北京恒某某某面试分享(通过)

骚骑   ·   发表于 2020-05-26 23:09:12   ·   面试经验分享

面试分享

0x00前言

早在半年前,也就是接触安全的第二个月就找到了工作,奈何那时候感觉面试的内容很水,也就没发过,这次感觉还算有些东西可以说的,因此拿出来做个分享。

0x01一面

正在我和小姐姐,愉快的走在马路上,寻找着吃饭地点,这时,我那仅有百分之五电量的水果手机来了一个电话,以下是通话主要内容(面试问题,非顺序排列):

面试官:说下你了解的owap top10
渣渣骚:注入,ssrf,csrf,xss。。。。等

面试官:看你写了熟悉java,php,python,说下哪个比较熟悉,写过相关项目么
渣渣骚:都能看懂相关代码,没写过项目

面试官:对企业军方渗透有了解么
渣渣骚:做过相关项目,个人拙见,除了常见渗透流程外,社工钓鱼也占较高比重。

面试官:给你个登录页你都能想到啥
渣渣骚:逻辑漏洞(未授权访问,验证码绕过,密码可爆破),弱口令,挂马,注入,钓鱼。

面试官:对ssrf有啥了解
渣渣骚:利用dic探测,以及伪协议(当时想说gopher来着,但是前面也交代了当时的环境,一时想不起来这个怎么说了。。。)

面试官:审计过csrf吗
渣渣骚:没有。。。(心里想的全是黑盒)

面试官:说下渗透流程
渣渣骚:信息收集(主动收集被动收集)| 还没说完因为语速过快被切问题了

面试官:对内网渗透有了解么
渣渣骚:信息收集,权限维持,提权,获取域控,横向移动(当时说了一堆)

面试官:说下XXE
渣渣骚:外部实体化,从审计角度来说就是开启了外部实体化,需要用libxml_disable_entity_loader函数禁止。

面试官:说下php审计中的文件包含危险函数
渣渣骚:include(),require()(这个没说出来),当然还有别的也没说

面试官:说下php审计中代码执行危险函数
渣渣骚:eval,assert,还有就记不起来了(回调函数)

面试官:简单说下bypass(注入和webshell)
渣渣骚:注入的话,就是--+/*%0a --+*/,webshell就是利用sql语句写入<?php eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','maoshe'),'select * from info'))['info']);
当然还有其他的,我当时脑抽都忘了。

面试官:python达到什么程度,写过项目么
渣渣骚:根据官方文档能写自己想要的小工具,写poc,给现成的能对其做修改。

面试官:src有排名么
渣渣骚:没有

面试官:应急响应做过么,简单说下
渣渣骚:勒索病毒,先查下log,看是哪里出的问题,是否是rdp爆破的,然后根据勒索病毒版本,查找网上信息,找相关破解工具,进行破解。

面试官:反序列化了解多少
渣渣骚:weblogic(简单举了一个例子),再有就是之前做过的webgoat。

面试官:木马免杀简单说下
渣渣骚:分离,混淆啥的,然后自己整的免杀木马能过火绒,卡巴,360,微软def等等,然后简单说了下原理

面试官:项目流程(好像是这个,记不清楚了,因为没听过,也不会)
渣渣骚:不会

面试官:从业多久了
渣渣骚:半年。

除了这些还问了啥记不清楚了,整个面试用了29分钟,庆幸的是只耗费了百分之三的电量。

0x02二面

假装有二面的样子。。。直接就是hr找我了,然后因为伊人在侧没看见电话嘿嘿嘿。

0x03薪资

未拿到毕业证之前就是3500,其他一律没有,然后就是转正看表现(压榨我…)10-20k之间(就当是10k了)。没有其他补助薪资了(不如目前公司待遇,就是不知道团队氛围如何,能不能学习很多东西)

0x04最后

明天要出去干活,睡觉了,因为第一次分享,有问题地方请多多包涵。

打赏我,让我更有动力~

5 条回复   |  直到 2020-6-10 | 767 次浏览

thekingwl
发表于 2020-5-27

恭喜楼主

评论列表

  • 加载数据中...

编写评论内容

xiaoc
发表于 2020-5-27

骚气哥哥6呢

评论列表

  • 加载数据中...

编写评论内容

holic
发表于 2020-5-27

ssrf不在owasp top 10里面吧

评论列表

  • 加载数据中...

编写评论内容

无心法师
发表于 2020-5-28

大佬6666

评论列表

  • 加载数据中...

编写评论内容

夏天666
发表于 2020-6-10

牛掰plus

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.