二面40min 基础➕渗透➕开放性问答简历里提到的wordpress,具体是自身的漏洞呢还是插件的?公司里有大量的wordpress系统,请问你有什么加固方案吗?后台插件的功能为什么不直接禁用掉呢?后台登录还是会有社工钓鱼或者密码爆破的情况存在,有什么好的方案呢?csp了解过吗?具体讲讲?可以防范哪些漏洞?csp怎么防范csrf的?有什么csp的绕过策略吗给个url讲讲sql注入怎么获得数据库名?有什么防范措施?jpa防范sql注入的原理?预编译呢?什么情况下不能使用预编译?那如何解决这种情况?绕waf了解过吗?阿里云waf,cloudfare这些?云waf的绕过了解吗?云waf一般是部署在什么位置来做到防护效果的给一段Go的代码审计。(like相关sql注入,以及判断if len=0和if err!=nil这两个if判断的区别)http 2.0和http 1.1的区别?如果说现在有http 3.0,打算使用udp协议的话?会是什么原因呢?使用udp的好处和缺点有哪些?任意文件读取有什么扩大利用的打法呢?如果可以写的话有什么打法?场景: 用户验证码登录后使用优惠券购买商品。该场景下可能出现漏洞的地方?针对高并发使用优惠券该如何进行防护,具体的方案?反问