文章总结： 该文档是一份网络安全技术面试高频问题汇总，重点涵盖ISO27000信息安全管理体系与等级保护制度的差异、WebShell检测的多种思路（静态、动态、日志、语法、统计学检测及防范措施）、IP协议安全要求、TCP三次握手与四次挥手过程详解，以及文件包含漏洞的类型、利用方式与修复方案。文档旨在为网络安全从业者提供面试准备的核心知识点与实用技术解析。 综合评分： 85 文章分类： 渗透测试,安全建设,安全培训,WEB安全,应急响应

【网安技术面】面试题高频V1版

原创

繁星01 繁星01

安全君呀

2026年2月25日 10:45 北京

点击上方蓝色文字关注↑↑↑↑↑

将安全君呀设为”星标⭐️”

第一时间收到文章更新

声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。

文章声明：本篇文章内容部分选取网络，如有侵权，请告知删除。

前言

致每一位正在路上的网安人：

网络安全是一个”手比嘴重要”的领域，但面试往往是进入这个领域的第一道门槛。

01

ISO27000和等保(重点等保)

说一下ISO27000

ISO27000是国际知名的信息安全管理体系标准，适用于整个企业，不仅仅是IT部门，还包括业务部门、财务、人事等部门。引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。

#

说一下等级保护制度

《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规而制定的办法。

#

差异

等保是以国家安全、社会秩序和公共利益为出发点，构建国家的安全保障体系。27000系列是以保证组织业务的连续性，缩减业务风险，最大化投资收益为目的，保证组织的业务安全

02

webshell检测思路

webshell检测思路

webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件，是一个合法的TCP连接，TCP/IP的应用层之下没有任何特征，只能在应用层进行检测。黑客入侵服务器，使用webshell，不管是传文件还是改文件，必然有一个文件会包含webshell代码，很容易想到从文件代码入手，这是静态特征检测；webshell运行后，B/S数据通过HTTP交互，HTTP请求/响应中可以找到蛛丝马迹，这是动态特征检测。

#

静态检测

静态检测通过匹配特征码，特征值，危险函数来查找webshell的方法，只能查找已知的webshell，并且误报率漏报率会比较高，但是如果规则完善，可以减低误报率，但是漏报率必定会有所提高。

优点是快速方便，对已知的webshell查找准确率高，部署方便，一个脚本就能搞定。缺点漏报率、误报率高，无法查找0day型webshell，而且容易被绕过。

静态检测配合人工

一个检查工具：

https://github.com/he1m4n6a/findWebshell

#

动态检测

Linux下就是nobody用户起了bash，Win下就是IIS User启动cmd，这些都是动态特征。再者如果黑客反向连接的话，那很更容易检测了，Agent和IDS都可以抓现行。Webshell总有一个HTTP请求，如果我在网络层监控HTTP，并且检测到有人访问了一个从没反问过得文件，而且返回了200，则很容易定位到webshell，这便是http异常模型检测，就和检测文件变化一样，如果非管理员新增文件，则说明被人入侵了。

缺点也很明显，黑客只要利用原文件就很轻易绕过了，并且部署代价高，网站时常更新的话规则也要不断添加。

#

日志检测

使用Webshell一般不会在系统日志中留下记录，但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测出异常文件，称之为：HTTP异常请求模型检测。

#

语法检测

实现关键危险函数的捕捉方式

#

统计学检测

webshell由于往往经过了编码和加密，会表现出一些特别的统计特征，根据这些特征统计学习。

典型的代表:

NeoPI — https://github.com/Neohapsis/NeoPI

#

防范webshell

防范的措施大概有三种，第一种的思路是将专门存放上传文件的文件夹里面的脚本类型文件，解析成其他类型的文件，服务器不会以脚本类型来执行它。第二种是匹配文件夹里的脚本类型文件，将其设置为无法读取及操作。第三种是将文件上传到一个单独的文件夹，给一个二级的域名，然后不给这个虚拟站点解析脚本的权限，听说很多网站都用这种方式。

03

IP协议安全要求

IP协议安全要求

• 远程登录取消telnet采用ssh
• 设置/etc/hosts.allow和deny
• 禁止ICMP重定向
• 禁止源路由转发
• 防ssh破解，iptables(对已经建立的所有链接都放行，限制每分钟连接ssh的次数)+denyhost(添加ip拒绝访问)

04

HTTP协议

TCP三次握手四次挥手

三次握手

1. 客户端 syn 发送到服务端，变成 SYN_SENT 状态
2. 服务端 ack=syn+1 回传syn到客户端，变成SYN_RECV状态
3. 客户端 ack=syn+1， 变成ESTABLISHED状态，传输给服务端
4. 服务端收到ACK后变成ESTABLISHED状态，建立连接

SYN标志位为表示请求连接，ACK表示确认

#

四次挥手

客户端=主动关闭方

1. 客户端FIN->服务端
2. 服务端ACK=FIN+1->客户端，服务端到客户端的连接关闭
3. 服务端FIN->客户端
4. 客户端ACK=FIN+1->服务端

假设Client端发起中断连接请求，也就是发送FIN报文。Server端接到FIN报文后，意思是说”我Client端没有数据要发给你了”，但是如果你还有数据没有发送完成，则不必急着关闭Socket，可以继续发送数据。所以你先发送ACK，”告诉Client端，你的请求我收到了，但是我还没准备好，请继续你等我的消息”。

这个时候Client端就进入FIN_WAIT状态，继续等待Server端的FIN报文。当Server端确定数据已发送完成，则向Client端发送FIN报文，”告诉Client端，好了，我这边数据发完了，准备好关闭连接了”。Client端收到FIN报文后，”就知道可以关闭连接了，但是他还是不相信网络，怕Server端不知道要关闭，所以发送ACK后进入TIME_WAIT状态，如果Server端没有收到ACK则可以重传。“，Server端收到ACK后，”就知道可以断开连接了”。

Client端等待了2MSL后依然没有收到回复，则证明Server端已正常关闭，那好，我Client端也可以关闭连接了。Ok，TCP连接就这样关闭了！

MSL=最大段寿命=TTL=最大生存时间=255s

05

文件包含漏洞

#

类型

1. 本地文件包含

2. 远程文件包含 ：

   即加载远程文件，在php.ini中开启allow_url_include、allow_url_fopen选项。开启后可以直接执行任意代码。

PHP文件包含函数

1. include() ：使用此函数，只有代码执行到此函数时才将文件包含进来，发生错误时只警告并继续执行。
2. inclue_once() ：功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。
3. require()：使用此函数，只要程序执行，立即调用此函数包含文件，发生错误时，会输出错误信息并立即终止程序。
4. require_once() ：功能和前者一样，区别在于当重复调用同一文件时，程序只调用一次。

利用

1. 读取敏感文件
2. 远程包含shell
3. 图片上传并包含图片shenll
4. 使用伪协议
5. 包含日志文件GetShell
6. 截断包含

修复方案

1. 禁止远程文件包含 allow_url_include=off
2. 配置 open_basedir=指定目录，限制访问区域。
3. 过滤../等特殊符号
4. 修改Apache日志文件的存放地址
5. 开启魔术引号 magic_quotes_qpc=on
6. 尽量不要使用动态变量调用文件，直接写要包含的文件。

Tips

欢迎大家在下面点赞评论加关注，让我们一起在网安之路越走越远！！！

长按扫描下方二维码加关注，了解更多网安知识哦！

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全君呀 繁星01 繁星01《【网安技术面】面试题高频V1版》