扫码领资料
获网安教程
免费&进群
掌控安全-1198950962
一面
-
所面试的公司:北京某誉
-
所在城市:北京
-
面试职位:渗透测试工程师(联通外包驻场)
-
薪资:9k-10k
-
腾讯会议
1. 介绍一下自己
自我介绍,吹吹牛逼
2. 有没有参加重包,护网之类的活动。
没有
3. 会什么编程语言
PHP,Python
4. python写过什么工具吗
写过一些poc,爆破脚本
5. 3306,7001,7002是什么端口
3306是MySQL默认端口,7001是Weblogic的默认端口,7002不知道
6. 讲一下log4j
Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,进行JNDI注入,执行任意代码。
7. log4j如果不用工具怎么测
有通过jndi注入配合dnslog判断是否有漏洞
8. 给你一个后台登录窗口怎么测
扫目录,SQL注入,用户名遍历,弱口令,忘记密码处爆破验证码。
9. 逻辑漏洞怎么测
可以拿两个不同权限账号通过修改cookice,来判断是否存在越权
10. 验证码怎么绕过
写爆破脚本,万能验证码000000,验证码重复使用
11. Apache Shiro 反序列化讲一下
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
12. app客户端你怎么测的
测试客户端程序安全,组件安全等
13. 小程序测过什么漏洞
逻辑漏洞等
14.有什么想问我的
一共有几面,有客户面吗?
后面还有两面,有客户面的。
二面
1. 介绍一下自己
自我介绍,吹吹牛逼
2. 讲一下CSRF
CSRF跨站请求伪造,是一种对网站的恶意利用。csrf漏洞的成因就是网站的cookie在浏览器中不会过期,只要不关闭浏览器或者退出登录,那以后只要是访问这个都网站,会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能
3. 给你一个后台登入页面,你怎么撸
扫目录,SQL注入,用户名遍历,弱口令,忘记密码处爆破验证码。
4.你有什么想问我的
没什么想问的,一面问过了
二面比较简单,就两三个问题就结束了
三面
-
客户和那个公司负责人一起面试
-
下面问题就不解答了,你们可以自己去搜素,有些我也没答出来
1. 介绍一下自己
2. js常见加密有什么,你碰到过什么
3. 这些加密算法有什么缺点
4. 常见http传输协议有哪些(如get,post,put,),这些协议主要干什么的
5. https加密原理是什么
6. CSRF底层原理是什么
7. 上个公司挖到过什么有意思的漏洞
8. APP主要测什么
9. 双向认证你怎么提取证书,然后怎么抓包呢
10. 代码审计有审出过什么0day
11. 你PHP是否达到开发水平
最后一面挂了
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
扫码白嫖视频+工具+进群+靶场等资料
扫码白嫖!
还有免费的配套靶场、交流群哦
原文始发于微信公众号(掌控安全EDU):面试经验分享北京联通外包驻场面试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论