jassics/security-interview-questions
GitHub: jassics/security-interview-questions
一份覆盖应用安全、渗透测试、云安全、DevSecOps、AI安全等多个方向的网络安全面试题库,附带参考解析与场景化题目。
Stars: 468 | Forks: 94
# 网络安全面试题集锦
**针对不同安全技能的安全面试题,并附带参考解析。**

这个 GitHub 仓库专为安全专业人士打造,旨在帮助他们准备具备不同技能组合的各类安全岗位面试,例如 AppSec、DevSecOps、云安全等。
_欢迎您根据自己的面试经验,为不同的安全面试页面贡献内容。_
我将根据我的个人经验以及网络上关于相同主题的交流,持续添加面试题。
## 我应该使用哪个文件?(AppSec / API / Web / 安全架构师)
本仓库中的四个文件——Application Security、API Security、Web Security 和 Security Architect 场景——在设计上涵盖了密切相关领域,因此它们是按**角色和视角**而非单纯按主题进行划分的,并且它们相互交叉链接,而不是重复内容。请使用下表为你要准备或招聘的岗位选择合适的切入点:
| 文件 | 目标岗位 | 视角 / 侧重点 | 格式 |
|---|---|---|---|
| **[Application Security](application-security-interview-questions.md)** | AppSec 工程师(初级 → 高级/骨干),面向开发者的安全 | 以 SDLC 为中心:安全代码审查、安全编码、威胁建模、SDL 流程、密码学基础——“如何推动工程团队构建安全的软件” | 问题列表及期望听到的回答要点,外加包含易受攻击代码片段的安全代码审查环节 |
| **[API Security](api-security-interview-questions.md)** | API 安全工程师,侧重于 API 的 AppSec | OWASP API Security Top 10、JWT/OAuth2/mTLS、GraphQL 与 gRPC 授权、API 网关架构——“机器对机器接口”专业领域 | 概念问答 + 8 个基于场景的提问(包含漏洞代码与修复代码及图表) |
| **[Web Security / Pentest](web-security-interview-questions.md)** | Web 应用渗透测试工程师、Web 安全工程师 | 攻击/漏洞利用机制:浏览器安全模型(SOP/CORS/CSP)、OWASP Top 10 漏洞利用原理、会话/认证攻击、渗透测试方法论与工具链 | 概念问答 + 6 个基于场景的提问(包含 PoC 风格的演示流程与修复方案) |
| **[Security Architect Scenarios](Security_Architect_Scenario_Questions.md)** | 安全架构师 / 骨干-首席 AppSec、产品安全架构师 | 项目与架构视角:威胁建模项目、安全冠军、安全优先设计、架构审查委员会(ARB)、机密信息/密码学/密钥管理、零信任、多租户、内部威胁、并购尽职调查、SSO/联合身份认证 | 24 个基于场景的提问,包含讨论式的解答及图表 |
**经验法则**:如果问题是关于*特定漏洞利用或漏洞类别是如何运作的*,它属于 Web Security(面向浏览器)或 API Security(针对 API 层面)。如果是关于*日常如何构建、审查或发布安全代码的*,则属于 Application Security。如果是关于*大规模设计或运行安全项目/架构的*,则属于 Security Architect 文件。对于**专门的 AI/LLM/智能体系统**,请参阅专门的 [AI 安全面试题](ai-security-interview-questions.md) 文件——该文件针对该领域采用了相同的基于场景的格式。
## 目录
1. [通用安全面试题](common-security-interview-questions.md)
2. [Web 安全 / 渗透测试面试题](web-security-interview-questions.md)
3. [Application Security 面试题](application-security-interview-questions.md)
4. [API Security 面试题](api-security-interview-questions.md)
5. [网络安全面试题](network-security-interview-questions.md)
6. [AWS 安全面试题](aws-security-interview-questions.md)
7. [GCP 安全面试题](gcp-security-interview-questions.md)
8. [DevSecOps 面试题](devsecops-interview-questions.md)
9. [容器面试题](container-security-interview-questions.md)
10. [SOC 面试题](soc-interview-questions.md)
11. [GRC 面试题](grc-interview-questions.md)
12. [AI 安全面试题](ai-security-interview-questions.md)
13. [Security Architect 基于场景的面试题](Security_Architect_Scenario_Questions.md)
标签:DevSecOps, meg, 上游代理, 信息安全, 学习资源, 网络安全, 防御加固, 隐私保护, 面试题