面经

Posted by HWHXY Blog on February 15, 2019

前言

本来呢,我认为,面试应人而异,不是很想写下面试经历,但是应友人要求,我就简单的写一下面试时候的感想,过程,仅供参考,各位看看也就罢了。

面试经历

此处省略1W字,今在长亭苟活。

面试感想

安全届吧,其实每个人都有自己擅长的一部分,有的人擅长xss,一年挖xss挖几十万,有的人擅长注入,有的人擅长滑水(比如我)。所以有时候也要看运气,如果你正好遇到一个研究的领域和你差不多,那就运气很好,建议交个朋友,做安全的人很少,且行且珍惜。如果不是,那也要冷静,表现出自己的优势很重要。 面试这么多,就面试官而言呢,感觉陌陌安全的负责人比较负责,会把你问的问题一一解答,当然你如果知识不丰富,会被问的面红耳赤。所以如果来北京的话,可以先去投一下陌陌试试。这里的问题很全面包括:xss,sql注入,xxe,csrf,主机入侵检测。

  • xss —- 常见的xss bypass,防御的方法
  • sql —- sql注入的类型,绕过,解释一下报错注入,预编译是否能够绕过(这个我当时也没听懂,说是order by能够逃逸,有兴趣可以去查一下)
  • csrf —-绕过的方法,防御的方法,配合xss的攻击
  • xxe —- xxe的原理,攻击payload,这里原理一定要清楚
  • 主机的入侵检测 —- 其实我本来有一篇主机入侵检测的blog的,但是还在写,就先不发了,自己百度吧。但是这方面陌陌面试的也说只是顺便提提因为有业务的需求,他本身了解的也不多,所以稍微看看即可。

其他的安全厂商,问的问题大致也是上述的发散,其他的问题也就是

  • ctf中的常见问题比如若类型的比较等等
  • 再有就是php的反序列化
  • strut2的反序列化命令执行
  • 以及有的会关注中间件的漏洞比如jboss,比如tomcat等
  • 再有就是防御手段,日志分析手段放到千万级别用户上如果去执行
  • 发散性的思维,脑海中常见的攻击手段,此处没有答案,自己想象。

后话

写这么多好累啊,高铁上晃的眼睛疼,祝各位都能拿到不错的offer,长亭的话把简历发到289212527@qq.com,可以给内推,另外如果想去testin云测安全事业部的也可以将简历发到这个邮箱。