杭州 孝道科技 研究员(攻防)面试分享
所面试的公司:孝道科技
薪资待遇:8-13K
所在城市:杭州
面试职位:研究员(攻防)
公司:孝道科技
面试职位:网络安全工程师
面试官的问题:
初试(电话面试比较基础)
1.xss原理和防护
2.sql的原理和防护
3.csrf的原理和防护,举个栗子
4.php的序列化原理
5.代码审计常见的漏洞
6.说一个挖过的最特别的漏洞
7.Sqlmap常用的命令
8.其他的忘了
复试
1.java开发用到的安全框架
1.1.关注的少,之后学一些
1.2.shiro
1.3.Spring Security等 (认证,权限拦截,数据库管理,权限缓存,自定义决策)
2.java的反序列化原理
2.1.特意看过一些,但是他非说我说的不对,还在研究…
3.java的代码审计一般怎么去审计
3.1.没正式做过,说的审计危险函数,mybatis注意$的sql注入啥的
4.如何审计危险函数
4.1.上下文逻辑判断
4.2.其他的忘记了…..
5.是否做过网站的整体流程测试
6.密码找回,手机号找回,邮箱找回可能存在的漏洞点(问的很细,很关注实战)
6.1.这个实战做的比较少,以下为网络答案:
6.2.验证码暴力破解
6.3.respose自带了返回凭证
6.3.1.url返回验证码及token
6.3.2.密码找回凭证在页面中
6.3.3.返回短信验证码
6.4.邮箱弱token(重点:特意问了.邮箱找回的不同)
6.4.1.时间戳的md5
6.4.2.用户名
6.4.3.服务器时间
6.5.用户凭证有效性
6.5.1.短信验证码
6.5.2.获取验证码,尝试修改手机号;修改返回包中的手机号为自己的手机号,尝试获取验证码
6.5.3.邮箱token处理
6.5.4.重置密码token处理
6.6.注册覆盖
6.6.1.注册重复的用户名
6.7.session覆盖
6.7.1.找回密码到了邮箱验证这一步骤,打开邮箱,不要在邮箱点击重置密码的链接,复制链接在同一浏览器打开
7.xss的防护
7.1.基础:略
7.2.注意可以使用编译转码(我就这个忘记说了,惨遭提醒!)
7.3.哦对了,还可以用CSP(每个面试官都喜欢问….)
8.csrf的防护
8.1.基础:略
9.sql注入的防护
9.1.基础:略
9.2.注意比较关注预编译和参数化
10.一般在什么地方挖漏洞
10.1.补天,漏洞盒子啥的
11.工作中常见的漏洞
11.1.逻辑漏洞
11.2.sql注入
12.开发中怎么去做安全处理的
12.1.校验关键位置
12.2.其他的也没咋处理过…
13.是否熟悉linux基础命令等
13.1.熟悉工作中常用
14.是否会在linux中安装软件,如Apache,数据库等
15.如何校验文件
15.1.md5对比(面试官说这个bukaop[u可以修改md5)
15.2.RSA非对称加密,公钥私钥加密解密
16.问我找工作最注重什么
16.1.答:当然是注重学习和提升空间啦,难道我会说我还注重钱?!!!
还有些问的印象不深了…
面试结果:通过
面试难度:中等
面试感受:难
给大家的建议:转行的,注意项目经验,不然工资压倒死…..
悔不当初,没听风哥的话抽时间冲src排名…
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
Track-聂风 | 100.00 | 0 | 2021-08-14 15:03:23 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
乐伟超
发表于 2021-8-19
讲实话,杭州8-13k确实少了点,如果按照13k来给还可以
评论列表
加载数据中...