最近试着投了几家公司的实习面试,一方面原因是为了锻炼自己,看看哪部分不足需要弥补,另一方面是希望可以进入公司跟大牛学习。

安恒

简历投递:2020-05-14
  • 第一次面试,脑子一片空白,很多点答的都比较乱
  • 14号投递简历
  • 15号电话技术面
  • 18号电话HR面

一面

  • 电话技术面:2020-05-15
  • CTF/SRC经历
  • 渗透测试流程:信息收集、漏洞挖掘、内网渗透、输出报告

  • SQL注入

    • 手工注入
    • SQL注入存在WAF、CDN,怎么注入
    • 存在CDN怎么找源站
    • 怎么绕过WAF
    • SQL注入存在CSRF Token,不允许批量发包怎么办

  • Python

    • 会不会写POC
    • 有没有写过多线程工具
    • 有没有Github项目
    • 假如上面的Token可以绕过,能否用Python写出相关工具
    • 有没有写过Web安全相关场景的爬虫
  • 常见解析漏洞:IIS6、IIS7.0/7.5、Nginx、Apache

  • PHP

    • 反序列化原理
    • PHP伪协议

  • 其它

    • 有没有接触过APP漏洞挖掘
    • 有没有了解过逆向、物联网等领域
    • 博客内容是否原创
    • 有没有开发什么好的工具或研究文章

二面

  • 电话HR面:2020-05-18
  • 主要以了解基本情况为主,包括实习时间、薪资等
  • 然后说明了一下公司的情况、具体工作内容等
  • 没问技术

长亭

简历投递:2020-05-14
  • 14号投递简历,15号早上HR就打电话来问了一些基本情况和意向工作城市,然后给我安排意向城市的面试官
  • 18号中午HR打电话来约20号下午3点电话技术面,后来改期到18号当天下午4点
  • 19号视频HR面

一面

  • 电话技术面:2020-05-18

  • 基本情况

    • 自我介绍、项目经历
    • 印象最深刻的漏洞
    • CTF比赛经历

  • SQL注入

    • 注入类型
    • 报错注入常用函数
    • 联合查询步骤

    • 逐个/一次性爆出列名分别用什么

      • limit
      • group_concat
    • DNSLog盲注
    • SQL注入绕过

  • XSS

    • 怎么测试
    • XSS分类
    • 各类型XSS区别
    • CORS产生原因
    • 绕过同源策略的方法

  • 文件

    • 上传绕过
    • 常见解析漏洞

    • 文件包含漏洞需要开启什么函数

      • allow_url_fopen
      • allow_url_include
    • 如何通过文件包含漏洞去读取页面源码
  • XXE产生原因及危害

  • SSRF

    • 原理

    • 绕过

      • 进制转换
      • 协议绕过
      • 短网址
      • DNS解析
      • 编码
    • 利用方法
  • PHP反序列化

  • 逻辑漏洞

    • 了解哪些逻辑漏洞

    • 支付可能存在的漏洞,修复方法

      • 签名

  • 其它

    • 有没有接触过移动APP
    • 有没有接触过内网渗透
    • 代理
    • 代码审计经验

二面

  • 视频HR面:2020-05-19
  • 主要谈薪资、入职时间等

其它

另外还投了深信服和奇安信,但是这2家的面试时间相对较晚,综合个人情况考虑了下就没有参加。

版权属于:Naraku

本文链接:https://www.naraku.cn/posts/80.html

本站所有原创文章均采用 知识共享署名-非商业-禁止演绎4.0国际许可证 。如需转载请务必注明出处并保留原文链接,谢谢~

最后修改:2020 年 06 月 03 日 11 : 12 PM
© 允许规范转载
如果觉得我的文章对你有帮助,请我吃颗糖吧~