初入江湖-2019年秋招面试[安全岗]

时间 2019-11-19

标签江湖 2019年面试安全栏目快乐工作繁體版

原文原文链接

20190831 - 阿里一面 (34分钟)

你在学校学习安全的方面，主要学习了什么
CSRF了解吗？讲讲技巧
蠕虫是怎么实现的
你有挖过漏洞吗？讲讲漏洞的发现（我讲了阿里一个高危，json组合劫持）
json劫持怎么防护
爬虫了解吗，原理？
笔试感受怎么样（还能够，IoT部分没学到）
二进制漏洞了解吗（直接说还没学到）
工控学到了吗（直接说还没学到）
有没有参加过CTF之类的比赛（才刚学几个月就直接说刚学还没参加过）
网络了解吗，HTTP切片是什么（讲了点HTTPS通讯的创建）
TCP有哪些标识符
怎么开发一个TCP服务器
数据库了解吗，数据库的事务和锁的区别
数据库是怎么加锁的
乐观锁和悲观锁
若是让你开发一个登陆界面你应该怎么作
sqlmap的原理怎么实现的，都提供哪些注入方式
你以为怎么开发sqlmap，能开发到什么程度
你有什么想问的，我就问了以前遇到的问题（DDoS）

总结：上午9:30来了一通电话，标题杭州就感受不太对劲，说实话当时整我的都是懵逼状态，刚睡醒迷迷糊糊的，感受开头答得不是很好。一切随缘吧，经历了这一场，体现出了本身还有不少不足不完善的地方，后续我会更加努力去钻研学习。css

20190909 - 长亭一面 (28分钟)

安全方面主要学习了什么
有没有作过安全项目，或者开发的一下工具（Redis未受权检测的小工具）
除了python还用过哪些语言（简单介绍了java的项目）
sql注入中盲注都有哪些形式，怎么进行盲注
还经过哪些手段注入
都用过哪些工具（burp、sqlmap、awvs）
有没有了解过SSRF，若是在后台限制了127.0.0.1的正则防护，该怎么绕过（SSRF绕过思路）
有挖过APP漏洞吗？
APP怎么对代理进行检测
PHP的序列化反序列化问题（反序列化里的符号表明什么意思）
Java的序列化反序列化问题（相似流量检测的问题）
linux不一样版本的文件系统有什么区别
TCP三次握手
一直发送第一个握手包会出现什么状况
DoS攻击还包含哪几种
UDP反射放大
HTTP1.0和HTTP1.1的区别
RSA经过公钥仍是私钥加密
数字签名的加签和验签过程，验签过程在哪一步
说一下常见端口21，22，23对应的服务
说一下还有什么常见的端口（80，443，3306，3389，6379等等）
Redis对应的6379端口，怎么拿shell
不一样的Redis版本写shell有什么区别，这个漏洞有什么版本限制
若是有一个密码重置页面，能够经过手机发送验证码或邮箱发送验证码，输入验证码后修改密码。请问这个页面有哪些能够测的逻辑漏洞
经过邮箱发送的密码重置链接须要注意什么
你还有哪些问题须要问的？

总结：感受还能够，重点在反序列化漏洞，还没学的很深，面后怒补知识！vue

20190911 - 360-上海Web安全一面 (28分钟) [简历面]

继续努力java

java反序列化漏洞，反序列化是怎么会执行命令的python
阿里的FastJson反序列化漏洞了解吗？（能够去了解一下）linux
SQL注入的原理web
sqlmap的读取文件用什么参数面试
sqlmap的几个参数的用法，有没有编写过tampersql
讲讲XSS，绕过方式（提到了iframe）shell
iframe标签能够读取cookie吗？数据库
css注入获取token有去了解吗？
Ajax怎么请求一个js文件（能够去了解一下，XSS平台有用到）
学习安全的过程（讲到了曾经挖到的json劫持漏洞）
jsonp有什么做用，怎么实现jsonp的调用（细到调用的具体方法）
burp怎么抓app的包（CA证书之类的）
vue了解吗，vue的几个漏洞
讲讲复现过的漏洞，我讲了Redis的漏洞复现。
还有没有其余的漏洞复现经历，BlueKeep，
你用什么语言开发的Redis未受权检测工具，怎么实现的
用python怎么实现请求，urllib库何时会用到
你用java怎么实现网络通讯的（netty网络通讯框架）
若是有个密码重置页面发手机验证码，能够测哪些漏洞点
（可能还有几个问题忘记了，后面补充）

总结：视频面试，简历面基本上都是按照简从来，因此写简历需谨慎！开始很巧也问到了Java的反序列化问题，后来往深了问，有点深度，看来知识怒补的还不够。半路出家的我感受本身的简历有点low。

相关文章

相关标签/搜索

前端面试江湖

江湖X：汉家江湖

Docker命令大全

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。

最新文章

本站公众号

欢迎关注本站公众号,获取更多信息

相关文章

>>更多相关文章<<