最近试着投了几家公司的实习面试,一方面原因是为了锻炼自己,看看哪部分不足需要弥补,另一方面是希望可以进入公司跟大牛学习。
安恒
简历投递:2020-05-14
- 第一次面试,脑子一片空白,很多点答的都比较乱
- 14号投递简历
- 15号电话技术面
- 18号电话HR面
一面
- 电话技术面:2020-05-15
- CTF/SRC经历
- 渗透测试流程:信息收集、漏洞挖掘、内网渗透、输出报告
SQL注入
- 手工注入
- SQL注入存在WAF、CDN,怎么注入
- 存在CDN怎么找源站
- 怎么绕过WAF
- SQL注入存在CSRF Token,不允许批量发包怎么办
Python
- 会不会写POC
- 有没有写过多线程工具
- 有没有Github项目
- 假如上面的Token可以绕过,能否用Python写出相关工具
- 有没有写过Web安全相关场景的爬虫
- 常见解析漏洞:IIS6、IIS7.0/7.5、Nginx、Apache
PHP
- 反序列化原理
- PHP伪协议
其它
- 有没有接触过APP漏洞挖掘
- 有没有了解过逆向、物联网等领域
- 博客内容是否原创
- 有没有开发什么好的工具或研究文章
二面
- 电话HR面:2020-05-18
- 主要以了解基本情况为主,包括实习时间、薪资等
- 然后说明了一下公司的情况、具体工作内容等
- 没问技术
长亭
简历投递:2020-05-14
- 14号投递简历,15号早上HR就打电话来问了一些基本情况和意向工作城市,然后给我安排意向城市的面试官
- 18号中午HR打电话来约20号下午3点电话技术面,后来改期到18号当天下午4点
- 19号视频HR面
一面
- 电话技术面:2020-05-18
基本情况
- 自我介绍、项目经历
- 印象最深刻的漏洞
- CTF比赛经历
SQL注入
- 注入类型
- 报错注入常用函数
- 联合查询步骤
逐个/一次性爆出列名分别用什么
limit
group_concat
- DNSLog盲注
- SQL注入绕过
XSS
- 怎么测试
- XSS分类
- 各类型XSS区别
- CORS产生原因
- 绕过同源策略的方法
文件
- 上传绕过
- 常见解析漏洞
文件包含漏洞需要开启什么函数
allow_url_fopen
allow_url_include
- 如何通过文件包含漏洞去读取页面源码
- XXE产生原因及危害
SSRF
- 原理
绕过
- 进制转换
- 协议绕过
- 短网址
- DNS解析
- 编码
- 利用方法
- PHP反序列化
逻辑漏洞
- 了解哪些逻辑漏洞
支付可能存在的漏洞,修复方法
- 签名
其它
- 有没有接触过移动APP
- 有没有接触过内网渗透
- 代理
- 代码审计经验
二面
- 视频HR面:2020-05-19
- 主要谈薪资、入职时间等
其它
另外还投了深信服和奇安信,但是这2家的面试时间相对较晚,综合个人情况考虑了下就没有参加。
版权属于:Naraku
本文链接:https://www.naraku.cn/posts/80.html
本站所有原创文章均采用 知识共享署名-非商业-禁止演绎4.0国际许可证 。如需转载请务必注明出处并保留原文链接,谢谢~
我只听说过深信服,公司采购他们的设备。但是不妨碍我膜拜大佬……
安恒是杭州安恒信息;长亭是阿里的子公司;奇安信的前身是360,现在拆成奇安信和奇虎360了
大佬NB
牛逼~羡慕~
自卑的我~
牛逼