总体来说感觉可以,在这之前已经面试过三次了,所以没有刚投简历时候那么紧张了。
我的一面就是技术面,然后隔了一天人事来电话询问入职日期,第三天下午就收到了offer。现在已经在公司实习两周多了。
1、做个自我介绍。
时间控制在一分半左右就好,这里建议涉及到几个专业名词,例如Shell啦、免杀啦什么的,有一点点的专业性,当然,不要太生僻,面试官可比我们专业多了。
2、你的简历上有写过渗透过同学的网站,具体说说细节。
答:首先在他的网站发现注入点,然后SQLMap跑出了数据库密码,默认后台地址登陆,直接写入一句话,蚁剑连接拿到了Shell,新加用户远程登陆服务器。由于只是测试,并没有进行提权。方法也比较简单,因为他也是刚搭建不久。
3、写入一句话的时候,用的payload还记得吗。
答:记得不太清,因为是直接在网上找的payload,比较长,但是记得用到了into_outfile函数。
4、3306、1521这两个端口知道对应什么服务吗。
答:3306是Mysql数据库默认端口、1521是Oracle数据库默认端口。
5、除了SQL注入,你对哪些漏洞比较熟悉。
答:文件上传。它的原理是系统对用户上传的文件类型没有严格过滤,导致攻击者可以上传一句话木马等对网站进行getshell,可以通过大小写、双写、空格、.符号、图片马等方式绕过,通过白名单、黑名单过滤的方式进行防护。
6、实战中有遇到过文件上传吗。
答:并没有。因为觉得自己还需要学习,所以只是打靶场,并没有进行实战。
7、说说你自己做的小项目。
答:(就是一个非常简单的端口扫描工具,没啥技术含量,大佬轻喷)工具针对端口进行扫描,可定义扫描范围,返回开启端口的列表。
8、用过哪些扫描器。
答:Nessus、AWVS、OpenVas都用过,但是AWVS最熟悉也最常用。
9、XSS都有哪些种类。
答:反射型、持久型、DOM型,DOM型是特殊的持久型。
然后就是比较非正式的闲聊了。大概面了20多分钟。其实只要心态放好,别紧张,都还可以,面试官也不会故意为难你。
进入公司和自己学感觉的确不一样,还是建议如果真有机会还是到公司实习一次比较好。
菜鸟分享,大佬轻喷。
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
12366
发表于 2020-7-31
赞
评论列表
加载数据中...
j1tax
发表于 2020-8-6
感谢分享
评论列表
加载数据中...
hcsz
发表于 2020-10-8
感谢分享
评论列表
加载数据中...