沈阳安恒信息面试分享

zt   ·   发表于 2020-06-22 16:29:17   ·   面试经验分享

所面试的公司:安恒信息
所在城市:沈阳
面试职位:渗透测试实习生
面试过程:第一天直接官网投简历,第三天中午进行一面,第5天下午进行二面,第七天上午进行三面。
一面面试官的问题:
1、问:HTTP请求头都有什么?
答:GET、POST、HEAD、PUT。
2、问:PUT请求具体语句是什么?
答:$ curl -X PUT -d ‘参数’ 路径。
3、问:sqlmap里post注入怎么跑?
答:python sqlmap.py -r a.txt 或者 sqlmap -u 网址 —forms。
4、问:简单说一下structs2框架。
答:我太菜了。。。这个没答上来。
5、问:CDN绕过?
答:(1)从子域名入手,某些企业业务线众多,有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。
(2)利用网站漏洞,如果目标站点存在漏洞,这就没办法避免了。例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、网页源代码泄露、svn信息泄 露信、github信息泄露等。
(3)历史DNS记录,查询ip与域名绑定历史记录,可能会发现使用CDN之前的目标ip。
(4)Mx记录或邮件,很多站点都有发送邮件sendmail的功能,如Rss邮件订阅等。而且一般的邮件系统很多都是在内部,没有经过CDN的解析。可在邮件源码里面就会包含服务 器的真实 IP。
(5)国外请求,通过国外得一些冷门得DNS或IP去请求目标,很多时候国内得CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。
(6)Zmap大法,扫描全网,只要44分钟。
6、问:简单说一下ms17-010的紧急响应。
答:说了个编号,给我整的一愣,但还好知道是永恒之蓝。
对于已经感染的系统:
(1)断开已经感染的主机系统的网络连接,防止进一步扩散;
(2)优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。
(3)已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无 相关漏洞后再恢复网络连接。
对于未感染的系统:
(1)拔掉网线之后再开机启动
(2)做好重要文件的备份工作(最好备份到存储介质中)
(3)开启系统防火墙,并设置阻止向445端口进行连接,可以使用以下命令开展:
7、问:Redis的漏洞都有哪些?
答:redis未授权访问漏洞、远程代码执行漏洞。
8、问:简单说一下redis未授权访问的利用?
答:https://www.freebuf.com/vuls/162035.html
9、问:你现在还在上学,那些项目经验是哪里来的?
答:参加过src,在src的时候挖掘的。
二面面试官的问题:

1、问:说一下CVE-2014-0160漏洞原理?
答:https://blog.csdn.net/weixin_43886632/article/details/88050773
2、问:了解Linux么?
答:了解一些基础,
(接着问了一些Linux的常见口令)。
3、问:之前做过完整的渗透测试么?
答:无。
4、接着又问了问我的情况,在哪上学,现在在哪里,期望薪资,什么时候能入职。

三面面试官的问题:
这一面主要是谈了谈个人的一些情况,谈了谈价钱啥的。
面试结果:通过
面试难度:简单
面试感受:这时俺的第一次面试,总体来说感觉问题挺简单的,奈何本人太菜,有些问题没有回答的很好,不过沈阳好像是很缺人,很顺利的就通过了。。。大家只要把课上内容学好就没什么问题,记得可以补习一下Linux的基础,再看一看一些经典的漏洞。
给大家的建议:别老欺负学校,多打一打互联网公司的洞,多拿点白帽子奖金,基础很重要。

打赏我,让我更有动力~

5 条回复   |  直到 2021-8-4 | 1195 次浏览

holic
发表于 2020-6-23

https://blog.csdn.net/weixin_43886632/article/details/88050773
这文章怕不是原理吧,这只是说一下怎么证明漏洞,然后怎么使用,楼主当时就是按照这篇文章回答的吗

评论列表

  • 加载数据中...

编写评论内容

cg1998
发表于 2020-6-25

有点好奇二面的时候询问了一个漏洞编号真的需要能够回答出来吗?

评论列表

  • 加载数据中...

编写评论内容

zzy0305
发表于 2020-7-2

PUT CND 和 漏洞编码 一点没有接触过

评论列表

  • 加载数据中...

编写评论内容

marz13
发表于 2020-7-8

感觉实习生什么的就是坑,大家还是不要去吧

评论列表

  • 加载数据中...

编写评论内容

蛋蛋超人
发表于 2021-8-4

感谢学长,学到了

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.