本作品采用 CC BY-NC 4.0 国际许可协议 进行许可。
一套从入门到面试的完整售前安全工程师学习资料,基于真实场景和方法论沉淀。
| 你想了解 | 直接跳转 |
|---|---|
| 我是新手,怎么系统学习? | 三十天速成计划 |
| 想直接看案例 | 案例集合 |
| 想找方法论 | 方法论速查 |
| 准备面试 | 面试题库 |
| 想练Web安全实战 | Web安全基础 |
| 想看我完整的知识体系 | 项目结构 |
建议按以下顺序阅读:
- 先看方法论 → 四维追问框架(5分钟,建立售前沟通的基本逻辑)
- 再看2个代表案例 → 制造业工控安全 + 医疗防勒索(10分钟,感受实际场景)
- 回看基础知识 → B端企业安全需求与法规体系指南(30分钟,打底)
- 最后练面试 → 面试题库 + 各案例的「可复用的面试话术」
时间有限的话,跳过第3步直接练面试话术也可以。
这是一个为网络安全售前工程师设计的实战学习手册,内容涵盖:
- 基础知识:法规合规指南、安全产品、云安全架构、Web漏洞实战(XSS/SQL注入/CSRF)
- 方法论:客户询问技巧、方案匹配逻辑、案例引用方法、金字塔异议回应框架
- 案例学习:覆盖零售、教育、金融、医疗、政府、制造、连锁7大行业
- 行业产品映射:金融/制造/医疗/政务4大行业的产品映射指南
- 行业态势感知:金融/制造/医疗/政务4大行业的态势感知三层架构对比指南
- 产品策略:XDR vs SOC/SIP 客户画像匹配指南
- 面试准备:题库 + 实战练习
核心理念:售前不是卖产品清单,而是帮客户理清问题,再给对应的解法。
全部内容均为本人独立整理创作 — 从行业案例的方法论沉淀、 到Web安全技术的实战演示、再到产品与场景的映射分析, 全部基于公开资料和个人实践经验编写。 每个案例的「我的思考」部分展示了我对行业需求的复盘和推演过程。
我是浩然,正在准备网络安全售前工程师岗位。
这个仓库不是面试作品集,而是我系统化学习售前能力的完整记录。
我认为一个好的售前工程师需要三种能力:
- 听懂客户 → 四维追问框架、场景化询问节奏(方法论)
- 讲清方案 → 7个跨行业案例,每个都有痛点→推演→方案→话术(案例)
- 懂点技术 → XSS/SQL注入/CSRF实战,能跟客户技术团队对话(Web基础)
- 能处理异议 → 金字塔回应框架,知道什么该说、什么不该说(售前软技能)
如果你是面试官,建议优先看:
- 制造行业案例 — IT/OT融合场景,最能体现跨域理解力
- 医疗行业案例 — 合规+业务连续性双驱动,售前典型打法
- 四维追问框架 — 我自己总结的售前追问方法论
- 金字塔回应框架 — 客户提出异议时的应对纪律
| 行业 | 案例名称 | 核心问题 | 方案亮点 |
|---|---|---|---|
| 零售 | 攻击溯源案例 | 设备买了但看不清攻击路径 | 三天出溯源报告 |
| 教育 | API数据泄露案例 | 测试接口没鉴权泄露30万数据 | 先止血再排查 |
| 金融 | 城商行数据合规案例 | 监管整改通知,数据分类分级不清 | 合规驱动+总分行一体化 |
| 医疗 | 三甲医院安全案例 | 勒索攻击导致挂号中断2小时 | 业务不中断+防勒索 |
| 政府 | 政务云安全升级案例 | 80个委办局安全水平参差不齐 | 管理平台+排名通报 |
| 制造 | 汽车零部件工控安全案例 | PLC被篡改,2000件产品报废 | 旁路部署+IT/OT一体化 |
| 连锁 | 美宜佳MSS案例 | 3万家门店安全运营 | MSS托管式安全服务 |
所有案例均按统一模板编写,包含:
- 基础信息
- 客户背景
- 痛点分析(表面诉求→深层痛点→技术需求)
- 我的思考(痛点推演 → 方案推导过程)
- 解决方案
- 量化成果
- 可复用的面试话术
查看案例前建议先读:Web安全技术与售前场景关联指南
| 框架 | 说明 | 适用场景 |
|---|---|---|
| 四维追问框架 | 环境、时间、资产、预算四个维度的追问逻辑 | 所有售前对话 |
| 场景化询问顺序 | 危机/常规/探索三种场景的不同询问节奏 | 根据客户状态灵活调整 |
| 案例引用四法 | 模糊化、组合用、坦诚查、行业数据 | 讲案例时不编造 |
| 金字塔回应框架 | 异议应对的结构化方法——结论先行、论点按客户决策链排列、收口锁定下一步 | 客户提出价格/功能/竞品异议时 |
1. 痛点翻译 → 2. 共情锚定 → 3. 方案匹配 → 4. 案例举证 → 5. 反问引导
| 漏洞类型 | 核心概念 | 实战文档 | 售前关联 |
|---|---|---|---|
| XSS跨站脚本 | 恶意脚本在受害者浏览器执行,窃取Cookie/劫持会话 | XSS完整指南 | WAF规则配置、客户演示环境搭建 |
| ├ 反射型 | URL参数传递,需诱导点击 | 反射型实战 | 钓鱼邮件攻击链 |
| ├ 存储型 | Payload永久存入数据库,影响所有用户 | 存储型实战 | 论坛/评论区风险 |
| └ DOM型 | 纯前端漏洞,不经过服务端,可绕过WAF | DOM型实战 | 现代前端框架安全 |
| SQL注入 | 通过输入参数篡改SQL查询,窃取/篡改数据库 | SQL注入完整指南 | 数据库审计、WAF防护 |
| └ 绕过技巧 | 十六进制编码、字符序统一 | payloads.sql | 高级渗透测试 |
| CSRF跨站请求伪造 | 诱导用户执行非预期操作(转账/改密) | CSRF完整指南 | 业务逻辑安全、Token机制 |
训练环境:基于DVWA + PHP/MySQL,配合Burp Suite与浏览器开发者工具 推荐顺序:反射型XSS → 存储型XSS → DOM型XSS → SQL注入 → CSRF
| 模块 | 内容 | 适合 |
|---|---|---|
| 合规与法规 | B端企业安全需求全景、一法三条例、等保体系 | 了解"为什么客户要买安全" |
| 安全产品指南 | 8大核心产品的通俗解释 | 学会"用客户听得懂的话讲产品" |
| 云安全架构 | 云上三大件、云安全产品、架构设计 | 理解"云上和机房的区别" |
| 类型 | 指南 | 适合 |
|---|---|---|
| 金融行业 | 金融行业安全产品映射手册 | 面银行客户前必读 |
| 制造业 | 制造业工控安全产品映射手册 | 面制造客户前必读 |
| 医疗行业 | 医疗行业安全产品映射手册 | 面医院客户前必读 |
| 政务行业 | 政务行业安全产品映射指南 | 面政府客户前必读 |
| 态势感知(跨行业) | 各行业态势感知产品指南 | 理解探针-引擎-平台三层架构在不同行业的差异 |
| 产品组合策略 | 安全产品组合策略指南(XDR vs SOC) | 理解XDR/SOC/SIP的产品定位和客户画像匹配 |
| 敏感度地图 | 各行业方案敏感度地图 | 不同行业对方案中什么最敏感的速查+会中识别法 |
- 面试题库(PDF版) — 方便打印和阅读
- 案例演练 — 从7个案例中选一个,用面试话术部分练习表达
- DVWA环境 — 搭建本地环境演示漏洞效果
- 方案敏感度识别 — 用各行业方案敏感度地图的会中快速识别法练习判断客户方向
- 异议处理练习 — 用金字塔回应框架练习应对客户异议
- 三十天速成计划 — 从零到能独立面对客户
不知道从哪里找真实案例?
├── README.md # 本文件
├── INDEX.md # 全局索引
├── XSS/ # Web安全基础 - XSS跨站脚本
│ ├── README.md
│ ├── Reflect-XSS/ # 反射型XSS实战 + PDF报告
│ ├── STORE-XSS/ # 存储型XSS实战 + PDF报告
│ └── DOM-XSS/ # DOM型XSS实战 + PDF报告
├── SQL-Injection/ # Web安全基础 - SQL注入
│ ├── README.md
│ ├── DVWA-SQL-Injection.pdf
│ └── payloads.sql
├── CSRF/ # Web安全基础 - CSRF跨站请求伪造
│ ├── README.md
│ └── DVWA CSRF 渗透测试训练报告.pdf
└── Case-Study/ # 售前案例与学习资料
├── Learning-materials/ # 基础知识与方法论
│ ├── B 端企业安全需求与法规体系指南.md
│ ├── 安全产品指南.md
│ ├── 云安全基础 + 架构图学习指南.md
│ ├── 金融/制造业/医疗/政务行业安全产品映射手册.md
│ ├── 各行业态势感知产品指南.md ← 新增
│ ├── 安全产品组合策略指南(XDR vs SOC).md ← 新增
│ ├── 售前金字塔回应框架.md ← 新增
│ ├── 各行业方案敏感度地图.md ← 新增
│ ├── 三十天计划.md
│ ├── 案例学习资源汇总.md
│ ├── Web安全技术关联指南.md
│ ├── 四维追问框架.md
│ ├── 场景化询问顺序.md
│ ├── 案例引用四法.md
│ └── 售前安全工程师面试题库.pdf
├── examples/ # 行业案例(7个)
│ ├── Retail-company-attack-attribution.md
│ ├── Online-education-system.md
│ ├── Bank-data-security-compliance.md
│ ├── Core-system-security-of-tertial-hospitals.md
│ ├── Safety-protection-of-industrial-control-system.md
│ ├── Security-system-of-government-cloud-platform.md
│ └── sangfor-mss-meiyijia.md
└── templates/ # 案例模板
└── case-study-template.md
第1步:打基础
├─ 读《B端企业安全需求与法规体系指南》→ 理解客户为什么要买安全
├─ 读《安全产品指南》→ 学会通俗讲产品
├─ 读《云安全基础 + 架构图学习指南》→ 理解云和机房的区别
└─ 练DVWA实战 → XSS/SQL注入/CSRF漏洞原理与防御
第2步:学方法
├─ 读《四维追问框架》→ 学会问对问题
├─ 读《场景化询问顺序》→ 学会灵活调整
├─ 读《案例引用四法》→ 学会讲好案例
└─ 读《金字塔回应框架》→ 学会应对异议
第3步:看案例
├─ 精读2-3个同行业案例
├─ 练习面试话术部分
└─ 记录自己的思考
第4步:练实战
├─ 搭建DVWA环境演示给客户看
├─ 模拟面试场景
├─ 用《各行业方案敏感度地图》练习识别客户方向
└─ 反复打磨表达方式
第5步:去面试
├─ 刷面试题库
├─ 准备1-2个拿手案例
└─ 自信上场
| 版本 | 日期 | 更新内容 |
|---|---|---|
| v0.4 | 2026-05 | 新增售前方法论体系(金字塔回应框架)、跨行业指南(态势感知+方案敏感度地图+产品组合策略)、更新README/INDEX |
| v0.3 | 2026-05 | 新增4大行业产品映射指南(金融/制造/医疗/政务),完善基础知识体系 |
| v0.2 | 2026-05 | 新增Web安全基础模块(XSS/SQL注入/CSRF),统一文件名,修正全部链接 |
本项目持续更新中,欢迎通过 GitHub Issues 提交建议或贡献案例。