我张嘴说不上来但我觉得垃圾的面试题

1.fastjson不出网利用

2.SSRF+redis写webshell

3.Weblogic文件上传的坑点

大家应该经常被问到吧，这是某位粉丝经常面试跟我说过的问题，随便找了三个。但我现实攻防演练中没遇到过几次，我连Weblogic上传都没遇到过几次，遇到的fastjson基本都是出网，没有漏洞或者有针对性IPS+WAF，redis十个有九个有强密码，最后一个没有权限执行命令，那可能我太菜了，或者是人家确实安全。

我建议红队面试官好好去回忆下自己实战的经历，更注重的是实战过程中的一个从外部漏洞到拿下服务器完整的漏洞利用链，或者是快速发现Nday的能力，而对于稍微再大型的攻防演练，Nday的作用几乎忽略不计，基本都需要0day或者钓鱼来打开口子，那么这三个面试题对于时间紧迫急于拿分数的队伍来说几乎用不到，可能就是因为不管用不用得到，你得会。当然了你可以专门找一个就爱研究各种刁钻场景下的骚操作的人。其实在我看来那些实战文章里出现的Bypass问题，只可能在它的文章里出现罢了，大多数操作只有参考价值，可能只不过是人家部署手抖了让你觉得很有成就感，对于作者是一种成长，因为是他自己发现的姿势，但对其他人没用，因为别人遇不到，遇到了也可能是另外的原因。我对高级红队的认识就是Bypass+工具开发+手握0day。但随机应变能力也是更重要的，例如模拟一个场景，看可能出现哪些利用的点，面试者有没有说出来你没有想到的点。

渗透测试岗位面试官应该更注重的是漏洞挖掘的怪思路和修复，什么样的洞怎么去挖掘，以及擅长挖哪些洞，一个人的测试思路几乎是定死的，你说rank排名高，不断的挖洞只不过是他在某一方面有一定自己的见解，但rank高这人不会菜到哪里去，挖洞只不过是巩固自己的知识，也不是说面试官你会的对方也要会，两个一模一样的技能怎么团队协作？两个人同时测试一个系统意义不大，多人测试的目的就是要尽可能用不同思路发现更多的洞。进阶的可能就代码审计，审计思路几乎每个人都是死的，无非是危险函数+动态调试+参数跟踪+灰盒测试。重点是得会且认真

针对类似的面试题我建议如果面试官非要问，面试者能够说出链接或者文章在什么地方就算他通过，真的需要废除八股，根据过往的经历来面试更能了解这个人，当然你得确定这人是在编经历还是真的有，如果没这分辨能力就别瞎面别人。

当然了我是没有面试过红队和渗透岗位的，我面的都是甲方或软件研发中心的安全岗，不会非问我这种他们压根不会出现的问题，更多是过往经历，基础知识和软管理问题。而我看的拿些面试题一个都没用。所以我希望尤其技术类面试官少看点安全营销号的面试题，你的团队可能不需要会那些面试题的人，建议根据自己需求自行设定问题和要求。

本文观点仅代表本人片面见解，如有冒犯，深感抱歉！

原文始发于微信公众号（浪飒sec）：我张嘴说不上来但我觉得垃圾的面试题