1. 就安全方面，比如学习方法啊，学习经验啊简单介绍一下自己2. 我看你是去做过防守是吧，简单介绍一下自己的收获3. 像注入的话你是了解的 mysql、sqlserver、oracel还是都了解一些？4. mysql的报错注入有哪些知道么？简单介绍一下5. 文件上传的一些常见绕过方法了解么？6. 文件包含的一些利用方法呢？7. java常见的一些高危函数自己有总结么？8. runtime.exec底层有什么限制你知道么？没答出来，面试师傅又给了一个提示，比如和php的命令注入有什么不一样的点么？还是没答出来。。。。9. 简单说一下java的反射吧10. 像CC链的一些基本原理可以说一下么？11. 还有一些CC链是执行代码的，能简单介绍一些么？12. 反序列化的危险函数讲一下吧其实也就是问反序列化的原理13. shiro 550的原理简单讲一下吧，shiro的一些waf绕过方法讲一下14. rmi的漏洞原理讲一下，中间出的一些安全机制了解过么？其实就是JEP290那些（好久没复习了，忘了.....）15. 讲一下内存马吧，包括一些种类以及原理16. JAVA代码审计你是学了哪些内容呢?有什么收获17. 思路没有什么问题，但是可能对高危函数没有什么总结是吧？确实没有总结。。。。18. 讲讲你挖的这几个漏洞19. 现在给你一个web网站的话，你通常会做哪些测试呢20. 我看你做防守的时候也做过一些渗透测试是吧？简单讲一下21. 内网的委派了解么？22. 黄金票据和白银票据讲一下23. 你后面是想做哪个方向？我：其实我更喜欢白盒和内网一点。面试师傅：我们这边主要是渗透测试的。我：喔喔，其实我感觉渗透测试也挺好，工作的话肯定以工作为主24. 我看你还有ctf的奖，讲讲你印象比价深刻的点25. 前面好像xss没问到，这个漏洞的触发点在哪里你知道么？最开始我误解了，我以为问的是你平常怎么挖掘，其实他想问的是xss的类型26. xss常见的检测方法和绕过方法有哪些呢？。。。确实对xss了解比较少，我一般见框就x27. ssrf的一些深入利用你知道么？28. ssrf那如果需要认证的redis你会怎么办？29. dict和gopher协议有什么区别30. 任意文件下载的一些后利用了解吗？31. 你刚刚说了passwd文件，那你下载这个文件有什么意义呢？