关联:安全学习

内部面试

这篇先作为安全面试复盘入口,后面可以把零散问题拆到对应专题页。

Web 基础

  • SQL注入:联合查询、盲注、报错注入、WAF 绕过。
  • SSRF:内网探测、协议利用、云元数据。
  • SSTI:模板表达式探测、对象链、沙箱逃逸。
  • JWT攻击:none 算法、密钥爆破、算法混淆。

语言安全

  • PHP安全:反序列化、文件包含、命令执行、原生类。
  • Python安全:Pickle、Flask Session、Pyjail。
  • Java安全:反射、动态代理、反序列化链。
  • Nodejs安全:原型链污染、VM 沙箱逃逸。

提权与工具

待补充

  • 常见漏洞原理口述版。
  • 每类漏洞的最短利用链。
  • 自己做题时最容易漏掉的检查项。