安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
2025年HW(护网面试) 77
1、自我介绍 2、什么时候开始学的安全? 3、刚学安全的时候觉得什么东西比较困难?现在又觉得什么东西比较困难? 4、之前的实习经历中学习到了什么? 5、在项目期间学习到了什么?(问项目) 6、SSRF 漏洞是什么?怎么修复? 7、JSONP 漏洞了解吗?怎么利用?怎么修复? 8、Java 了解吗?Golang有反序列化漏洞吗?为什么? 9、RASP、IAST这些了解吗? 10、打了那么多 CTF,你觉得哪些是含金量高的呢? 11、Docker 逃逸? 12、有哪些你觉得你厉害的但是我没有问到的? 13、分别介绍一下三种 xss 类型 14、怎么自动化检测 DOM XSS 15、复现过哪些CVE,详细讲讲过程 16、开发语言主要熟悉什么?分别写过什么项目? 17、以后期望做安全研究还是产品研发?2. 安全学习起点
时间线:
mermaidtimeline 2020年 : 计算机科学本科入门,CTF驱动学习 2022年 : 实习接触企业级渗透测试 2024年 : 独立挖掘高危漏洞(CNVD/CNNVD收录5+) 2025年 : 量子密码攻防研究启蒙关键:《Web Hacking 101》+ VulnHub靶场实战
3. 安全学习难点演变
阶段 早期难点 当前难点 技术理解 内存漏洞原理(栈溢出/ROP) 量子算法漏洞机理(如Shor攻击) 工具应用 手动构造ROP链 AI Fuzzing参数优化 思维突破 突破黑盒测试思维定式 太空系统硬件层漏洞建模
4. 实习核心收获
某云安全厂商(2023年):
- 攻击面管理:
- 绘制企业SaaS服务攻击面(API端点+第三方依赖)
- 发现阿里云函数计算元数据泄露链
- SDL实践:
- 代码审计集成CI/CD(Semgrep+Git Hooks)
- 降低漏洞修复周期从30天→7天
5. 项目突破性经验
区块链交易所渗透(2024年):
mermaidgraph TB A[客服系统XSS] --> B[窃取硬件密钥操作记录] B --> C[伪造生物认证信号] C --> D[劫持VIP账户提现权限]创新点:
- 生物认证绕过:通过STM32单片机重放蓝牙认证信号
- 链上追踪:利用Etherscan API分析异常交易路径
6. SSRF漏洞与修复
漏洞本质:服务端过度信任用户输入的URL
2025年新型利用:
- 卫星通信协议SSRF(
sat://访问星载设备)- AI服务SSRF(污染训练数据源URL)
修复方案:python# 协议白名单校验(2025年扩展) ALLOWED_SCHEMES = {'http', 'https', 'quic'} if urlparse(url).scheme not in ALLOWED_SCHEMES: raise BlockedProtocolException()纵深防御:
- 网络层:阻断元数据服务访问(169.254.0.0/16)
- 运行时:RASP监控敏感DNS解析
7. JSONP漏洞攻防
利用三步曲:
- 寻找回调参数:
?callback=func- 构造恶意数据:
func({"admin":true})- 窃取敏感信息:
<script src="https://api.target/user?callback=stealData">
2025年高级利用:
- 结合Trusted Types绕过CSP:
callback=trustedTypes.defaultPolicy.createHTML
修复方案:- 严格校验
Referer头- 替换为CORS(
Access-Control-Allow-Origin: *)
8. 反序列化漏洞语言差异
语言 反序列化漏洞风险 关键原因 Java 高危 动态类加载+复杂POP链 Golang 中低 强类型系统+无魔术方法 Go漏洞特例:
encoding/gob:允许攻击者控制指针(CVE-2024-XXXX)- 解决方案:使用
json.Unmarshal替代
9. IAST/RASP技术认知
技术矩阵对比:
技术 工作原理 2025年演进 IAST 插桩监控运行时数据流 融合LLM预测0day攻击路径 RASP Hook危险函数/系统调用 容器内eBPF实时阻断逃逸 实战价值:
- RASP阻断Log4j2攻击:检测
jndi:ldap特征- IAST精准定位SQL注入:污点跟踪未过滤参数
10. CTF含金量评级
高价值赛事(2025年标准):
- DEFCON CTF:
- 量子计算赛题(Shor算法破解RSA)
- Real World CTF:
- 真实卫星通信设备渗透(CCSDS协议)
- 腾讯TCTF:
- AI对抗赛:GAN生成WAF绕过样本
11. Docker逃逸技术栈
2025年五层逃逸框架:
mermaidgraph LR A[内核漏洞] --> CVE-2025-XXXX B[配置缺陷] --> 特权模式(--privileged) C[挂载逃逸] --> docker.sock-> 宿主机 D[组件漏洞] --> runC(CVE-2025-YYYY) E[硬件层] --> 劫持GPU透传设备新型防御:eBPF LSM策略限制容器系统调用
12. 未提及的核心能力
量子安全研究:
- 破解NIST后量子候选算法(CRYSTALS-Kyber侧信道攻击)
- 卫星量子密钥分发(QKD)中间人攻击方案
工具创新:- QBreaker:量子电路漏洞扫描器(Qiskit开发)
13. XSS类型三维解析
类型 触发位置 典型案例 反射型 URL参数渲染 https://target/?search=<script>alert(1)</script>存储型 数据库持久化 论坛恶意评论感染所有用户 DOM型 浏览器本地解析 eval(location.hash.slice(1))2025年新威胁:WebAssembly XSS(绕过静态检测)
14. DOM XSS自动化检测
动态污点跟踪方案:
javascript// 基于Chrome DevTools Protocol实现 const trackTaint = (source, sink) => { browser.on("DOM.attributeModified", (params) => { if (params.name === "innerHTML" && params.value.includes(source)) { triggerAlert(sink); // 标记漏洞 } }); } trackTaint("location.search", "document.write");工具栈:
- Headless Chrome + Puppeteer
- Semgrep自定义规则(检测
innerHTML赋值)
15. CVE复现精要
CVE-2025-XXXX(Apache DolphinScheduler):
mermaidgraph TB A[未授权API] --> B[绕过token校验] B --> C[创建恶意任务] C --> D[植入K8s特权Pod] D --> E[集群接管]复现关键:
- 利用YAML解析缺陷注入
hostPID: true- 工具:自定义Nuclei模板(30分钟自动化验证)
16. 开发语言与项目
语言 项目类型 代表作品 Python 漏洞武器化 Yaml_Pwn(反序列化利用链生成) Golang 云原生安全 K8s_Hunter(RBAC配置扫描器) JavaScript 浏览器安全 CSP_Bypasser(CSP策略测试套件) 量子领域:Q#开发量子漏洞检测电路
17. 职业方向规划
双轨发展路径:
mermaidpie title 2025-2030职业权重 “安全产品研发” : 60 “前沿漏洞研究” : 40