长春安恒信息网络安全工程师面试分享

蝶舞恋冰   ·   发表于 2020-06-11 16:49:59   ·   面试经验分享

所面试的公司:安恒信息
所在城市:长春
面试职位:安全服务工程师
面试过程:boss直聘按70老师课程指导,认真制作简历,上午投递当天下午接到公司电话,进行初步面试。
面试官的问题:
1、问:用没用过漏扫工具?
答:没有
2、问:用没用过burp,怎么使用的?
答:用过,主要用过proxy,intruder,repeater。
3、问:burp具体是怎么使用的?
答:比如在一个用户修改信息页面,抓数据包查看是否存在越权漏洞,又或者是在支付模块抓数据包分析是否可能存在支付漏洞。
4、问:有没有爆破过验证码?
答:有
5、问:用没用过nmap?
答:用过(当时回答的是-o和-p)
现在想想。主要对工具不是很熟悉。
6、问:假如给你一个网站你会搜集什么?
答:端口,目录,子域名,(当时回答的时候脑袋有些懵)磕磕巴巴又说了子站
7、问:看你是在校生,你的项目经验是怎么来的?
答:参加过src,在src的时候挖掘的
8、问:看你有写代码审计,你对什么语言更熟悉一些?
答:目前只学习了php,还在继续学习
9、问:有没有挖掘过0day之类的?
答:没有
10、问:看你简历上写bypass和掌握多种注入绕过手法,具体是怎么绕过的?
答:我拿安全狗举例的,例如内联绕过,老版本可能会后缀绕过,大小写绕过等。
11、问:具体啥忘了,关于之前说过没有上传过shell,你怎么会知道?
答:了解过
12、问:xss都有什么类型?
答:反射型、存储型、dom型
13、问:挖掘过这些类型的xss吗?
答:挖过反射型,其他类型在靶场试验过
14、问:sqlmap是怎么使用的?你不是不用漏扫?
答:在确定网站存在sql注入的时候时候,怕办
15、问:有没有c段扫描过?
答:怕扫描到政府网站,没有尝试过。
16、问:给你一个上传点你会怎么做?怎么防?
答:文件上传分为黑名单,白名单,黑名单绕过比较容易,白名单比较复杂,但是方
法也有截断、二次渲染、解析漏洞等。。怎么防忘记咋说了。
还有一些碎碎念记不太清了,大致就这些。

面试结果:不太确定主要原因还在上学
面试难度:
面试感受:主要还是课程上面的内容,基础一定、一定、一定要扎实。。别想我一问信息收集。就没说上几个,丢风哥脸了,另外多少要了解一些工具的使用还有一些漏扫。总体感觉还可以电话开始的时候有些紧张,问到技术方面的时候就放松了。。后来想想竟然没有自我介绍?
给大家的建议:如果可以多去挖掘一些src获取项目经验,基础一定要扎实,课程学明白没什么大问题,心态要放松,工具可以自行去了解,代码审计那块多注意听一听。就没什么了

用户名金币积分时间理由
Friday 5.00 0 2021-10-26 17:05:40 一个受益终生的帖子~~
admin 1000.00 0 2020-06-12 11:11:41 面试分享奖励!继续加油!

打赏我,让我更有动力~

3 条回复   |  直到 2020-6-14 | 963 次浏览

鲨掉东西
发表于 2020-6-11

给大佬点赞

评论列表

  • 加载数据中...

编写评论内容

无心法师
发表于 2020-6-13

大佬666

评论列表

  • 加载数据中...

编写评论内容

ddsdl
发表于 2020-6-14

过了吗

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.