所面试的公司:河北移动
薪资待遇:无,公司安排
所在城市:河北移动
面试职位:蓝方
面试问题:
1、 公司安排hw,投简历,记得当时面试谈了30分钟左右,首先从面试我的角度来说,我觉得hw面试跟工作面试是一样的。下面分享一下我自己的面试经验,我也是第一次参加工作,没有什么经验,就简单跟同学们分享一下面试中的问题,勿喷。
2、 面试官:首先来一段自我介绍吧
自我介绍就讲述自己在大学的专业,我大学不是学安全的,所以就讲述了我如何接触安全,当然是从掌控安全接触并开始学起的。
3、 你觉得sql注入waf如何绕过
常见的有/*/注释绕过,注释代替空格,/!/内联注释绕过,/!50001*/版本号绕过,url编码绕过,特殊字符绕过%0a换行,使用空字节%00,等价替换等等。认真听nf老师讲的课,都可以回答上来的。
4、 还有没有做过别的样子的sql注入
有,post注入。搜索框的注入,登陆处的注入。
5、 讲述一下搜索框注入的方法。
这里的语法基本上是跟普通的注入是一样的,搜索框文本注入闭合是有区别的,搜索1’如果报错可能存在漏洞,那么就尝试闭合+注释,1’ and 1=1 and ‘1’=’1。如果1=2报错那么这里就确定存在注入了,接下来构造语句就可以了。
6、 你擅长什么类型的漏洞。
逻辑漏洞,我觉的逻辑漏洞比较常见,而且比较简单。
7、 都挖到过什么类型的逻辑漏洞,举个例子
(1)支付漏洞.
如果系统没有做好价格,数量,支付状态检测,那么就可能存在了支付漏洞,通过修改对应的传参,例如商品的金额,以低价购买高价的物品。
(2)手机验证码绕过,任意密码重置。
此漏洞也是由于系统没有做好检测,只是前端进行了校验,那么通过bp改包就可以绕过。例如在修改密码的地方,放包,抓取响应的状态,修改数值,例如0改为1,false改为true,在放包,就可以达到欺骗客户端的操作。这样的话,找寻大量的手机号,通过抓包改包导致了任意密码重置。
(3)邮箱验证码可伪造。
例如在找会密码的地方,会让用户输入邮箱,然后给你发送一段链接,通过去邮箱查看链接,可以发现中间的一些值是加密的,可通过解密来发现,这个值是你的邮箱,或者一串随机值,那么就可以尝试构造这串值,在另一个用户的地方找回密码
8、 我看你之前做过hw,你能讲讲你当时是怎么做的吗。
第一次参加hw,没有什么经验,通过一些设备来查看攻击流量,分析日志,溯源。
9、 你做过漏扫嘛,你会用哪些漏扫工具
做过,有用awvs,appscan,nusses和绿盟的一些设备,基线也做过
10、说一下渗透测试的流程,信息收集的流程
(1) 确定目标.
(2) 信息收集:收集域名,端口,后台,登陆点,中间件,cms,弱口令,历史漏洞等
(3) 漏洞发现。
(4) 漏洞利用。
(5) 信息整理。
11、设备上的攻击行为你是如何分辨的的
一些常见的恶意攻击,比如sql注入,xss都很明显,都是些常用的语句,有一些恶意访问,例如,木马连接事件,可以通过访问目标的访问过的路径,来查看是否是误报等,恶意的蠕虫木马,觉得异常的情况,可以通过百度搜索,一般都可以搜索到一些信息。Weblogic攻击,我遇到的大部分都是通过扫描器来扫描的,去访问一下目录,看一下响应response,我碰到的都是没成功的,还是比较幸运的。
12、你了解weblogic反序列化嘛
额,这个没接触过,还真没回答上来
13、你会内网渗透嘛
这个也不会,也没答上来,太菜了
14、你平时都在那里挖洞
在漏洞盒子,edusrc平台还有补天
面试结果:通过
面试难度:困难
面试感受:体验还不错,面试官问的方面很广,需要了解多一些的知识,学会了学院教的东西,可以答上来一半以上了
给大家的建议:学校的课程认真听,基本上没什么问题。平时多看看安全客,tools,freebuf的文章,多学习一些干货,提升很快的。
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
admin | 1000.00 | 0 | 2020-06-17 14:02:11 | 面试分享奖励! |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
帆先生
发表于 2020-6-13
如果对各位哥哥有帮助点个赞再走吧
评论列表
加载数据中...
holic
发表于 2020-7-9
我面试的护网还需要会逆向?????????!!!!!!!!!!!!!!!我是日他狗了
评论列表
加载数据中...
无心法师
发表于 2020-6-13
过了吗
评论列表
加载数据中...
帆先生
发表于 2020-6-13
过了呀
评论列表
加载数据中...
zjq199708072008
发表于 2020-6-14
大佬666
评论列表
加载数据中...
mq
发表于 2020-6-14
大佬 你是怎么成为综合学员的
评论列表
加载数据中...
cmyszhynfs
发表于 2020-6-17
大佬 你是怎么成为综合学员的
评论列表
加载数据中...
骚骑
发表于 2020-6-19
大佬 你是怎么成为综合学员的
评论列表
加载数据中...
1399546819
发表于 2021-8-15
。。。
评论列表
加载数据中...