平安银行-电话面

公司名称：平安银行外包

面试地址：深圳

面试职位：渗透测试工程师

面试背景：

Boss上跟一个外包公司聊，然后人家就跟我商量第二天电话面试，最开始我以为是外包公司的面，想不到是平安银行自己面。问题都很简单基础，可惜我前面都给搞忘记完了。。。

面试问题：

1、在工作中，渗透测试占了工作中的多少成分？对 Web 测试是有规划性的进行测试还是有变更才做？《面试官偏重：★★☆》

答：有变更就做，没有变更就一周做一次。

2、在工作中有没有发现一些有意思的漏洞，简单的介绍下。《面试官偏重：★★☆》

因为我是一个转行人，所以没有遇到过，我就拿一个 SRC 来说：“隐藏框”

3、平时测试的针对对象只是公司自己还是说还有其他？《面试官偏重：★★★》

我只能说，只对自己，毕竟我没有接触过这行，不敢吹，万一一会圆不回来那就完了。

4、对 APP 测序是否有了解？就把它当成一个 Web 方式测试还是客户端本身内容也会去看？《面试官偏重：★★★★》

我只能乖乖的说，直接就当成 Web 方法来测。（我要是说客户端本身内容也要测，估计面试官肯定会问我是怎么测的？都测什么内容啊之类的了）

5、对 Java 有没有了解？有没有对 Java 进行测试过？《面试官偏重：★★★★★》

我只能说，我的规划是 Python + Java

6、Sql 注入产生的原理？《面试官偏重：★★★★★》

答：我们输入的数据被当成 Sql 代码给执行了。像一般这种最容易出现的地方比如：传参、cookie、Head 头部 之类的地方

7、一般你是怎么去测试 SQL 注入？《面试官偏重：★★★★★》

我当时直接闷逼，我只能说，能控制的传参。

8、你说的都是可能存在的这个点，那怎么去测试有没有这个点？《面试官偏重：★★★★★》

我就说，1、修改传参值，看下是否有变。2、写一个 updatexml() 函数去看下返回值是否有什么东西。
然后面试官说：“你能接触到源码是吧？那我们可能还不太一样，因为我们是银行，都是黑盒测试的多，源码不公开的，但是我们帮助开发去进行测试，所以也会有接触到源码，所以我们是有点类似于灰盒测试”

9、对没有源码的情况下，要怎么去测试 SQL 注入？《面试官偏重：★★★★★》

我：那只能抓包看传参了。
面试官：“有传参只能代表有可能存在SQL注入，但是你怎么判断它有SQL注入？”
我：那就修改传参值，看它是否能被当作代码给执行了，若有，则表示有、若没有则可能没有；而对于伪静态的页面，我一般在.html 之前加个闭合之类的去进去尝试，若没有出来就拿到 SQLMAP 去跑看下。
面试官：那些都是数值类型，假如是一个字符串类型呢？比如搜索框功能，像传一个 pword 的参？你怎么测？
我：只能闭合和宽字节来测试
面试官：那你一般用什么来闭合
我：单双引号、尖括号、大括号、注释符号
面试官：那你还提到了一个宽字节注入，那你们使用的数据库是什么数据库？
我：Mysql
面试官：是的，宽字节的话是有两个前提条件的，一个是只有Mysql存在，其他数据库的确是不存在这个问题（好危险!!!）；另一个是Mysql字符集必须设定成某个特殊的字符集，你了解要哪个字符集才能生效吗？
我：不好意思，这个没有了解过（聂风老师都有说过，我真是想给自己一锤子，给搞忘记了）
面试官：那你当时宽字节有成功过吗？
我：这个时候只能说没有了。
面试官笑了下：那这个可能就是字符集有关了，Mysql 字符集得设置成 GPK 的时候才会生效

10、你怎么建议开发去修复这个SQL 注入漏洞？《面试官偏重：★★★★★》

我：一般都是建议对从客户端传过来的数据进行过滤和检测
面试官：过滤的话，要过滤什么？
我：过滤一些敏感的字符和函数，比如：or、and、闭合常用的那些符号，而对于要用到的 and 等等之类的，就必须只允许从某个页面传过来的值在放过，其他过来的就过滤掉。
面试官：那特殊字符要过滤掉哪些？
我：符号吗？面试官说，对，然后我就说单双引号、尖括号、括号、注释符号
面试官：那在实际过程中，难免会有一些要传这些参数内容，如果都过滤了，难免会产生误杀，那有没有什么其它方法来避免这个问题
我：因为我面对的都是小的网站，所以只能使用上面的那些方式了，其他没有了（应该说，加密、转义、编码）
面试官：对于小的网站，确实可以这么用，但是针对于大型网站的话，这种方法就不太实用了，那么你有没有什么通用型的方式呢？
我：那只能使用魔术语法了。
面试官：哦，对！你是了解 PHP 的是吧，那么对于 JAVA 的话也是有提供这么一些功能方法，叫预编译和参数化，对于这些你有了解过吧？
我：预编译我知道，参数化，不是很了解。

11、我看你简历上还写了了解 XSS，咱们来聊聊 XSS，XSS 常用的原理，你给我介绍下。《面试官偏重：★★★★★》

我：XSS 就是我们输入的代码被当作 JS 代码执行
面试官：那对于 JS 的语法，你有一些了解吗？
我：我虽然没有学过前端代码，但是 JS 我还是看过一些
面试官：JS 对我们安全测试来说还是帮助比较大，因为很多逻辑都会是在前端上进行，JS它是怎么构造参数、做安全处理，还要读得懂才能方便我们测试呀！
我（这个时候就很尴尬了，所以我就说了点题外话来缓解下）：是的，像我以前帮我朋友看他们公司的一个网站，有个页面的跳转是直接用JS来控制，我直接关掉浏览器的JS，不就直接跳过去了吗？我觉得这个真的是挺让我无语的。
面试官：是的，他们没有做会话认证是吧！这种肯定风险很大的。

12、那XSS的话，你一般怎么去测试有没有XSS？《面试官偏重：★★★★★》

我：XSS的话，我一般都是在各种框、URL传参上面看有没有反射型XSS
面试官：你能举例下具体怎么测试吗？
我：反弹函数、<img> 之类的。（我当时都蒙圈了，语无伦次，我对之前的已经忘记得差不多，我以为他会问我反序化，所以我今天早上早早的起来就看反序化）

13、那么对于 XSS，你建议开发是怎么去修复这个问题？《面试官偏重：★★★★★》

我（这个时候我是真的彻底蒙圈了）：因为我一般接触比较少吧，所以我都是建议过滤
面试官：过滤是吧，那要过滤什么呢？
我：过滤一些敏感函数
面试官：哪些，举几个例子
我：alert() 这种类型（我怎么就想不到 token、cookie 里面的 http-only）
面试官：在实际攻击的时候，没有人去写这种弹窗栏，这种没意义的.其实在cookie 里面，我们也可以设置 http-only 来帮助缓解下 XSS 的这种攻击（他还想说，我立马抢答）
我：对对，还有 http-only、token 之类的
面试官：那你对 http-only 是怎么了解的
我：防止 JS 把 cookie 带出来，还有设置 token 值。目前的话，我觉得好像就只有这两个能防了吧？
面试官：目前还是有，比如有一个头叫 CSP（内容安全策略），这个你有了解过吗？
我：不好意思，没有了解过
面试官：这个其实也能在一定程度上缓解 XSS 的攻击，不过它是从实际角度上去缓解，而不是在我们测试的 playload 上去缓解。这个你可以去了解下，很有意思的一个头。
我：谢谢指教，我去了解下

14、假设有这么一个场景，开发商要做一个附文本编辑框给客户，客户可以在上面编辑内容、然后保存、然后展示到页面上。那你怎么去解决附文本上面的 XSS 漏洞？《面试官偏重：★★★★★》

我：这里都是编了，然后发现编不下去了，最后只说了下，检测内容有没有敏感函数
面试官：附文本，就是编写一些字体颜色啊、上传图片之类的。对于 XSS 这里，你还只是建议进行过滤是吧
我：这里只能认怂了，承认了

15、那行，我看你还提到了一个 XXE，其实外面已经很少挖到这个漏洞了，这个在测试的时候，你有遇到过吗？《面试官偏重：★★★☆》

我：有遇到过啊！ XXE 这个漏洞的话，因为我能接触到源码，而在一个网站上有很多地方都有用到过 XML
面试官：其实现在很多网站，基本上已经很少有对外面暴露过 XML 文件了，那你测 XXE 都是从源码的角度上去测是吧，那你有没有了解过怎么从黑盒子的这么一个角度去测试
我：没有，我都是直接全局搜索 simplexml_load_string() 函数。
面试官：那实际上，从客户端的角度上话，还没有去进行了解过是吧
我：是的

16、密码学这块有了解过吗？也不用很深，就是常用的算法、常用的场景？《面试官偏重：★★★★☆》

我（我直接懵逼）：不好意思没有，我一直觉得这个是开发就弄好了
面试官：没关系没关系，因为对于开发来说的话，只要是个密码就认为安全，然后就随便用，然后就出现了一些场景报错了，所以我们测试的时候就会发现了这样的一些问题，所以才会有向他们开发提出的这样一个需求。
我：谢谢指点，要不然我还以为只要随便用一个就可以
面试官：每个密码都有各自的算法和各自的特点，所以不同的场景需要用到的还是有所区别的。

17、那么你对我还有什么想问的吗？（面试官偏重：★★☆）

我：若我能来的话，你们有没有一个入职前期的培训让新员工能够尽快的融入到工作中？
面试官：培训的话，我们没有，因为我们都比较忙，但是我们会有一个老带新的这么一个机制，他会带你了解我们的一些工作流程、我们的一些工作机制、我们常用的一些系统、还有一些我们的工作方法，这个基本会让你适应几周之后才会让你正式的接触到我们的测试工作
我：哦！因为我前两个工作（简历上写的），都是整个安全部门就我一个人（这个是真的，只不过是运维部门编成安全部门），然后来了也没有人交接之类的，特别麻烦
面试官：（笑道，笑声有点像聂风老师，话说聂风老师是不是你？）一个人的安全部门是吧，我以前也遇到过，由其是当初我还刚毕业的时候，然后巴拉巴拉的聊了一些吐槽！还有什么其他问题吗？
我：没有了，我一般最关注的就是怎么样才能更快的融入到工作上。
面试官：行。那我们就先这样，如果后期要有什么进展的话，我们会随时联系你
我：好的，谢谢！ByeBye！~~~

Ps：
人家非常准时，说10点就真的是10：01分就来电话了，很明显对方是一个实干型的人。
然后一共整整聊了35分钟11秒
感觉：很基础
面试结果：估计凉的多

老师，给点金币好去买漏洞复现靶场（无耻的笑出了声！）