广州某公司面试经验

无心法师   ·   发表于 2021-08-25 14:00:37   ·   面试经验分享

所面试的公司:
广州某应急响应公司
所在城市:
广州
面试职位:
渗透测试工程师(红蓝对抗)
面试过程:
早上投的简历 立马就视频面试了 主要是一家以红蓝对抗 应急响应为主的公司 全程半个多小时 面试官人都挺好的
面试官的问题:

1、ssrf于csrf的区别
ssrf可以进行内网探测 http:// https:// dict://127.0.0.1 端口探测
ssrf可以进行文件读取 php://filter/read/convert.base64-encode/resource=``file://绝对路径
csrf可以在用户不知情的情况下进行一系列的操作 一般如果xss存在only即可采用组合拳进行攻击
csrf防范方法最好是敏感操作增加验证码校验
2、sql注入过程中发现select被禁用了怎么办?
当时蒙了 所以回答的是报错注入 = =
实际是可以采用盲注的形式来进行注入
3、mysql拿shell
phpmyadnin 日志查询 慢日志查询
SQL注入 绝对路径
SQL注入获得后台数据 进入后台尝试获得更高权限
4、PHP反序列化
5个魔术方法调用产生反序列化
phar反序列化
session反序列化
5、Java weblogic漏洞
后台进入部署war包
Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞
任意文件上传 设置工作路径 xml返回包有图片地址
6、Java weblogic RMI
没有试过 = =
7、Java shiro原理
密钥匹配 先base64解码然后AES解密再反序列化
必须密钥匹配成功
8、Java shiro如果密钥不对怎么办?
如果那几百个默认密钥都无法匹配 那只能放弃。
9、webshell流量加密
蚁剑编码器 解码器
10、白盒审计 有没有自己审计出cnvd
没有 ps:因为我学了两个月 然后一直找工作 根本没时间审 = =
11、应急响应了解吗?
不了解 最多就是看看文件产生时间 是否有异常的任务计划。。。。

最后聊了一下面试官自己的项目经历之类的 总体感觉还是不错的 总体感觉还是比较期待可以通过的
自身原因平台低 学历低 导致找不到工作 卑微的web狗

面试结果:待定

面试难度:中

面试感受:很好

给大家的建议:学完课程 可以去了解一下Java中间件 工作以后慢慢学白盒吧。。。

用户名金币积分时间理由
小酒 0.01 0 2021-09-08 22:10:10 <'"

打赏我,让我更有动力~

33 条回复   |  直到 2022-6-8 | 2457 次浏览

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-8

评论列表

  • 加载数据中...

编写评论内容

1399546819
发表于 2021-9-13

<div>asd</div>

评论列表

  • 加载数据中...

编写评论内容

1399546819
发表于 2021-9-13

过了没?过了没?过了没

评论列表

  • 加载数据中...

编写评论内容

unlock
发表于 2021-9-26

<script>hello world!</script>

评论列表

  • 加载数据中...

编写评论内容
首页 1 2 / 2 跳转
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.