發員
### 2. 二面1. 聊攻防演練中比較得意、印象深刻的一次經歷 2. 安全領域比較擅長什么 3. 審的一般是什么,java?python? 4. csrf了解嗎,怎么做一個修復 5. 在拿到java系統的代碼時,審計的流程是怎樣的 6. java系統中的sql注入怎么做一個防御和修復 7. 在瀏覽器中輸入一個域名去訪問時,瀏覽器做了什么 8. 一個系統的登錄頁,通常可能出現什么漏洞 9. 云安全了解嗎 10. 有做過安全工具的開發嗎,比如waf或者掃描器之類的 11. 慣例介紹業務 12. 慣例反問1. 攻防演練中得意經歷
場景:2024年護網行動中,作為藍隊核心成員防御某金融平臺。
亮點:
- AI狩獵攻擊鏈:通過自研流量分析工具,發現紅隊利用Fastjson 0day(偽裝成正常API請求),實時阻斷并溯源至攻擊跳板。
- 戰術欺騙:部署蜜罐數據庫誘導攻擊,捕獲紅隊橫向移動路徑,反制獲取其C2服務器指紋。
- 結果:全棧0失分,獲國家級團隊表彰。
2. 安全領域擅長方向
三維能力矩陣:
領域 技術棧 實戰成果 Web攻防 Java/Python漏洞審計、SQL注入/SSRF/反序列化防御 主導修復50+高危漏洞 云原生安全 Docker/K8s安全加固、零信任架構、服務網格策略 設計金融云安全方案,誤報率↓70% 工具研發 自研動態WAF引擎、AI驅動掃描器(支持Log4j/Shiro漏洞檢測) 工具應用于3次國家級護網行動
3. 代碼審計語言偏向
審計側重:
- Java為主(占比80%):
- 框架風險:Spring MVC參數綁定漏洞、Shiro反序列化、MyBatis SQL注入。
- 工具鏈:SpotBugs + Fortify + 自研規則插件(檢測Fastjson/JNDI風險)。
- Python為輔(20%):
- 聚焦Flask/Django的CSRF與模板注入(SSTI)。
4. CSRF修復方案
多層防御體系:
層 方案 適用場景 令牌驗證 添加 CSRF-Token(同步Cookie與表單)傳統Web系統 同源檢測 校驗 Origin/Referer頭(白名單域名)API接口 架構升級 關鍵操作二次認證(短信/生物識別) 支付/改密等敏感操作 云原生適配:容器環境下,通過服務網格(如Istio) 統一注入Token,避免應用層改造。
5. Java代碼審計流程
五步深度審計法:
- 入口定位:
- 聚焦HTTP請求處理類(
@Controller)、過濾器(Filter)、第三方庫(如Shiro)。- 數據流追蹤:
- 從用戶輸入(
HttpServletRequest)到SQL/OS命令執行點,繪制調用鏈。- 漏洞模式檢測:
- SQL注入:檢查
Statement拼接(非PreparedStatement)。- 反序列化:定位
ObjectInputStream.readObject()調用點。- 依賴掃描:
- 使用OWASP Dependency-Check掃描Fastjson/Log4j等組件版本風險。
- 動態驗證:
- 結合Burp Suite模糊測試(如篡改JSON參數觸發RCE)。
6. Java SQL注入修復
分場景防御:
場景 修復方案 常規查詢 預編譯+參數化: PreparedStatement代替Statement動態表名/排序 白名單映射:用戶輸入映射至預定義列名(如 Map<String, String> validColumns)復雜SQL ORM框架規范:MyBatis中使用 #{}(非${})增強措施:
- 全局過濾器過濾敏感字符(如
'、--)。- 數據庫賬號降權(禁用
FILE/EXECUTE權限)。
7. 瀏覽器訪問域名流程
七層解析鏈條:
mermaidgraph TB A(輸入域名) --> B[DNS解析] B --> C[獲取IP] C --> D[TCP三次握手] D --> E[發起HTTP請求] E --> F{服務器處理} F -->|存在漏洞| G[攻擊觸發點] F -->|正常| H[渲染頁面]攻防關鍵點:
- DNS劫持:防御DNSSEC。
- HTTP劫持:HSTS強制HTTPS。
- 服務端漏洞:WAF過濾惡意負載(如SQL注入語句)。
8. 登錄頁常見漏洞
TOP 5風險及修復:
漏洞 修復方案 爆破漏洞 驗證碼+登錄失敗鎖定(如5次/10分鐘) 密碼明文傳輸 強制HTTPS + 前端哈希(bcrypt) SQL注入 預編譯參數化查詢 CSRF Token驗證+同源檢查 敏感信息泄露 模糊化錯誤提示(如“用戶名或密碼錯誤”)
9. 云安全核心能力
四維防護體系:
- IaaS層:
- 鏡像掃描:Clair掃描Docker鏡像漏洞。
- 配置合規:OpenPolicy Agent校驗K8s策略。
- PaaS層:
- 服務網格安全:Istio mTLS加密+API限流。
- SaaS層:
- CASB代理:強制云應用數據加密。
- 零信任架構:
- BeyondCorp模型:設備認證+動態權限分配。
10. 安全工具開發經驗
自研工具矩陣:
工具類型 名稱/功能 技術棧 應用效果 WAF引擎 動態規則引擎(支持語義分析) Go + LuaJIT 誤報率↓40%(護網) 掃描器 Java反序列化鏈自動化檢測(支持Shiro等) Python + ASM字節碼 檢出率98% 資產測繪 動態IP/域名關聯分析系統 Elasticsearch + Vue 護網覆蓋95%資產
11. 部門業務方向
三大核心板塊:
- 實戰攻防:
- 承擔金融、政務領域國家級護網行動,年防御APT攻擊300+次。
- 安全中臺:
- 研發AIOps安全運營平臺(集成SOAR+威脅情報)。
- 工具鏈輸出:
- 開源掃描器組件(GitHub Star 1.2k+)。
12. 反問參考
聚焦技術深度與成長:
- 技術演進:部門如何應對AI驅動的攻擊(如深度偽造釣魚)?
- 工具落地:自研工具是否會開源或產品化?
- 個人賦能:工程師如何參與國家級護網項目?
帶論文文檔1萬字以上,文末可獲取,系統界面在最后面。)
)
)
