继笔试后,奇安信第一波面试开始。。。

wujianhang   ·   发表于 2020-11-10 19:42:19   ·   面试经验分享

懵逼,懵逼的不是面试咋样,而是当时在客户现场渗透,后面坐着天融信的,俺是x盟的,然后一个来自奇安信的电话响了。尴尬至极。。
更懵逼的是。。我自己投的到底是个啥岗位???自称实验室啥的来面试。。。

面试题:
1.做个自我介绍
2.你自己有哪些cve漏洞
3.阐述一下structs2的漏洞特征,以及怎么利用它
4.阐述一下weblogic的漏洞特征,以及近期利用的洞,说出cve编号(懵逼,貌似从来没有记过cve编号,不过记得前两周有个weblogic爆出,看过大佬拿poc抓肉鸡)
5.会写poc吗?给你漏洞特征,你能写出poc吗?对poc的研究感兴趣吗?
6.对linux有了解吗?linux查看端口占用,杀死进程的命令
以上是非简历上的。。。

然后他开始说,你擅长啥?我问你擅长的。
开始面试简历了。
1.xxe原理,怎么用?会写xml吗?
2.dns-log原理,哪些函数?
3.反序列化原理,怎么用?
4.arp欺骗原理?
5.看你会sql注入,sql注入流程是什么?发现注入点后有什么作用?(俺回答的可以尝试拿用户名密码,登入后台传webshell),除了拿密码发现注入点还有什么用处?(懵逼状态。。。)sql注入如何防范?(这是参数化查询,准们研究过。)
6.xss的分类?dom xss和反射型xss有什么区别?现在让你写js代码,你能用dom xss干什么?(俺回答的盗取cookie),除了盗取cookie还能干什么???(被紧追不舍问的懵逼。。。)
7.httponly的作用?(俺说的防止xss盗取cookie),紧接着又问除了防盗cookie,httponly还有什么作用???(懵逼。。。)

赶紧去看一下自己投的啥岗位,因为他和我说,他们不是做渗透测试的,好像做啥研究的。。。

用户名金币积分时间理由
李的姓名 1.00 0 2020-11-18 09:09:38 披荆斩棘 后来者受益

打赏我,让我更有动力~

1 条回复   |  直到 2020-11-10 | 991 次浏览

holic
发表于 2020-11-10

大佬有没有链接,我觉得这适合我

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.