某大型全国性企业面试分享

雷婷万钧   ·   发表于 2022-03-03 10:14:50   ·   面试经验分享

刚过完年,到各个招聘网站看一看,咱也想去缅甸看一看血奴是个啥样子,哈哈开个玩笑进入正题

接下来面试官说的话都已HR来代替

HR:请介绍一下之前的工作

我:我之前是在某市某局做安全检测的工作也就是白盒测试(这当然是我吹出来的,但是掌控安全的课程就是白盒测试多一些,但是各位切记不要说县城里,最低是个四线城市,因为现在的县城机关单位基本不会配备安全检测人员,所有的上线前的安全检测现在都是放到市局或者省厅来做)

HR:从哪些地方跟踪最新漏洞呢?

我:一般都是从cnvd或者朋友跟我说的,我有个朋友是国家队的,所以有什么最新的漏洞他都会跟我说一声(这里要讲一下,国家队一般企业碰不到的,因为国家队都是在一个别墅里呆着基本不外出,所以你跟他说,他也没法验证,如果他问国家队都干些什么,你告诉他机密不能说,非要问,就说针对国外做事情的)

HR:让你渗透一个网站,你的思路是什么!

我:信息搜集,框架、注入漏洞、敏感目录扫描,扫描子域名,然后开始漏洞攻击,先用该CMS历史漏洞尝试,说到这儿他打断我了

HR:25、23、22、3306、1433、7001、445、139端口都是干什么的?

我:22:SSH远程连接爆破、OpenSSH漏洞、23:Telnet远程连接爆破、嗅探、弱口令、25:SMTP邮件服务邮件伪造、未授权访问、弱口令、445:Samba操作系统溢出漏洞、永恒之蓝、1433:mssql注入、提权、SAP弱口令、爆破、1521:oracle注入、爆破、反弹Shell、3306:Mysql注入、提权、爆破、3389:RDP远程桌面弱口令、爆破、Shift后门、7001,7002:Weblogic控制台Java 反序列化、弱口令

HR:SQL注入漏洞的原理

我:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,拼接字符串。

HR:你上一家工资是多少,为什么选择离职?

我:上一家月薪6000,想找工资更高的

HR:那你的期望薪资是多少

我:8000差不多,咱们薪资的框架可以说一下嘛?(这里问框架主要是想知道每月的绩效是按月发,还是攒到年底按年终将发)

HR:巴拉了一堆,最后的意思是年终奖
这里聊完工资HR叫来了一个技术人员,让我跟这个技术人员谈一下,结果这技术人员上来就问了我一堆问题,我给各位罗列一下
1、xxe漏洞的原理。
2、文件上传漏洞的绕过方法有哪些。
3、SQL注入漏洞有哪些利用手法。
4、比较喜欢用哪几种工具,它们的优势是什么。
5、 CSRF漏洞的原理。
6、 SQL注入、反序列化、文件包含、文件上传、CSRF、XSS、XXE漏洞的修复方法。
7、如果网站有CDN,你如何查看他的真实IP地址。
8、文件上传的时候如何突破前端后缀验证。
9、sql注入的报错函数,延时注入的函数?
10、你参加过哪些项目
11、常见的基于php的cms的漏洞
12、绕WAF可以尝试哪些手段
13、 Nmap 全端口扫描命令是什么。
14、说几个php里面可以执行命令的函数。
15、做过免杀吗,现在主要的免杀手段是什么。

这些问题轻松应答后HR跟我说让我回家等通知

过了一天不到,HR说安服部门的老大要在跟我谈一谈,这次二面没有谈到任何的技术问题,部门老大问的都是加班能不能适应,可不可以出差,会不会喝酒,会不会开车,做过哪些项目,身体是否健康等等

反正总结一下这次面试给各位师兄弟,谈话时一定要流畅,站姿和坐姿都是加分项,问到技术时哪怕不会,不要支支吾吾,不会就是不会,公司需要的是一个执行力强,反馈力及时的员工,哦还有,千万不能表现出你有去一线城市的想法,因为公司都怕培养一两年,员工跑了的事情

用户名金币积分时间理由
清河逸尘 0.16 0 2022-03-07 23:11:35 一个受益终生的帖子~~
清河逸尘 0.80 0 2022-03-07 23:11:15 一个受益终生的帖子~~
Track-劲夫 50.00 0 2022-03-04 19:07:39 一个受益终生的帖子~~

打赏我,让我更有动力~

1 条回复   |  直到 2022-3-7 | 963 次浏览

清河逸尘
发表于 2022-3-7

再测金币支付漏洞,路过~~

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.