前言

昨天的时候终于比完赛回深圳了，意味着我的大二也结束了

那么到大三的话，因为可能会去申请提前实习，然后大三上学期就去实习了

所以在训练期间，我和我队友就找了一家安全公司，今天就是去面试

这里就大概的记录一下面试的过程吧

过程

问的问题其实都是一些基础漏洞的深入理解

之前利用过一个XXE的漏洞

•  

  XXE漏洞的产生原理

   

•  

  XXE漏洞如何防护

   

•  

  遇到XXE无法执行的时候，大概都是什么原因

   

有成就感的漏洞是什么

•  

  按这个漏洞进行细节提问

   

•  

  会Python吗

   

SQL注入盲注

• 页面还是有回显的话，如何操作

如何找到的这些漏洞

内网渗透流程

如果存在命令注入，怎么利用

•  

  如果命令注入做限制，怎么办

   

•  

  echo这些函数也禁止了，正则匹配大小写，解决方案是什么

   

然后其他还零散问了一些比如

网鼎杯

• web题目，如反序列化和XXE这些的解题

PHP伪协议

• 怎么用，还有什么可以用

其实形式更多的像是聊天，就是一个点说到了，那么就顺着那个点继续往下聊

但因为很多内容，比如XXE在别的语言里还可以用的协议，这种我是知道的，但是因为通常都是有需要就直接百度现查，所以只能说写大概，具体的说不上来

总结

面试中注重的还是漏洞挖掘这一块的内容，开头都是从这些讲，比如我讲了三个点，那么就三个点分别继续深入的提问，到知识盲区了之后，也会有解答

当然也有设计一些场景，问你那种情况下怎么办、如何利用

还好简历上没有写乱七八糟的内容吧，不然问起来我不会，也挺尴尬，对自己不熟悉的内容最好还是不要写上去，所以还是提个醒，实事求是吧，不要花里胡哨

但怎么说技术面试也过了，不出意外的话，下周就入职了吧哈哈（flag

原文始发于微信公众号（E条咸鱼）：面试记录