继笔试后，奇安信第一波面试开始。。。

懵逼，懵逼的不是面试咋样，而是当时在客户现场渗透，后面坐着天融信的，俺是x盟的，然后一个来自奇安信的电话响了。尴尬至极。。
更懵逼的是。。我自己投的到底是个啥岗位？？？自称实验室啥的来面试。。。

面试题：
1.做个自我介绍
2.你自己有哪些cve漏洞
3.阐述一下structs2的漏洞特征，以及怎么利用它
4.阐述一下weblogic的漏洞特征，以及近期利用的洞，说出cve编号（懵逼，貌似从来没有记过cve编号，不过记得前两周有个weblogic爆出，看过大佬拿poc抓肉鸡）
5.会写poc吗？给你漏洞特征，你能写出poc吗？对poc的研究感兴趣吗？
6.对linux有了解吗？linux查看端口占用，杀死进程的命令
以上是非简历上的。。。

然后他开始说，你擅长啥？我问你擅长的。
开始面试简历了。
1.xxe原理，怎么用？会写xml吗？
2.dns-log原理，哪些函数？
3.反序列化原理，怎么用？
4.arp欺骗原理？
5.看你会sql注入，sql注入流程是什么？发现注入点后有什么作用？（俺回答的可以尝试拿用户名密码，登入后台传webshell），除了拿密码发现注入点还有什么用处？（懵逼状态。。。）sql注入如何防范？（这是参数化查询，准们研究过。）
6.xss的分类？dom xss和反射型xss有什么区别？现在让你写js代码，你能用dom xss干什么？（俺回答的盗取cookie），除了盗取cookie还能干什么？？？（被紧追不舍问的懵逼。。。）
7.httponly的作用？（俺说的防止xss盗取cookie），紧接着又问除了防盗cookie，httponly还有什么作用？？？（懵逼。。。）

赶紧去看一下自己投的啥岗位，因为他和我说，他们不是做渗透测试的，好像做啥研究的。。。