秋招:腾讯玄武实验室一面凉经
啪的一下,很突然,腾讯的电话就来了,而我什么都没准备
面试官1:
今天我们有两位面试人员
我:
?
面试官1:
先做一个自我介绍吧
我:
简单说了下,姓名,学习,实习过的经历
面试官1:
讲解一下CSRF原理吧
我:
大脑一片空白(因为蒙) 然后说成了页面钓鱼
面试官1:
什么时候接触web安全的
我:
大一下吧,前面学习计算机基础知识与编程语言,打基础
面试官1:
为什么学WEB安全
我:
具体忘了反正就将讲怎么接触到WEB安全,然后学习的
面试官1:
参加过哪些比赛
我:
就简历上的,校级和省级
面试官1:
你发挥了那行作用
我:
因为那时候大二主要尝试web题目,并且给其他队员提供类似摸索内置规则的帮助(其实就是菜浑水摸鱼)
面试官1:
讲讲反序列化吧
我:
? 说实话我还没实战搞过 反正就按照我理解随便说了 将反序列化的内容序列化 将内容可视 方便进一步攻击
面试官1:
说一说最近你关注的安全圈大事
我:
? 满脑子的区块链 算了就说不出来了 哇这是真的尴尬
面试官1:
那你说说你遇到最优印象的吧
我:
还是蒙 只能随便说了 以前绕waf的经历 一个国外的joomla的站 大概就是脏数据(确实菜)
面试官1:
我看你简历上有黑盒测试 说一说吧
我:
一个是钱包的测试 一个是交易所的测试,钱包主要是信息泄露,水平越权
面试官1:
怎么发现的
我:
信息泄露是webpack可以直接查看api 等调用信息,水平越权是构造josn包返回了用户数据账户密码之类的
面试官1:
怎么构造的
我:
。。。。 我师父教的,具体是他以前有过经验
面试官1:
。。。。(这是他第一会沉默)
我:
.。。。
面试官1:
那继续说说交易所
我:
内心(其实真没好说的因为实际只挖了一个IP地址可伪造)当然不能再让面试官无语了 ,我就只好将测试思路说一遍,测试注册功能,验证码,注入,XSS,逻辑漏洞,信息泄露等还提了一嘴WEB3
面试官1:
好我的问题差不多了
面试官2:
我主要是问管用区块链相关的问题
我:
欧耶 终于能插上嘴了
面试官2:
讲一讲逆向函数涉及到的接收参数的指令集
我:
? 然后脑子一抽 首先设置函数时确定传参类型,uint256 address 啊什么的,然后是谁能调用它来进行传参 public internal 什么的
面试官2:
不是 我的意思是重复了一遍
我:
? 突然想明白 他想问的是EVM虚拟机指令集 连忙说 我在做逆向的时候主要涉及 伪代码 在研究时也一般对照指令集来梳理逻辑的 具体说出来 不太行
面试官2:
好吧,那我们来说说重入漏洞
我:
终于可以和他好好讲了 重入漏洞 主要有三个因数 首先 使用call函数进行转账且对gas费没做限制 然后改变相应变量发生在转账后 最后没有使用拒绝重入函数修饰器进行函数调用限制
然后我又加上最近研究的漏洞 就是原函数前两个因数都有 但是使用了拒绝重入函数修饰器 会有重入漏洞吗 有因为该函数为sell函数 就是卖币的 其实就是交易对的出售功能 有出售就有买函数
purchase函数 没错purchase函数没有做函数限制 可以用fallback函数来调用purchase函数 这依然算是重入
面试官2:
嗯嗯嗯
我:
终于好了
面试官2:
有对最近那个最大的区块链安全事件有了解吗
我:
有 不过主要还是由部门里大佬了解的 最初认为该事件是私钥泄露也就是内部员工作乱 后面 又了解到可能是什么碰撞引起的替换私钥,巴拉巴拉
面试官2:
好,那你对密码学有事吗接触嘛
我:
接触不是太多 主要就是椭圆加密曲线 公私钥 hash 什么的
面试官2:
我看你简历有许多对Defi的审计,那你有什么对漏洞的挖掘的经验吗
我:
首先对代码整体逻辑要清晰,细看就注意函数使用,变量问题.什么巴拉巴拉所有智能合约问题都说了一遍
面试官2:
嗯好 那现在我问你个问题 你思考下 在DEFI项目中建立了各种各样的经济模型 怎样才能找出可能存在的漏洞
我:各种计算模型对应都是各种变量与常量,各种经济曲线图都是有大量的计算绘出来的,只要我们对变量进行有规律的控制,研究对应图,就可能发现相应问题(原谅我不懂数学,我也很蒙)
面试官2:
讲讲你对未来可能出现的新型漏洞的猜想吧
我:
? 好嘛 想不出来 就随便说了 以前看过的 蚂蚁关于 可能出现假充值 ,假转账(后面我再去看了下马上就说到 回滚漏洞了)
面试官2:
有一种 游戏在猜对正确答案后可获得奖励
我:
抢答 就是黑客可以控制矿工 那控制区块 或者 获取区块时间什么的 来抢先获得奖励(其实他想说的就是 回滚漏洞我 勒个去)
面试官2:
。。。 好像 也还算满意吧 虽然不是在讲同一个事
最后面试官1让我反问 我那还敢乱说啊 就问问部门走哪个方向的我想走区块链(其实我知道 就是区块链就想最后搏一搏好感了)
总结
web垃圾 区块链还行
我是fw。。
改成项目亮点观感会更好
查看21道真题和解析