上海某公司面试分享(已入职实习)

面试感受

总体来说感觉可以，在这之前已经面试过三次了，所以没有刚投简历时候那么紧张了。
我的一面就是技术面，然后隔了一天人事来电话询问入职日期，第三天下午就收到了offer。现在已经在公司实习两周多了。

面试细节

1、做个自我介绍。
时间控制在一分半左右就好，这里建议涉及到几个专业名词，例如Shell啦、免杀啦什么的，有一点点的专业性，当然，不要太生僻，面试官可比我们专业多了。
2、你的简历上有写过渗透过同学的网站，具体说说细节。
答：首先在他的网站发现注入点，然后SQLMap跑出了数据库密码，默认后台地址登陆，直接写入一句话，蚁剑连接拿到了Shell，新加用户远程登陆服务器。由于只是测试，并没有进行提权。方法也比较简单，因为他也是刚搭建不久。
3、写入一句话的时候，用的payload还记得吗。
答：记得不太清，因为是直接在网上找的payload，比较长，但是记得用到了into_outfile函数。
4、3306、1521这两个端口知道对应什么服务吗。
答：3306是Mysql数据库默认端口、1521是Oracle数据库默认端口。
5、除了SQL注入，你对哪些漏洞比较熟悉。
答：文件上传。它的原理是系统对用户上传的文件类型没有严格过滤，导致攻击者可以上传一句话木马等对网站进行getshell，可以通过大小写、双写、空格、.符号、图片马等方式绕过，通过白名单、黑名单过滤的方式进行防护。
6、实战中有遇到过文件上传吗。
答：并没有。因为觉得自己还需要学习，所以只是打靶场，并没有进行实战。
7、说说你自己做的小项目。
答：(就是一个非常简单的端口扫描工具，没啥技术含量，大佬轻喷)工具针对端口进行扫描，可定义扫描范围，返回开启端口的列表。
8、用过哪些扫描器。
答：Nessus、AWVS、OpenVas都用过，但是AWVS最熟悉也最常用。
9、XSS都有哪些种类。
答：反射型、持久型、DOM型，DOM型是特殊的持久型。
然后就是比较非正式的闲聊了。大概面了20多分钟。其实只要心态放好，别紧张，都还可以，面试官也不会故意为难你。

结语

进入公司和自己学感觉的确不一样，还是建议如果真有机会还是到公司实习一次比较好。

菜鸟分享，大佬轻喷。