某盟安服校招面试题

9.2 视频一面

一面还是很简单的,没有问什么技术方面的东西

1.介绍一下自己的学校、专业情况、学校成绩、排名这些

2.学习安全多长时间了

3.现在的学习方向

4.说说你对未来的规划

5.在校期间有没有打过ctf 挖过src

6.说说你的项目经历

7.说说你的实习经历

8.为什么选择绿盟这家公司

9.拿到一个站点的渗透思路

大概就这些,正常回答就好了。

9.6 电话二面

二面来面的技术,面了半个多小时,中间面试官还遭遇了Ddos(有点离谱)

1.自我介绍 和一面不同的是,这里主要介绍自己会的东西,研究方向

2.学习安全是自学还是报班学

3.有没得打过ctf 和挖过src

4.有没有运维经验(这里因为我简历上写了熟悉Windows和Linux的运维,翻车了,也面试过好几次了,但也从来没问过运维 哈哈哈,已经把简历改过来啦)

5.基础的web漏洞原理,sql注入的分类,存在点,怎么判断,怎么利用,遇到了waf怎么绕过

6.xss问的比较多,分类,三种xss不同的区别,存在的位置,怎么绕过waf (后来才知道绿盟的扫描器大部分都是扫出来的xss,哈哈哈,怪不得问这么多xss)

7.对逻辑漏洞了解多少,遇到一个有验证码的登录框,存在找回密码功能,你有什么想法

8.http 数据包的结构

9.文件上传的绕过思路,绕过waf

10.谈谈你的项目经历

11.你印象最深的渗透经历是哪次

12.会什么语言,写过什么东西

13.Java安全了解吗(这里我直接说了对Java安全不了解,不然后续应该会问)shiro 、fastjson、weblogic反序列化的原理,还问了你碰到shiro 、weblogic这类站点怎么处理(我直接exp 哈哈哈)

14.渗透过程中常见的端口号以及对应的服务

15.内网渗透经历,详细说下过程,渗透思路

16.拿到webshell发现目标主机不出网怎么办

17.有没有复现过一些漏洞

18.会不会关注最新的安全资讯

19.说一下通配符注入

20.内网中横向的常用方法

21.说一下你是怎么做免杀的(我刚说完无源码的免杀,就问我下一个问题了……我都还没说完……)

22.对域前置技术了解多少

23.目前的研究方向,未来的研究方向,规划

24.有没有代码审计能力

25.怎么找越权漏洞,常见的参数

emmm,大概就这些吧,暂时想起来了这么多,后面想起来了再补充。

9.10结果

我是废物呜呜呜

安服岗被拒

image-20210910223809093

但是我个人认为二面技术上问的问题都是过关的。。。被拒原因emmm,不合适吧哈哈哈(还是太菜了)

Peace.