所面试的公司:
杭州博彦科技
所在城市:
浙江省杭州市(项目在嘉兴)
面试职位:
阿里云安全工程师
面试过程:
现在在xx公司运维部门,之前有研发需求因此做了一段时间研发,之后接触到运维里面的安全岗位,在负责相关岗位,现在想去一家专做安全这方面的公司
面试官的问题:
1、说一下http referer:
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
2、sqlmap如何扫post注入,如何批量扫描?
①配合burpsuite抓包,保存到txt文件,使用-r 命令进行测试;或者如果是form提交使用—form命令测试;
②一般我使用谷歌语法先批量找url,然后保存txt,使用-m 命令批量测试(一般不加—batch -smart,不然全默认)。
3、sql注入了解吗?盲注流程讲一下,除了sleep函数还有什么?如何getshell?
sql注入xxxxx,盲注流程xxxx,还有BENCHMARK(count,expr),表示expr重复运行count次数消失的时间,一般第二个参数写md5加密之类函数,执行一千万次3秒多一点;
getshell的方法为select xxx into outfile/dumpfile ‘c:/www/1.txt’ ,需要具有写入权限以及知道绝对路径。
4、xss的原理,如何防御?
用户传入参数可控,且当做代码执行;检查用户传入参数,html进行实体编码。
5、csrf的防御?
添加验证码,或者使用随机token。
6、ddos的原理?
“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务,主要是针对主机。cc攻击主要是针对web,是ddos的变种。
7、webshell已经上传如何禁止菜刀等工具连接(当时回答是设置目录权限,问了红领巾辅导员并去百度了一下)?
删除备份恢复数据库功能文件(有的网站后台管理中可以恢复/备份数据库,上传木马成功后,再通过注入法拿到后台管理员的账号密码,进网站后台管理中,使用备份数据库功能将.gif木马备份成.asp木马,在备份数据库路径输入图片上传后得到的路径,提示恢复数据库成功,最后在浏览器输入恢复数据库的asp路径,木马就能运行了),使用安全狗进行拦截,或者扫描杀马。
菜刀绕过waf的方法有很多种,比较常用的有两种(有兴趣可以查下):
1.改超全局变量法(过时了)
2.改连接函数法(常用,可以百度自行了解一下)
菜刀的连接函数为:@eval(base64_decode($_POST[action]));
8、讲一下文件上传?
黑名单、白名单、服务器解析漏洞巴拉巴拉(iis,nginx,apache,Lighttpd)
9、使用过哪些漏扫工具?
awvs ,nessus,绿盟漏扫。
10、一个互联网网站端口如何防护,发现入侵如何解决?
布置防火墙,waf,ips,ids,终端准入,网页防篡改,规范开发代码,关闭危险服务例如SMB,RDP,数据库端口不对互联网访问等,发现异常入侵可在防火墙封禁ip,或者是查看日志。
11、渗透测试流程?
明确目标和授权范围,信息收集,漏洞探测,漏洞验证,利用漏洞获取数据,信息整理并形成报告。
12、TCP/IP四层模型是哪四层?
数据链路层、网络层、传输层、应用层。
13、linux查看某个服务?
ps -aux | grep “服务名称”, ps -ef | grep “服务名称”
14、linux ssh日志放在哪个目录(也是百度的)?
/var/log/secure rhel 系统,其他linux 大致都在/var/log 下。
15、如何查看用户?
net user 或者是whoami查看当前用户
16、nat有那两种模式?
snat,dnat(个人回答,不知是否正确,差点都要说透传之类的开始编了)
17、做过应急响应吗(未做过,只参加过一些演练,以下为百度)?
第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
18、为什么运维做过开发?
刚开始有开发的需求,之后转为运维,接触安全方面工作。
面试结果:
通过
面试难度:
简单
面试感受:
面试的范围还是比较广的,深度不深
给大家的建议:
该厂家主要是安全服务需要项目驻场(绍兴或者嘉兴),应急响应,阿里云的产品,最后给到14k
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
小花生
发表于 2020-7-6
加油 大佬
评论列表
加载数据中...