深圳某某服科技有限公司面试经验(已通过)

狮主   ·   发表于 2019-10-01 22:49:01   ·   面试经验分享

所面试的公司:深信服
薪资待遇:hr说要保密,比我提出的高。。。。
所在城市:深圳
面试职位:安全测试工程师

面试过程:我是现在是大四,今年7月份的时候去广州安恒面试了一次,直接就是和经理面试,一次过了就能过,可惜虽然和经理聊了30分钟,最后还是没要我。造化弄人,后来,8月初面试了深信服,三面之后,过了18天才通知我,说我被录取了(中间那段时间我都以为我凉透了),真的有点惊喜了,因为面试的时候一面和二面有个非常非常简单的问题没答上来。写的比较简洁,给大家提供一下思路。废话不多说了,祭出面试题。(具体怎么问的也不是很记得了)

面试官的问题:
1、问:做个自我介绍吧。
答:这个就不用写什么了,就是说一些自己和网络安全搭边的一些事啦,相信咋喜欢网络安全的小伙伴都会有一堆说不完的话,我就说了3分钟左右,大佬们可以自己把握时间。

2、问:常用的nmap命令是什么呢?
答:-O,探测操作系统信息;-A,扫描操作系统和服务器版本,跟踪路由;-T,设置扫描强度;-Pn,不ping扫描。

3、问:常用的漏洞扫描工具有哪些?
答:awvs和openvas,nessus。

问:awvs和openvas有什么区别?
答:一个是在windows上用,收费,另一个是在kali上用,免费(这不废话嘛。。。不知道的话只能瞎扯啦。。)

4、问:了解owasp top10吗?有哪些?
答:用户配置不当,信息泄露,xss,sqli,失效的身份认证,xxe,失效的访问控制,反序列化,使用含有漏洞的组件,不足的日志记录和监控
(PS:我好像答上来7个)
5、问:了解xss吗?
答:跨站脚本攻击,可用于窃取用户信息,csrf等,分为反射型,dom型,存储型。
问:他们的区别是什么?
答:反射型xss是直接在输入框插入xss代码,提交后产生弹框,输出对应的信息;存储型xss,写入后能持久保存在页面上;dom型xss,严格来说也属于存储型xss,也是持久保存在页面上,但是他是插入在dom节点上的,比较难发现。
6、问:了解http协议吗?有什么字段?
答:host,referer,orgin,content-type,accept-lnguage,accept-encoding,connection,if-modified-since,cookie,xff,user-agent,请求方法。。。
问:xff和referer的区别是什么?
答:referer是你想要访问的url,xff是你从哪里来,显示ip地址,referer也是显示从哪里来,显示url。

7、问:了解过xxe吗?
答:嗯,就是服务其开启了xml传输的函数,在POST表单页面可以构造playload进行绕过,进而造成命令执行,源码读取,文件信息泄露等。

8、问:挖过src吗?
答:还没开始挖,一直在看基础知识,感觉自己要学的东西还很多,暂时没计划挖洞。

9、问:实际上有过渗透的经历吗?
答:有的,有次老师让我拿下学校XX服务器,,,,
问:在这个过程你都用了什么方法?
答:信息搜集,搜集目标的一切信息,然后上网搜相应漏洞的payload和exp等,web端再用工具扫,手工查看web端各个页面的功能,找找逻辑漏洞等。。。
问:你觉得这次渗透的难点是什么?
答:信息搜集查找网上相应漏洞的exp。。。。

10、问:了解逆向吗,对二进制熟悉吗?
答:了解不多,大概知道逆向的原理,学过汇编,做过几道简单的ctf题。

11、问:sql注入的原理是什么?
答:web应用程序对用户的输入过滤不严谨,导致用户可以构造payload拼接sql语句,获取到数据库的数据。

12、问:宽字节注入的原理是什么?
答:就是编码格式的逃逸,利用不同编码格式占用的字节宽度不同,构造payload使得单引号或其他符号的逃逸,导致语句的闭合,然后就可以构造payload查询数据库的数据了。

13、问:了解什么编程语言,自己写过工具吗?
答:学过c,python,PHP,简单得脚本会写,不过大型一点得工具的话都是从git上下载下来,改改自己能用的。

14、接着就是三面了,放轻松点和hr聊一下人生啊,规划啊什么的。。。
面试结果:通过
面试难度:中
面试感受:一面,二面的时候有点紧张,有个简单的问题没答上来。现在已经在这实习两星期了,这里环境很棒,同事之间都很热情,如果能转正就好啦。
给大家的建议:准备面试前,必看招聘要求,根据要求背一些知识,owasp10当然是必背的,虽然说很多知识和技术我们都会,但是要说出来呢就不一样了,该背的还是得背一下,到时候回答起来也不会至于语无伦次。
附上2017年的owasptop10:http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf**

用户名金币积分时间理由
ly1524634616 20.00 0 2020-10-13 15:03:38 一个受益终生的帖子~~
xzqxzq 4.00 0 2019-11-15 13:01:33 一个受益终生的帖子~~
admin 1000.00 0 2019-10-19 16:04:25 排版好评,学习好评,还能说啥,继续加油牛逼呗
silence丶 4.00 0 2019-10-18 10:10:11 1
silence丶 4.00 0 2019-10-18 10:10:01 一个受益终生的帖子~~
charles 4.00 0 2019-10-10 12:12:30 一个受益终生的帖子~~
charles 4.00 0 2019-10-10 12:12:18 一个受益终生的帖子~~
charles 4.00 0 2019-10-10 12:12:52 一个受益终生的帖子~~
holic 3.00 0 2019-10-03 08:08:36 一个受益终生的帖子~~
柴鱼 4.00 0 2019-10-02 21:09:23 一个受益终生的帖子~~
柴鱼 8.00 0 2019-10-02 21:09:19 一个受益终生的帖子~~
柴鱼 4.00 0 2019-10-02 21:09:18 一个受益终生的帖子~~

打赏我,让我更有动力~

219 条回复   |  直到 2020-11-4 | 6098 次浏览

shadowfiend
发表于 2019-10-17

1

评论列表

  • 加载数据中...

编写评论内容

1040898286
发表于 2019-10-17

sdas

评论列表

  • 加载数据中...

编写评论内容

silence丶
发表于 2019-10-18

1

评论列表

  • 加载数据中...

编写评论内容

lem
发表于 2019-10-19

1

评论列表

  • 加载数据中...

编写评论内容

zrz090602010
发表于 2019-10-21

1111111111

评论列表

  • 加载数据中...

编写评论内容

重案组
发表于 2019-10-21

23123

评论列表

  • 加载数据中...

编写评论内容

mahuim109
发表于 2019-10-22

dsdkdsknvs

评论列表

  • 加载数据中...

编写评论内容


发表于 2019-10-22

66

评论列表

  • 加载数据中...

编写评论内容

ljc142142
发表于 2019-10-24

111111111

评论列表

  • 加载数据中...

编写评论内容

心凉
发表于 2019-10-24

1

评论列表

  • 加载数据中...

编写评论内容

马总
发表于 2019-10-28

@柴鱼

 

评论列表

  • 加载数据中...

编写评论内容

浪子
发表于 2019-10-28

股份的股份

评论列表

  • 加载数据中...

编写评论内容

cccng
发表于 2019-10-29

1

评论列表

  • 加载数据中...

编写评论内容

qwe123
发表于 2019-10-29

123

评论列表

  • 加载数据中...

编写评论内容

wudi
发表于 2019-10-31

1

评论列表

  • 加载数据中...

编写评论内容

81388315
发表于 2019-11-2

 666

评论列表

  • 加载数据中...

编写评论内容

马总
发表于 2019-11-3

评论列表

  • 加载数据中...

编写评论内容

changbiyuan
发表于 2019-11-6

666

评论列表

  • 加载数据中...

编写评论内容

maoxianzhe
发表于 2019-11-9

2

评论列表

  • 加载数据中...

编写评论内容

tianmao
发表于 2019-11-14

1

评论列表

  • 加载数据中...

编写评论内容
首页 1 2 3 4 5 6 7 / 11 跳转 尾页
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.