初入江湖-2019年秋招面試[安全崗]

20190831 - 阿里一面 (34分鐘)

  1. 你在學校學習安全的方面,主要學習了什麼
  2. CSRF瞭解嗎?講講技巧
  3. 蠕蟲是怎麼實現的
  4. 你有挖過漏洞嗎?講講漏洞的發現 (我講了阿里一個高危,json組合劫持)
  5. json劫持怎麼防護
  6. 爬蟲瞭解嗎,原理?
  7. 筆試感受怎麼樣(還能夠,IoT部分沒學到)
  8. 二進制漏洞瞭解嗎(直接說還沒學到)
  9. 工控學到了嗎(直接說還沒學到)
  10. 有沒有參加過CTF之類的比賽(纔剛學幾個月就直接說剛學還沒參加過)
  11. 網絡瞭解嗎,HTTP切片是什麼(講了點HTTPS通訊的創建)
  12. TCP有哪些標識符
  13. 怎麼開發一個TCP服務器
  14. 數據庫瞭解嗎,數據庫的事務和鎖的區別
  15. 數據庫是怎麼加鎖的
  16. 樂觀鎖和悲觀鎖
  17. 若是讓你開發一個登陸界面你應該怎麼作
  18. sqlmap的原理怎麼實現的,都提供哪些注入方式
  19. 你以爲怎麼開發sqlmap,能開發到什麼程度
  20. 你有什麼想問的,我就問了以前遇到的問題(DDoS)

總結:上午9:30來了一通電話,標題杭州就感受不太對勁,說實話當時整我的都是懵逼狀態,剛睡醒迷迷糊糊的,感受開頭答得不是很好。一切隨緣吧,經歷了這一場,體現出了本身還有不少不足不完善的地方,後續我會更加努力去鑽研學習。css

20190909 - 長亭一面 (28分鐘)

  1. 安全方面主要學習了什麼
  2. 有沒有作過安全項目,或者開發的一下工具(Redis未受權檢測的小工具)
  3. 除了python還用過哪些語言(簡單介紹了java的項目)
  4. sql注入中盲注都有哪些形式,怎麼進行盲注
  5. 還經過哪些手段注入
  6. 都用過哪些工具(burp、sqlmap、awvs)
  7. 有沒有了解過SSRF,若是在後臺限制了127.0.0.1的正則防護,該怎麼繞過(SSRF繞過思路)
  8. 有挖過APP漏洞嗎?
  9. APP怎麼對代理進行檢測
  10. PHP的序列化反序列化問題(反序列化裏的符號表明什麼意思)
  11. Java的序列化反序列化問題(相似流量檢測的問題)
  12. linux不一樣版本的文件系統有什麼區別
  13. TCP三次握手
  14. 一直髮送第一個握手包會出現什麼狀況
  15. DoS攻擊還包含哪幾種
  16. UDP反射放大
  17. HTTP1.0和HTTP1.1的區別
  18. RSA經過公鑰仍是私鑰加密
  19. 數字簽名的加簽和驗簽過程,驗簽過程在哪一步
  20. 說一下常見端口21,22,23對應的服務
  21. 說一下還有什麼常見的端口(80,443,3306,3389,6379等等)
  22. Redis對應的6379端口,怎麼拿shell
  23. 不一樣的Redis版本寫shell有什麼區別,這個漏洞有什麼版本限制
  24. 若是有一個密碼重置頁面,能夠經過手機發送驗證碼或郵箱發送驗證碼,輸入驗證碼後修改密碼。請問這個頁面有哪些能夠測的邏輯漏洞
  25. 經過郵箱發送的密碼重置鏈接須要注意什麼
  26. 你還有哪些問題須要問的?

總結:感受還能夠,重點在反序列化漏洞,還沒學的很深,面後怒補知識!vue

20190911 - 360-上海Web安全一面 (28分鐘) [簡歷面]

繼續努力java

  1. java反序列化漏洞,反序列化是怎麼會執行命令的python

  2. 阿里的FastJson反序列化漏洞瞭解嗎?(能夠去了解一下)linux

  3. SQL注入的原理web

  4. sqlmap的讀取文件用什麼參數面試

  5. sqlmap的幾個參數的用法,有沒有編寫過tampersql

  6. 講講XSS,繞過方式(提到了iframe)shell

  7. iframe標籤能夠讀取cookie嗎?數據庫

  8. css注入獲取token有去了解嗎?

  9. Ajax怎麼請求一個js文件(能夠去了解一下,XSS平臺有用到)

  10. 學習安全的過程(講到了曾經挖到的json劫持漏洞)

  11. jsonp有什麼做用,怎麼實現jsonp的調用(細到調用的具體方法)

  12. burp怎麼抓app的包(CA證書之類的)

  13. vue瞭解嗎,vue的幾個漏洞

  14. 講講復現過的漏洞,我講了Redis的漏洞復現。

  15. 還有沒有其餘的漏洞復現經歷,BlueKeep,

  16. 你用什麼語言開發的Redis未受權檢測工具,怎麼實現的

  17. 用python怎麼實現請求,urllib庫何時會用到

  18. 你用java怎麼實現網絡通訊的(netty網絡通訊框架)

  19. 若是有個密碼重置頁面發手機驗證碼,能夠測哪些漏洞點

  20. (可能還有幾個問題忘記了,後面補充)

總結:視頻面試,簡歷面基本上都是按照簡從來,因此寫簡歷需謹慎!開始很巧也問到了Java的反序列化問題,後來往深了問,有點深度,看來知識怒補的還不夠。半路出家的我感受本身的簡歷有點low。

相關文章
相關標籤/搜索