一次绿盟的失败面试经验（校招）

1.先来介绍一下你自己吧
(1)你是怎么学习网络安全的？
我答的是因为我是在校生，首先会在课堂上进行一个简单的学习，还会在学校打一些CTF相关的比赛，其次，我还会在课外进行相关学习，会通过腾讯课堂，B站等途径进行学习（因为当时没有毕业，所以没说掌控安全，哭）最后我会在学长学姐的帮助下渐渐学会了一些关于网络安全的知识等等
(2)在学校给学弟学妹讲什么啊？
我会给学弟学妹们讲一些SQL注入，XSS等相关知识，会带着学弟学妹打一些互联网比赛。

2.你挖过什么洞没有啊？
我当时没说什么，就说一些简单的逻辑漏洞，例如支付漏洞，越权漏洞，密码找回漏洞，他直接说了解，下一个问题。

3.对国内最近爆出的漏洞有什么了解啊？
这个直接点中死穴，我说现在没有特别关注国内最新漏洞，但是我以后会注意到这些的。

4.0day是什么，你对0day的看法是什么？
0day是指未被公开的漏洞，具有很高的杀伤力，如果使用0day攻打100个网站80个网站会中招，与0day相对应的是Nday，是指已经被公开的漏洞，拿Nday打100个网站可能只有20个网站会中招。

5.SQL注入你都学什么了啊？
SQL注入的原理是用户输入的数据当作SQL代码进行执行，SQL注入的方式，SQL注入的工具SQLMAP的一些简单命令，以及SQL注入的简单防护。

6.SQL注入都有哪几种注入方式啊？
显错注入，报错注入，时间盲注，布尔盲注，宽字节注入，堆叠注入，反弹注入，二次注入等等

7.对于时间的盲注有没有什么相关的函数啊？
Sleep　and or if substr
8.对于时间的盲注应该如何进行防范啊？（深入）
首先，对数据库进行一次预处理
第二，严格检测用户输入的数据类型和格式
第三，过滤特殊符号
第四，使用安全函数
最后，可以在发现被攻击之后迅速禁掉IP

9.一个Linux的知识（实战），具体的忘了？
当时直接懵了，然后直接说这个我在以后的学习中不断学习和进步

10.可以写出相应的正则表达式来进行过滤吗？
我说没问题，后面他没问，直接下一个问题了。

11.有没有开发的经历啊？
我说我在上学期间直接打CTF和学习渗透的，没有什么开发经验

12.验证码绕过都有几种方式？
可以进行空值绕过，有些网站可以进行抓包，然后把验证码变量删去可能直接绕过
可以进行抓包不放，验证码可以进行重复使用，一直进行爆破
有些验证码只是针对密码，可以用此来爆破账号

当时只是说了这么多。

13.你觉得应该怎么对验证码绕过进行防护啊？

设计安全的验证码
对认证错误的提交进行计数并给出限制，比如连续5次密码错误，锁定2小时
必要的情况下，使用双因素认证