我是21/9/18加入掌控14期学员Nino,刚加入掌控的时候没想到这么快就能找到工作。只投了三家公司,两家属于内推,内推那两家口头上都给offer了。留给大家的东西不多,面试经验送给大家,祝大家早日找到心仪工作。
另外,太常规的我可能没记下来。建议常见漏洞成因/防御/挖的思路需要提前掌握好。而且不会有人真想知道你是不是知道什么防御措施,他们想要会干活的人,他们想知道你怎么去找到这个漏洞,怎么去利用这个漏洞。
这是第二家,有空分享别的公司。
第一家启明见另一篇[《14期学员的启明的安服面试经历(1/3)》](https://bbs.zkaq.cn/t/6311.html "《14期学员的启明的安服面试经历(1/3)》")
所在城市:苏州
面试职位:渗透/红蓝
面试过程:面了20分钟,一面偏难。听二面的面试官说,一面的评价是我技术偏弱。
面试官的问题:
自我介绍
说一下php的反序列化漏洞
cookie设置了HTTP-only怎么获取
sqlmap如何提高布尔盲注效率
二分法。
java底层了解过吗
有了解什么java框架吗
关于java的问题是因为我上写过
app和小程序的逆向了解过吗
但凡简历上写有app/小程序的面试都会问
app抓不到包怎么办
免杀了解过吗
有文件上传漏洞利用的经历吗
windows提权方法
烂土豆
systeminfo查看补丁,到这个网页查看可以利用的EXP https://i.hacking8.com/tiquan
看你简历在学横向,说一下横向渗透的方法
烂土豆(我上面提到提权方式之一烂土豆,顺便问了)看过吗/知道工作原理吗
猕猴桃(横向提到猕猴桃就问了)代码看过吗/知道工作原理吗
关于这两个问题,我都理直气壮说不会。(叉腰
src挖到过比较有意思的漏洞。src挖到过哪些高危
sql注入细节,详谈(如原理)。
sql语句如果预处理了还能怎么利用?
风哥上课说过预处理不等于万无一失,感兴趣百度。
这是子羽老哥给我发的例子可以参考一下https://www.cnblogs.com/forchan/p/14664310.html
尝试过SQL注入getshell吗,说出getshell方式
挖到过什么样的未授权漏洞/未授权怎么挖
给你一个域名abc.com说出你的渗透思路
子域名查询方式
我当时回答可以用fofa或者子域名挖掘机。现在fofa没了(lll¬ω¬)
面试难度:偏难
面试结果:
二面面试官给我透露说一面面试官评价我“技能偏弱”
所在城市:苏州
面试职位:渗透/红蓝
面试过程:面了20分钟,一面偏难。听二面的面试官说,一面的评价是我技术偏弱。
面试官的问题:
Web漏洞挖掘和红蓝对抗哪个更感兴趣
学习了多久(后面问的)
面试官感觉我的回答像是专门培训过的,问我有没有参加过培训机构的面试培训。我可能面经看多了,最好不要表现的太明显,我觉得面试官肯定不希望我们是一个速成品,适当解释一下。
除了等保(我的实习)还做过什么安全相关的项目
SRC,漏扫漏洞复现,app/小程序挖逻辑漏洞。
问我开发经历(简历上写的)
之前有写过官网和一个小安卓app
dom型XSS跟其他两种XSS的区别
没回答好,我就说了document函数。
dom型XSS/存储型过html解析吗
过的。反射型XSS的脚本被解析的地方是浏览器,而存储型XSS的脚本被解析的地方是服务器,DOM型XSS也是浏览器,所以DOM型又叫DOM反射型XSS。但是反射型XSS需要联网,而DOM型不需要。
Java 中会存在内存泄漏吗(大概是个问题)
感觉只要写了用过java都会问,不打算背这个了,就直接跳过了。
mysql dumpfile与outfile的区别
outfile函数可以导出多行,而dumpfile只能导出一行数据
dumpfile不进行转义,可以导出二进制文件
mysql 5.0前和5.0后有什么区别
information表,5.0以后可以直接通过这个知道表名列名
浏览器上输入一个网址会发生什么
老生常谈。先是dns找到IP,再是建立tcp链接,最后传输html,加载html上面的文件/图片
CSRF和SSRF的区别
CSRF是利用cookie
SSRF是有钱人的漏洞,可能会加载内网服务器的资源,可能可以直接访问/攻击内网。说完这两句面试官这个面试题直接过了,回答不是好,有空大家自己再查一下。
最后面试官讲了不同城市空缺的岗位,问了期望工作地点/城市/薪资。说还会有三面,三面结束才给到HR那里。
面试难度:中等
面试结果:
二面面试官的评价是技术也差不多够要求,有android app的开发经历比较加分。360我是随缘投的,不在意结果。安恒的发育路线比较好就打算先去安恒肝两年。
祝大家早日找到心仪工作,有空分享安恒的面试题。
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
Track-劲夫 | 25.00 | 0 | 2022-01-21 16:04:55 | 活动奖励 |
Track-劲夫 | 50.00 | 0 | 2022-01-21 16:04:35 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.