金九银十跳槽季,造福广大读者,记得点关注(如有面经投稿,请私信,照这个格式就行)。这个系列所有面经都没答案,不想给面试双方增加不必要的八股文环节。
这篇的面经可以说比较基础,基本是基础渗透测试问题+面试者简历问题,基础问题和简历问题八二开的样子。
面试时间
50min
面试感受
整场面试主要围绕简历和岗位职责来问,和面试官相谈甚欢。
面试题
-
1. 说说web测试的主要流程
-
2. OWASP top10你比较了解哪些类型的漏洞,挑几个你熟悉的说一说(说了未授权、SQL注入和上传)
-
3. SQL注入如何测试,如何绕WAF,如何修复,ORM的原理,SQL注入可能发生在哪些地方
-
4. 一般如何利用文件上传
-
5. 说说SSRF的利用方式,如何用来探测内网;一个正常造成SSRF的业务,如何在损失最小的情况下修复
-
6. 说说XXE的利用方式(这里回答不会后续跳过)
-
7. 说说你了解的业务逻辑漏洞:如一个正常的业务,你认为哪些地方会存在什么样的业务逻辑漏洞
-
8. 说说你比较熟悉的中间件漏洞
-
9. 说说移动端渗透测试的过程,企业壳如何对抗,OLLVM如何对抗
-
10. 说说你代码审计的一般过程
-
11. 前端js加密如何对抗,讲讲你的思路
-
12. 你通常打内网的思路可以说一下吗
反问环节
没有问问题。
. . . * . * 🌟 * . * . . .
由于很多人问我微信群的事情,所以我建了一个小微信群。现在可以在公众号菜单里选择合作交流->交流群获取交流群二维码,希望大家和谐交流,为更好更友善的行业环境贡献自己的力量。
如果喜欢我的文章,请点赞在看。网安技术文章、安卓逆向、渗透测试、吃瓜报道,尽在我的公众号:
原文始发于微信公众号(重生之成为赛博女保安):烤面筋 | 乙方-驻场,渗透测试一面(已通过)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论