山东盛隆安全技术有限公司

904815041   ·   发表于 2020-01-01 12:44:25   ·   面试经验分享
     济南山东盛隆安全技术有限公司网络安全面试分享
     所面试公司:山东盛隆安全技术有限公司
     新资待遇:16k+13底薪
     所在城市:山东省济南市
     面试历史:这家公司面试也说来很奇怪,当时我在学院学完相应的课程以后,四处找工作,可是每次都被其它公司拒绝,主要因为我的学历不够,经验欠缺,于是我就在我们学院看面试经验和7lin老师讲的毕业课,才发现,经验不够可以挖src来增长实现项目经验,学历不够可以通过获取证书来弥补自己的学历,于是我努力了几个月以后,就决定再尝试一次,于是在网上向这家公司投了简历,半个月过后,这家公司hr问我,愿不愿意去他们公司面试,这时我非常惊喜,他们说对我的简历很感兴趣,那时候我都在济南,我说可以,hr说你明天下午3点来趟公司吧,到了第二天,我到公司去面试,hr见我很年轻,它说你的简历很吸引我,我想让你来我们公司工作,但是事先你必须回答我以下几个问题,我说可以,于是hr就慢慢问起我来了
 面试官问题
一、 能不能说说sql注入原理?
       答:sql注入原理就是,将用户输入的数据当作代码去执行,也就是直接把语句拼接到数据库当中。
       Hr:不错,下个问题
二、 xss原理及其危害?
答:xss分为反射型xss、存储型xss以及dom-xss,现在最常见的有反射型xss和存储型xss,反射型xss就是通过js代码对自身进行弹窗,而存储型xss对对方服务器进行弹窗,存储型xss可以盗取对方浏览器cookie属于极其严重的漏洞,而dom-xss就是反射存储结合节用docment,渲染
 
Hr:说的也差不多吧,这个过,那能不能告诉如果遇见xss漏洞如何进行加固
答:XSS跨站漏洞,实际上一种html静态页面的代码注入,将代码注入到静态网页中去,在如何防止 XSS攻击上,主要就是对用户输入提交的数据进行安全过滤,对特殊的字符进行安全转义。对网 站里所有的输入包括iframe script等的特征代码,进行严谨的安全审计,包括用户交互功能,提 交,留言板等的接口,也需要在get post cookies变量中进行过滤。对其提交的数据长度,进行安 全限制,前端采用JS安全过滤,后端在服务器端里进行安全过滤。输出的数据也要过滤。
Hr:嗯,下个问题
 
三、 听说过反序列化吗,php了解过吗,java纳?
答:php了解过,但java没有,php反序列化就是反序列化漏洞主要依据serialize序列化和unseialize反序列化 serialize是把状态信息转换成字符串 unserialize把字符串转换成状态信息
转换状态信息进行利用
Hr:嗯,可以?Java反序列化以后工作可以慢慢接触,小王以后多多带带他,但是你别高兴太早,我还有几个问题问你
 
四、 Ssrf用什么危害?
答:ssrf可以直接访问外网不能访问的东西,ssrf可以访问内网专有的后台管理系统,一般内网安全是比较脆弱的,此漏洞的存在大大的危害了内网专属安全程度。一般的企业外网做的是无比的安全,但是内网脆弱不堪,利用此漏洞可以达到一种直接通向内网网站渗透
Hr:嗯
 
五、 你都见过一些什么解析漏洞,如何解决解析漏洞?
答:我最常见Linux下的Apache解析漏洞,解决方法:Apache解析漏洞加固
           打开apache配置文件httpd.conf再最后添加如下代码
          <FilesMatch ".(php.|php3.|php4.|php5.)"
         OrderDeny,Allow
         Deny from all
         </FilesMatch>
         Hr:可以这样解决

六、    你会使用什么渗透测试工具??
答:那多了,我举一些常见的工具吧,sqlmap、burp、netcat、lcx、appscan、x-san、kali-Linux一些简单的工具等等

Hr:这些很有代表性,你说说工具和原理那个更为重要
答:当然原理,原理是挖掘漏洞的核心,只有懂得原理才能挖掘更为优秀质量的漏洞,所以原理非常重要

七、    你会使用python吗?会使用python编写渗透测试工具吗?
答:会,会使用python编写简单的扫描工具和网络爬虫以及拒绝服务式攻击脚本等


面试结果:通过
面试难度:一般
面试感受:前几回在其它公司面试的时候很紧张,这机会面试的时候不那么紧张了,面试还可以
给大家的建议:把我们学院的课程都学通都差不多了,然后想提高自己再学习学习相应的python编写渗透工具,这是加分项,加油吧!!以后我会努力的,你们也要加油,面试经验写的比较完了,大家见谅啊



用户名金币积分时间理由
admin 1000.00 0 2020-01-06 15:03:41 GDPL!

打赏我,让我更有动力~

3 条回复   |  直到 2020-2-22 | 856 次浏览

admin
发表于 2020-1-1

干得漂亮!

就是排版突然崩了!

快整理一下,就给你发奖励呀

评论列表

  • 加载数据中...

编写评论内容

qiushui
发表于 2020-1-16

评论列表

  • 加载数据中...

编写评论内容

17389431816
发表于 2020-2-22

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.