最近试着投了几家公司的实习面试,一方面原因是为了锻炼自己,看看哪部分不足需要弥补,另一方面是希望可以进入公司跟大牛学习。
安恒
√> 简历投递:2020-05-14
- 第一次面试,脑子一片空白,很多点答的都比较乱
- 14号投递简历
- 15号电话技术面
-
一面
电话技术面:2020-05-15
- CTF/SRC经历
- 渗透测试流程:信息收集、漏洞挖掘、内网渗透、输出报告
- SQL注入
- 手工注入
- SQL注入存在WAF、CDN,怎么注入
- 存在CDN怎么找源站
- 怎么绕过WAF
- SQL注入存在CSRF Token,不允许批量发包怎么办
- Python
- 会不会写POC
- 有没有写过多线程工具
- 有没有Github项目
- 假如上面的Token可以绕过,能否用Python写出相关工具
- 有没有写过Web安全相关场景的爬虫
- 常见解析漏洞:IIS6、IIS7.0/7.5、Nginx、Apache
- PHP
- 反序列化原理
- PHP伪协议
其它
电话HR面:2020-05-18
- 主要以了解基本情况为主,包括实习时间、薪资等
- 然后说明了一下公司的情况、具体工作内容等
-
长亭
√> 简历投递:2020-05-14
14号投递简历,15号早上HR就打电话来问了一些基本情况和意向工作城市,然后给我安排意向城市的面试官
- 18号中午HR打电话来约20号下午3点电话技术面,后来改期到18号当天下午4点
-
一面
电话技术面:2020-05-18
- 基本情况
- 自我介绍、项目经历
- 印象最深刻的漏洞
- CTF比赛经历
- SQL注入
- 注入类型
- 报错注入常用函数
- 联合查询步骤
- 逐个/一次性爆出列名分别用什么
limitgroup_concat
- DNSLog盲注
- SQL注入绕过
- XSS
- 怎么测试
- XSS分类
- 各类型XSS区别
- CORS产生原因
- 绕过同源策略的方法
- 文件
- 上传绕过
- 常见解析漏洞
- 文件包含漏洞需要开启什么函数
allow_url_fopenallow_url_include
- 如何通过文件包含漏洞去读取页面源码
- XXE产生原因及危害
- SSRF
- 原理
- 绕过
- 进制转换
- 协议绕过
- 短网址
- DNS解析
- 编码
- 利用方法
- PHP反序列化
- 逻辑漏洞
- 了解哪些逻辑漏洞
- 支付可能存在的漏洞,修复方法
- 签名
其它
视频HR面:2020-05-19
-
其它
x> 另外还投了深信服和奇安信,但是这2家的面试时间相对较晚,综合个人情况考虑了下就没有参加。
长亭2
自我介绍
- 安全相关经历
- 网站渗透思路和流程
- SQL注入
- 分类
- 报错注入常用函数
- 手工注入流程
- 关键数据库名是什么
- SQL注入防御
- 从开发角度用什么方法防御
- 预编译
- 结构化查询
- XSS
- 分类
- 利用方式
- XSS具体是怎么从受害者浏览器将信息发送到XSS平台的
- 防御
- CSRF&SSRF
- CSRF和SSRF的区别
- CSRF怎么防御
- 验证码、二次确认、Referer、token
- SSRF怎么防御
- XXE
- XXE一般用于执行什么攻击
- 文件上传
- 遇到防护怎么绕过
- 其它
- 常见端口
- 以下服务对应端口
- Redis:6379
- Weblogic:7001
- Oracle:1521
- SQLServer:1433
- MySQL:3306
- 讲一下PHP反序列化
- 讲一下Java反序列化
- 有没有接触过Weblogic反序列化
若有收获,就点个赞吧
0 人点赞
