记一次(福州、厦门)奇安信的面试经验

tongtong   ·   发表于 2021-11-08 15:54:07   ·   面试经验分享

面试公司:奇安信

薪资:不便透露

所在城市:福州、厦门

面试岗位:渗透工程师

面试过程:我在boss直聘上投了奇安信,通过了,第二天就开始一面(电话面试)。这里要提一嘴,之前投简历蛮多hr都不回复的,后面认真看了70老师的课,简历修改完后效果立竿见影,70老师的最后一节课一定要认真听,简历很重要!!!

面试问题:

1、你首先自我介绍一下吧?
答:然后我就自我介绍了(此处省略一亿字)
2、说一下你的学习安全过程?
答:我从大三开始接触渗透,并且自学了各种知识,但毕业后觉得自学的知识还达不到就业水平,因此报了掌控安全学院进行了系统学习。
学习也是由简到难,首先学了web环境搭建,然后SQL注入、XSS、CSRF、SSRF、XXE、文件上传、代码审计、内网渗透、app渗透还有应急响应。
3、说几个top10的漏洞原理和修复方法?
(1)SQL注入:
SQL注入原理:我们输入的数据被当作SQL代码执行,我们就可以构造恶意传参去读取数据库信息
SQL注入修复:对输入进行过滤、限制用户输入数据长度和类型、加装waf等
(2)XXE:
XXE的原理:用户输入的数据被当作xml执行,我们恶意改造的传参,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害
XXE的修复:直接禁止加载XML实体、过滤SYSTEM等关键字
(3)XSS:
XSS的原理:用户输入的数据被当作前端代码执行了,我们就可以让js帮我们执行恶意的操作
XSS的防御:HTTPonly(我还说了:但我们可以通过找网站的PHPinfo来绕过httponly、以及低版本的IE浏览器也不支持httponly);过滤、转义字符输出;用白名单验证、HTML实体化
4、说一说文件上传的绕过方法有哪些、解析漏洞?
绕过方法:前端绕过、双写绕过、.htaccess绕过、00截断绕过、图片马绕过等
解析漏洞:iis6.0解析漏洞:(1)asa、cer后缀解析(2)分号截断(3)/截断
CGI解析漏洞:在后缀追加/.php即可当作php文件解析
5、说一下有什么提高盲注效率的方式?
答:DNSlog注入
6、说一下你内网渗透的步骤?
(1)通过SQL注入、文件上传等方式getshell
(2)连接菜刀、蚁剑传一个烂土豆提权,创建一个账号并加入管理员组
(3)reGeorg配合proxifier代理socket协议进行内网穿透
(4)再使用猕猴桃抓密码
6、提权方式有哪些?
答:SQL注入的udf提权、烂土豆我就记得这两个
7、如何进行维持长久的控制?
答:直接加一个管理员账号、做黄金票据
面试官:你这个是域渗透的,那内网的呢?
我:内网可以做一些免杀这种
8、有没有分析过日志?
答:您说的是应急响应吧,应急响应我会去看web日志、数据库日志、系统登录日志排查疑似被入侵的日志
9、用过哪些工具?
答:burp、sqlmap、nmap、御剑、子域名挖掘机、CS
10、说一下burp、CS的原理?
答:(当时有点懵,就随便吹了)我就说burp是个中间人的身份,通过代理http协议来拦截数据包,我们再修改数据包来达到我们的目的。CS的原理我就真的不了解了。

面试结果:待通知

面试难度:中等偏易

面试感受:面试官对我的回答应该还算满意,他问的问题不是很难

给大家的建议:一定要写好简历啊,70老师的课程要认真看!!!不然hr可能都不会回复你!!!而且要有自信,面试别紧张,正式课的内容完全足够面试用了(前提是要用心学!),看看其他同学的面试经验也有很大的收获哦!

用户名金币积分时间理由
lua 10.00 0 2021-11-09 16:04:24 一个受益终生的帖子~~

打赏我,让我更有动力~

8 条回复   |  直到 2022-3-8 | 1522 次浏览

tongtong
发表于 2021-11-11

感谢大家关心,不辱使命,顺利拿下offer了

评论列表

  • 加载数据中...

编写评论内容

lua
发表于 2021-11-9

小范同学你还没找到工作么

评论列表

  • 加载数据中...

编写评论内容

巴伯舒特
发表于 2021-11-9

大佬牛逼,以后内推我进去【doge】

评论列表

  • 加载数据中...

编写评论内容

spider
发表于 2021-11-10

面试结果怎么样了

评论列表

  • 加载数据中...

编写评论内容

小熊保安
发表于 2021-11-10

怎么样了铁汁

评论列表

  • 加载数据中...

编写评论内容

astronaut
发表于 2021-11-11

怎么样了铁汁

评论列表

  • 加载数据中...

编写评论内容

浩琦很好奇
发表于 2021-11-12

大佬厉害啊

评论列表

  • 加载数据中...

编写评论内容

1779113275
发表于 2022-3-8

我感觉校招的面试题好难啊

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.