首页 > 22校招-深信服安全攻防研究面经分享
头像
bb娜
编辑于 08-11 17:41
+ 关注

22校招-深信服安全攻防研究面经分享

来自一只安全菜鸟的面经记录分享,不知道凉没凉,纯纯一个小记录
一面(2022.0308)
    ●sql注入绕过waf的方法 
    ●sql盲注,时间盲注利用原理
    ●xss注入的种类(可以顺口提一下注入原理和利用)
    ●讲一下做过的项目
  流程,前期怎么做信息收集,抓改包主要使用什么工具,getshell后有无继续做内网渗透,怎么提权
    ●浅谈CTF经历
  wireshark,主要负责哪一块
    ●webshell管理工具,了解过冰蝎吗(如果有经历的话,此处可展开讲一下msf连接冰蝎实现反弹shell)
    ●反序列化漏洞(浅谈一下原理)
    ●php使用什么连接符
    ●一句话木马主要使用什么函数
    ●复现过哪些漏洞(这个是因为我简历上有写)
  如果复现过基于web的rce漏洞的话,一定要提一下前一段时间爆火的log4j漏洞,说一下漏洞原理即可
    ●DNS查询方式,DNS请求服务器的方法
    ●更熟悉Linux系统还是Windows
  根据自己情况回答即可,会根据你的回答着重问
 答Linux:IPS、nftables、新建用户会有哪几个文件发生改变
    ●比较熟悉的编程语言
有用Python开发过什么小工具吗(这个是根据回答问的),具体怎么实现

二面(2022.0310)
面试官一来先对自己和公司做了一个介绍,给人的感觉很有礼貌,接着我做自我介绍,然后就开始问问题,有说可能会与一面问题重复,主要做一个深入了解。
    ●讲一下做的渗透项目(简历上写的)
  具体通过什么手段实现什么目的,根据你的回答深入问,比如sql注入怎么实现获取数据库敏感信息之类的
    ●除了渗透项目用到的这些漏洞,还知道其他的web漏洞吗
  这里回答了文件包含、反序列化、csrf,浅讲了一下xss和csrf的原理和区别
    ●接着问文件包含怎么实现
  回答了PHP协议,接着问攻击者可以利用这些协议分别实现什么样的效果
    ●二进制漏洞
    ●tcp/ip协议分别是几次握手和几次挥手
  答三次握手和四次挥手,接着问为什么是四次挥手
    ●log4j漏洞
  浅讲了一下原理和利用
    ●https协议怎么防止中间人攻击
    ●问了一下数据结构的相关问题,排序算法
  浅答一下排序算法,接着把能想到的数据结构名词都说了,没有深入问
    ●有了解过操作系统吗(面试官说是拓展一下,知道多少说多少就行了)
    ●wireshark和burpsuite有什么区别
    ●浏览器漏洞,比如Chrome
  这里答了一个基于Chrome的远程代码执行漏洞,浅讲一下原理和利用

总结:相对于一面,二面更倾向于根据你的简历和回答产生分支展开问,问题虽然相对少但却比较广,会对你比较熟悉的模块深入问,不熟悉的浅答即可(但注意不要说不知道,把能想到的相关回答全说了)。

更多模拟面试

全部评论

(2) 回帖
加载中...
话题 回帖

近期热帖

历年真题 真题热练榜 24小时
技术(软件)/信息技术类
查看全部

近期精华帖

热门推荐