网络安全面经

本人基本情况：中流985网络安全本科生，大一、大二都没有接触过渗透。大三暑假找了个实习，做渗透测试，应付校招。笔试：笔试可以选两个方向，web渗透或二进制。web渗透的都是选择题，有代码审计、web漏洞、渗透工具等内容，60分可通过。一面：时长1h（面试官应该也是做web渗透的，问的比较详细）自我介绍。聊一下渗透测试的项目经历。问的很细，具体实现的细节都会问到。burpsuite怎么爆破密码？log4j了解吗？sqlmap原理，看过源码吗？内网：怎么横向移动？怎么搭建隧道？windows哈希怎么抓？为什么可以进行哈希传递？关于NTLM协议的问题？会什么编程语言？聊我做的shellcode加载器...

校招timeline：8.28初试-9.3ld面-9.4回到人才库美团挂人速度很快，基本一天没挂就稳了。已回到人才库，占个坑有时间更新凉经攒人品

1.自我介绍   2.面试官看我简历上写的都是 Web渗透这块的，问会测APP小程序吗？      3.SQL注入是怎么形成的？   4.SQL注入有哪几种类型？   5.一般怎么判断这个点是否存在注入？   6.例如一个搜索框有可能存在SQL注入吗？例如像一个OA系统,有一个查询的功能，比如输入一个王，会有王**、王*.......,问这个地方是否会存在SQL注入？   7.SQL注入一般能getshell吗？要怎么弄？用sqlmap的话需要什么条件?比如数据库是MySQL,获得shell需要什么条件？如果有写的权限、知道网站的绝对路径，除了sqlmap还有其它能获得shell的方法吗？  ...

阿里已意向，回馈牛客 投递的安全岗，因为没什么经验，然后错过了阿里的提前批，也没找内推，官网一开就直接投递 一面 3/10 1h  自我介绍 选一个项目详细讲一讲 挖掘漏洞的思路和想法 数据保护和防护手段 shellcode编写能力 Exp编写能力 编译和链接过程 对称算法和非对称算法 HTTPS的握手过程 证书的组成和原理 RSA的原理 职业规划 两道手撕题  二面 3/13 1h20min  自我介绍 漏洞相关 主要是围绕项目进行深挖，面试官人很nice  三面 3/25 40min  自我介绍 选一个项目介绍 针对项目的不足和改善进行提问 动态分析和静态分析方法 各个开发语言的特点 未来...

本来和面试官约的是下午三点的面试，谁知面试官半个小时后还没来，后来还是通过HR才联系上面试官。   给你一个站，怎么渗透？   危险端口有哪些？      当时不会，只回答了80和3306。。   怎么绕过文件上传？    更改MIME类型和后缀名，其他的都没答上来。。   XSS的输入方式？             当时我心想输入方式是什么。。   平时怎么注入的？手工注入还是用sqlmap?   两者结合   渗透测试的流程？   有没有做过APP渗透？      没有。。   了解过什么编程语言？    Java和Python   了解过应急吗？           没有。。   当时感...

任何求职问题可加微信1129376755咨询(备注姓名-意向岗位)如果你，懂攻防，热爱漏洞挖掘、防御策略或者你，爱 算法 ，热衷 机器学习 、异常检测或者你，很敏锐，擅长问题定位、事件溯源或者你，够聪明，超爱逻辑分析、场景还原又或你，尚未涉足相关领域但正义感爆棚，敬畏崇尚技术期待守护亿万用户网络安全和全球黑客过招，打击黑产那么，安全与 风控 团队欢迎你！在这里有充分决策空间，不做螺丝钉有丰富的场景，面对千万QPS挑战在这里汇聚全球视野，领略前沿技术安全大佬在身边，牛人天天见快速投递链接https://jobs.toutiao.com/s/egKDEPq安全与风控: https://jobs.b...