0.前言1.信息收集1.11.21.22.链接之sql注入2.13.见框就插XSS3.13.24.S2命令执行5.登录处的猫腻5.15.25.36.提供账号的测试方向6.16.27.上传shell的地方8.登录处的补充8.18.29.信息泄露找漏洞10.常用的漏扫工具11.目标是Win的服务器12.SSRF的测试13.一些补充13.113.214.其他一些建议最后声明：未经本人允许，禁止转载。0.

又是一年春招的季节，自己学完课程，除了挖掘src貌似没啥事干。投投简历给各位准备找工作的同学试试水，话不多说，直接上干货：新增乙方安全研究员以及甲方蓝军相关面试时间：2021-06-21链接：https://bbs.zkaq.cn/Index/s/f5fQ05gu一、深信服难度系数：中 一面： 时间太久了，记不太清了，难度相对还是可以的 二面： ~sql注入的原理是什么-- 本质：将用

零，说明因为最近疫情在家没事干。学完课程了也想着练练手看看能不能挖掘一下src所用工具：御剑、sqlmap第一步之找漏洞网站按照之前学的，信息收集是挖掘src的重点。我们稍微用一些谷歌语法：inurl: php?id=xxx 有限公司 集团第二步之找网站漏洞根据上述，发现一个站点可能会有Sql注入漏洞直接“ - ”测试，结果可以解析，第三步之利用sqlmap爆库因为是挖掘Src，我