面试经验分享

所面试的公司：星空信息安全技术

薪资待遇：hr说要保密

所在城市：广州

面试职位：渗透测试工程师

面试过程：

我是大专应届生，在BOSS直聘填写个人信息和简历后开始跟面试官聊，对你感兴趣的都会向你索要简历，把简历发过去基本都会回复你。叫你现场面试或者电话面试，选好时间然后进行面试，面试问一些基础的问题并不是很深入，因为你简历写什么就问哪方面，写的要符合你的真实情况，一面就过了，可能比较缺人，注意不要太慌张慢慢来，学院教的完全够用

面试官的问题：

1、简单的介绍一下自己

这里就介绍自己是那个学校毕业的，然后在这期间如何碰到网络安全这方面，然后就说自己在网络安全这方面的兴趣和爱好，这里大概1-3分钟自己把控

2、 你一般从什么地方学习

这里就说安全客/先知/安全命脉，说你经常逛的安全社区

3、说说常见的漏洞

把学院学的漏洞都说一遍
SQL/盲注/延时盲注/HEAD注入/宽字节/DNS注入/偏移注入/Cookie注入/报错注入/反弹主任/逻辑漏洞/XSS/CSRF/SSRF/变量覆盖/反序列/文件包含/XXE

建议去了解OWASP TOP10 可能会问到，反正我没被问这个

4、SQL注入是怎么形成的

用户可以控制输入
原本程序执行的代码，拼接了用户输入的数据执行，最终达到欺骗服务器达到恶意的SQL语句

5、如何防御？

1.使用参数化语句，尽量不要拼接SQL
2.过滤特殊字符
3.验证参数

6、你的渗透流程是？

1.获得真实IP，开放端口，系统版本
2.查看使用了什么CMS
3.WHOIS 查询
4.子域名/目录/C段/旁站收集

7、如何获得真是IP

国内可能有CDN，可以尝试挂代理用国外去ping

8、国外现在一般都有CDN

可以尝试用SSRF探测

8、你为什么想接触这一行

这里不用教，说你对这一行很向往也很喜欢

9、如何面试通过，什么时候能上岗

随时可以

10、 就是这边上班可能会有段时间要夜班可以接受吗？

如有必要可以的

11、还有什么想问的吗？

我就很直接了，面试官你说说看你觉得怎么样，我能通过吗？
面试官：我觉得可以，得看看上头
OK，没什么问的了，谢谢，拜拜
面试官：嗯 88

面试结果： 通过

面试难度：中下左右

面试感受：轻松

给大家的建议：学好课程 挖些SRC，再准备简历。询问一下70老师。尽量把OWASP TOP10背下来以防万一，面试心态放平，然后面试前可以多做一些准备，反正也不碍事

最后祝你们也尽早找到工作！～