还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

② 视频

③ 书籍

资源较为敏感，未展示全面，需要的最下面获取

② 简历模板

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

举一个简单的例子， https 连接过程是怎样的，使用了了哪种加密方式，可以抓包吗，怎样防止抓包，你是否能够对答如下。

废话不多说，开始进入正文。

背景

我们知道，http 通信存在以下问题：

• 通信使用明文可能会被窃听
• 不验证通信方的身份可能遭遇伪装
• 无法证明报文的完整型，可能已遭篡改

  使用 https 可以解决数据安全问题，但是你真的理解 https 吗？

  当面试官连续对你发出灵魂追问的时候，你能对答如流吗

  1. 什么是 https，为什么需要 https
  2. https 的连接过程
  3. https 的加密方式是怎样的，对称加密和非对称加密，为什么要这样设计？内容传输为什么要使用对称机密
  4. https 是绝对安全的吗
  5. https 可以抓包吗

  如果你能对答自如，恭喜你，https 你已经掌握得差不多了，足够应付面试了。

  什么是 https

  简单来说， https 是 http + ssl，对 http 通信内容进行加密，是HTTP的安全版，是使用TLS/SSL加密的HTTP协议

  Https的作用：

  1. 内容加密 建立一个信息安全通道，来保证数据传输的安全；
  2. 身份认证 确认网站的真实性
  3. 数据完整性 防止内容被第三方冒充或者篡改

  什么是SSL

  SSL 由 Netscape 公司于1994年创建，它旨在通过Web创建安全的Internet通信。它是一种标准协议，用于加密浏览器和服务器之间的通信。它允许通过Internet安全轻松地传输账号密码、银行卡、手机号等私密信息。

  SSL证书就是遵守SSL协议，由受信任的CA机构颁发的数字证书。

  SSL/TLS的工作原理:

  需要理解SSL/TLS的工作原理，我们需要掌握加密算法。加密算法有两种：对称加密和非对称加密：

  对称加密：通信双方使用相同的密钥进行加密。特点是加密速度快，但是缺点是需要保护好密钥，如果密钥泄露的话，那么加密就会被别人pojie。常见的对称加密有AES，DES算法。

  非对称加密：它需要生成两个密钥：公钥(Public Key)和私钥(Private Key)。

  公钥顾名思义是公开的，任何人都可以获得，而私钥是私人保管的。相信大多程序员已经对这种算法很熟悉了：我们提交代码到github的时候，就可以使用SSH key：在本地生成私钥和公钥，私钥放在本地.ssh目录中，公钥放在github网站上，这样每次提交代码，不用麻烦的输入用户名和密码了，github会根据网站上存储的公钥来识别我们的身份。

  公钥负责加密，私钥负责解密；或者，私钥负责加密，公钥负责解密。这种加密算法安全性更高，但是计算量相比对称加密大很多，加密和解密都很慢。常见的非对称算法有RSA。

  https 的连接过程

  [图片上传中…(image-5f79d4-1598424206914-1)]

  https 的连接过程大概分为两个阶段，证书验证阶段和数据传输阶段

  证书验证阶段

  大概分为三个步骤

  1. 浏览器发起请求
  2. 服务器接收到请求之后，会返回证书，包括公钥
  3. 浏览器接收到证书之后，会检验证书是否合法，不合法的话，会弹出告警提示（怎样验证合法，下文会详细解析，这里先忽略）

  数据传输阶段

  证书验证合法之后

  1. 浏览器会生成一个随机数，
  2. 使用公钥进行加密，发送给服务端
  3. 服务器收到浏览器发来的值，使用私钥进行解密
  4. 解析成功之后，使用对称加密算法进行加密，传输给客户端

  之后双方通信就使用第一步生成的随机数进行加密通信。

  https 的加密方式是怎样的，对称加密和非对称加密，为什么要这样设计

  从上面我们可以知道，https 加密是采用对称加密和非对称机密一起结合的。

  在证书验证阶段，使用非对称加密。 在数据传输阶段，使用对称机密。

  这样设计有一个好处，能最大程度得兼顾安全效率。

  在证书验证阶段，使用非对称加密，需要公钥和私钥，假如浏览器的公钥泄漏了，我们还是能够确保随机数的安全，因为加密的数据只有用私钥才能解密。这样能最大程度确保随机数的安全。

  在内容传输阶段，使用对称机密，可以大大提高加解密的效率。

  内容传输为什么要使用对称机密

  1. 对称加密效率比较高
  2. 一对公私钥只能实现单向的加解密。只有服务端保存了私钥。如果使用非对称机密，相当于客户端必须有自己的私钥，这样设计的话，每个客户端都有自己的私钥，这很明显是不合理的，因为私钥是需要申请的。

  https 是绝对安全的吗

  不是绝对安全的，可以通过中间人攻击。

  什么是中间人攻击

  中间人攻击是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。

  HTTPS 使用了 SSL 加密协议，是一种非常安全的机制，目前并没有方法直接对这个协议进行攻击，一般都是在建立 SSL 连接时，拦截客户端的请求，利用中间人获取到 CA证书、非对称加密的公钥、对称加密的密钥；有了这些条件，就可以对请求和响应进行拦截和篡改。

  [图片上传中…(image-544c3e-1598424206914-0)]

  过程原理：

  1. 本地请求被劫持（如DNS劫持等），所有请求均发送到中间人的服务器
  2. 中间人服务器返回中间人自己的证书
  3. 客户端创建随机数，通过中间人证书的公钥对随机数加密后传送给中间人，然后凭随机数构造对称加密对传输内容进行加密传输
  4. 中间人因为拥有客户端的随机数，可以通过对称加密算法进行内容解密
  5. 中间人以客户端的请求内容再向官方网站发起请求
  6. 因为中间人与服务器的通信过程是合法的，官方网站通过建立的安全通道返回加密后的数据
  7. 中间人凭借与官方网站建立的对称加密算法对内容进行解密
  8. 中间人通过与客户端建立的对称加密算法对官方内容返回的数据进行加密传输
  9. 客户端通过与中间人建立的对称加密算法对返回结果数据进行解密

  由于缺少对证书的验证，所以客户端虽然发起的是 HTTPS 请求，但客户端完全不知道自己的网络已被拦截，传输内容被中间人全部窃取。

  https 是如何防止中间人攻击的

  在https中需要证书，证书的作用是为了防止"中间人攻击"的。 如果有个中间人M拦截客户端请求,然后M向客户端提供自己的公钥，M再向服务端请求公钥,作为"中介者" 这样客户端和服务端都不知道,信息已经被拦截获取了。这时候就需要证明服务端的公钥是正确的.

  如何自学黑客&网络安全

  黑客零基础入门学习路线&规划

  初级黑客

  1、网络安全理论知识（2天）

  ①了解行业相关背景，前景，确定发展方向。

  ②学习网络安全相关法律法规。

  ③网络安全运营的概念。

  ④等保简介、等保规定、流程和规范。（非常重要）

  2、渗透测试基础（一周）

  ①渗透测试的流程、分类、标准

  ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking

  ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察

  ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

  3、操作系统基础（一周）

  ①Windows系统常见功能和命令

  ②Kali Linux系统常见功能和命令

  ③操作系统安全（系统入侵排查/系统加固基础）

  4、计算机网络基础（一周）

  ①计算机网络基础、协议和架构

  ②网络通信原理、OSI模型、数据转发流程

  ③常见协议解析（HTTP、TCP/IP、ARP等）

  ④网络攻击技术与网络安全防御技术

  ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

  5、数据库基础操作（2天）

  ①数据库基础

  ②SQL语言基础

  ③数据库安全加固

  6、Web渗透（1周）

  ①HTML、CSS和JavaScript简介

  ②OWASP Top10

  ③Web漏洞扫描工具

  ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

  恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

  到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

  如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！

  7、脚本编程（初级/中级/高级）

  在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

  如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

  8、超级黑客

  这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。

  网络安全工程师企业级学习路线

  如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的

  视频配套资料&国内外网安书籍、文档&工具

  当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

  一些笔者自己买的、其他平台白嫖不到的视频教程。

  网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

  需要这份系统化资料的朋友，可以点击这里获取

  一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！