西安-渗透测试工程师面试经验分享-上海匡创

呕吼   ·   发表于 2022-07-15 14:11:23   ·   面试经验分享

上海匡创 渗透测试工程师面试分享

所面试的公司:上海匡创

薪资待遇:5k

所在城市:西安

面试职位:渗透测试工程师

面试过程:我的第一个面试,有点紧张,讲的也迷迷糊糊的
面试官的问题:
1、sql注入的原理
把用户输入的数据当作sql语句执行
2、xss的原理
把用户输入的数据当作前端代码进行执行
3、csrf和ssrf,有什么区别
csrf:浏览器因为你的传参而偷偷的发送数据包
ssrf:服务器因为你的传参而偷偷的发送数据包
区别:csrf是在客户端执行,而ssrf是在服务器端执行
4、如何你拿到一个站存在ssrf,你会怎么利用
当时没答上来,只说了个能当作跳板机。
后面总结了一下:
1、可以内网渗透
2、可以当作跳板机
3、攻击目标本机
5、逻辑漏洞都有哪些
验证码绕过
密码找回
越权漏洞
6、验证码绕过的方法
1、万能验证码
2、验证码空值绕过
3、验证码可控制
4、验证码可重复使用
5、验证码可以在前端页面输出
当时就说了这几种,具体的风哥在课上有讲,就不多说了
7、密码找回漏洞怎么找回,有几种方法
1、验证码无次数限制可以爆破
2、抓包修改电话号,把验证码发送在自己的手机上,然后修改密码
当时就想起来这两种
一面通过了,等二面,但是后面跟我讲说他把地址弄错了,是山西那边的,问我去不去,我说不去,就没有二面了
面试结果:未通过

面试难度:简单

面试感受:面试官的态度啥都不错,后面又给我推了个护网的面试

护网面试:
1、安全产品有接触过吗、之前有做过hvv吗
没有接触、第一次
2、struts漏洞的原理讲一讲
当时没接触过,后面查了一下:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中
3、sql注入的原理
把用户输入的数据当作sql语句执行
4、xss的原理和危害
原理:把用户输入的数据当作前端代码进行执行
危害:
1、窃取cookie
2、记录键盘记录
3、截取你的屏幕
5、xss分为几种类型
1、反射型xss
2、存储型xss
3、dom型xss
6、讲一下dom型xss
当时没有答上来,通过修改页面的DOM结点形成xss,DOM-XSS是javascript处理输出
7、反序列化漏洞的原理讲一下
序列化就是把对象的状态信息保存为字符串的形式,反序列化就是把字符串再转变为对象的状态信息,在反序列化时,参数用户可控,魔术方法中存在危害函数,就会产生反序列化漏洞
这个面试没有通过
给大家的建议:建议大家面试之前把基础的东西背一下,巩固一下基础,多面试几次就不会那么紧张了,这只是前面一个干公司的面试,再加上把渗透测试的流程熟悉一下,有一部分公司会问你,假如给你一个网站你会怎么样渗透,思路是什么,再就是自己简历上面写的东西一定去背熟,一部分面试官会根据你简历上面写的来问你,类似于工具之类的也会问

用户名金币积分时间理由
Track-劲夫 30.00 0 2022-07-15 14:02:27 一个受益终生的帖子~~

打赏我,让我更有动力~

9 条回复   |  直到 2023-10-14 | 1625 次浏览

mrwater
发表于 2022-7-18

感谢

评论列表

  • 加载数据中...

编写评论内容

溜须拍马
发表于 2022-7-16

面试的内容好像在正式课里都有,感谢分享,加油

评论列表

  • 加载数据中...

编写评论内容

xinbancan
发表于 2022-7-17

感谢楼主,分享的很详细

评论列表

  • 加载数据中...

编写评论内容

yangroupaomo
发表于 2022-7-30

才给5K,公司把你当大冤种吗

评论列表

  • 加载数据中...

编写评论内容

sanxiu
发表于 2022-8-2

我也觉得5K低了,实习还差不多

评论列表

  • 加载数据中...

编写评论内容

cxlwmsxyl520
发表于 2022-8-3

上海kc的话没经验的去半年混点经验还是可以,经验到手早点撤,别耽搁搞钱的时间

评论列表

  • 加载数据中...

编写评论内容

徐浩洋
发表于 2022-8-12

西安五千算行的么?

评论列表

  • 加载数据中...

编写评论内容

sszz7777
发表于 2022-8-12

我去,真有这么简单的面试?

评论列表

  • 加载数据中...

编写评论内容

track苏牧
发表于 2023-10-14

学到了,谢谢!

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.