安恒安全岗实习一面 03.11
1.自我介绍
2.面试官看我简历上写的都是 Web渗透这块的,问会测APP小程序吗?
3.SQL注入是怎么形成的?
4.SQL注入有哪几种类型?
5.一般怎么判断这个点是否存在注入?
6.例如一个搜索框有可能存在SQL注入吗?例如像一个OA系统,有一个查询的功能,比如输入一个王,会有王**、王*.......,问这个地方是否会存在SQL注入?
7.SQL注入一般能getshell吗?要怎么弄?用sqlmap的话需要什么条件?比如数据库是MySQL,获得shell需要什么条件?如果有写的权限、知道网站的绝对路径,除了sqlmap还有其它能获得shell的方法吗?
8.在进行SQL注入过程中,如果有WAF的话你会怎么办,不一定是***,例如各种过滤规则,输入敏感字符就不正常显示了,返回404之类的,这种情况应该怎么办?
9.XSS有哪几种类型?
10.XSS有什么危害?
11.如果网站设置了httponly,还能获取cookie吗?如果设置了httponly,有了解过绕过方式吗?
12.XXE漏洞有了解过吗?有什么危害?
13.有挖过SRC吗?
14.CTF有打过吗?
15.编程语言这块都了解过哪些?
16.了解过反序列化漏洞吗?像Java反序列化一些组件漏洞有了解过吗?
17.通用的CMS漏洞有了解过吗?例如什么蓝凌OA、致远OA有听说过吗?
18.扫描器这块AWVS有用过吗?
19.最后反问
#网络安全面经#