第一次面试,视频技术面

zkzw990816   ·   发表于 2020-08-04 15:39:27   ·   面试经验分享

所面试公司:上海匡创信息科技有限公司
薪资待遇:不方便透露
所在城市:北京
面试职位:驻场渗透测试工程师
面试过程:
问了我学历,只有高中,没有去读专科或者是其他的嘛,因为我简历写的高中,我正常回答因为家庭一些不可抗拒因素未完成学业,及专科学习生涯,然后询问了我目前的状态,目前居住地,预计打算多久去往北京,自我介绍!
问答环节:

1、SQL注入的防护方法有哪些?
正常回答,正则过滤,加置网站防火墙,SQL语句转义或删除,合并

2、永恒之蓝的漏洞原理是什么?怎么做到的?
永恒之蓝的漏洞主要通过445文件共享端口对windows进行攻击,拿到主机的最高权限

3、命令注入有哪些?
SQL注入,XSS注入,XXE外部实体注入,数据库注入等等,就是所有注入的方式

4、给你一个目标网站,你该如何进行测试?
信息收集,漏洞挖掘,漏洞利用,清除测试数据,复测报告

5、给你一个后台登陆地点的网站,你能从中发现那些问题?
是否存在弱口令,信息泄露,进入后台之后是否存在文件上传漏洞,文件解析漏洞,中间件漏洞,系统漏洞,验证码绕过漏洞,越权,反序列化漏洞

6、给你一千台服务器和交换机,你会如何进行扫描?(没回答上来,毕竟,我确实不知道,当时太紧张了,汗一直滴在屏幕上,他也晓得我怯场了)
一般情况下公司都会配备企业扫描器来帮助工作或者其他扫描
这上千台服务器肯定会涉及到庞大的资产,那么可以先进行主资产扫描,然后再进行边缘扫描

7、内网渗透了解多少?
我说只是了解,但是没有实战过,毕竟没有条件给我内网渗透

8、中间件有哪些?
IIS、Apache、Nginx、Tomcat、jBoss等等

9、中间件有哪些已知的漏洞?
(一) IIS   PUT漏洞 短文件名猜解 远程代码执行 解析漏洞
(二) Apache 解析漏洞 目录遍历
(三) Nginx  文件解析 目录遍历 CRLF注入 目录穿越

面试结果:通过
面试难度:中
面试感受:提问的内容主要还是简历上面写的一些东西,会穿插一些实战方面的问题,如上面的第6题,给你1000个ip如何进行扫描?
又或者是给你一个目标网站,如何去渗透等等这些实战性问题,总的来说,面试不是非常难得
面试的时候,比较紧张,所以回答的不是很好
给大家的建议:
首先,把课程的基础必须学扎实,其次,面试过程要把面试官当自己未来的同事,可以有说有笑的;如果面试问到的问题,一时无法回答,可以对面试官进行反问,最重要的是通过实战来积累自己的经验,经验非常重要

打赏我,让我更有动力~

2 条回复   |  直到 2020-8-8 | 1217 次浏览

jimbo
发表于 2020-8-7

写的不错。

评论列表

  • 加载数据中...

编写评论内容

nuckive
发表于 2020-8-8

兄弟 你视频面试用的设备是手机吗 我过两天也有2场视频面试 第一次视频面想问问你的经验

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.