某甲方安全工程师校招面试

这是第一次面严格意义上的甲方，知识面学到了很多，问题也很不一样

9.14 视频一面

面试时长：一小时

• 介绍下自己熟悉的渗透领域
• 你会什么语言，能写什么东西
• 你在上一家实习公司的主要工作内容是什么，说一下流程
• 上家公司是乙方是吧，最后需要写报告吗，需要提出解决方案吗
• 说一下渗透的流程
• 你sql注入常用的工具，或者说手工结合工具
• 你经常用扫描器吗，为什么很少用
• 你渗透过程中碰到过waf吗，遇到了怎么办
• 作为乙方，你认为有waf的渗透测试和没有waf的渗透测试哪个好
• 你遇到过的注入的种类
• 堆叠注入和联合查询的不同点
• sqlmap想要看到更详细的信息需要什么命令，怎么看返回的响应包
• sqlmap –os-shell的原理
• 注入拿shell的条件
• Oracle、Mssql、MySQL注入的不同点，区别在哪
• 上传绕过的方法
• 说一下常见的逻辑漏洞
• 修改密码有5步，说一下你找逻辑漏洞的思路
• 你burp用的什么版本，是破解版的吗(实在不明白为啥问我这个，难道是公司都用正版的么)
• 扫描器会用吗
• 你还有其他的什么技能
• 内网的渗透思路
• 你碰到的内网是idc还是办公网(当时不知道idc是啥，随便答了个IDC，尴尬，后面面试官就直接说数据中心hhhh)
• 你常用的免杀方法
• 你觉得免杀在甲方有用吗(emmm雀食)
• 你了解的防火墙有哪些
• 注入的防护方法
• csrf的防护方法
• token加到哪里，加在cookie里会怎么样，加不加在cookie里区别在哪，为什么加token可以防护csrf
• 如果不加token的话，只加验证码可以防护csrf吗，说一下你的理解
• 如果你找到了一个业务的漏洞点，你要和开发沟通去修复，但是开发不想修复，你怎么和开发沟通，开发说这个软件已经发布了，现在才告诉漏洞点，为什么不提前告诉，你怎么办
• 开发并不懂安全，也不了解漏洞的原理，他要你只告诉他怎么写代码，你怎么和他沟通，他要你教他怎么写代码怎么办(????搞开发的不会写代码难道让搞安全的写么 hhhhhh)
• sql注入到的数据库都是明文怎么办，比如说姓名，手机号，身份证需要怎么处理
• des、aes加密算法说一下
• 用户上传身份证这里你觉得需要注意什么(作为一个甲方人员)
• 上传的身份证图片怎么防止审核员工偷偷保存
• 如果他截屏或者右键保存怎么办，怎么防止
• 上传的图片本身怎么处理(这里确实了解的很少，可以简单的加水印，明水印和暗水印)
• 怎么对审核人员的权限进行限制，比如说超级管理员、管理员、客服人员等
• 如果这个员工调去了另一个部门，但是他还有以前部门的权限，这时需要回收他的权限吗，你怎么知道他不在这个部门了呢
• 给你一个系统，你怎么渗透测试
• 对这套系统怎么进行风险评估，给出解决方案，修复方案
• 你还有什么想问的吗
• 我们公司经常加班，可以接受加班吗

后面就是介绍了一下他们安全部的几个小组，介绍了他们组的内容，是做数据中心和权限治理的，也有其他的渗透小组，移动端小组等5个小组。先选一个小组作为二面的意向小组，一面通过的话，这个意向直接导致二面面试官的不同。

总体来说这次面试还是非常好的体验，面试官问完我问题后，会告诉我那些我不了解的点，还详细介绍了他们部门所要干的工作，这里我本来后面录屏了，但刚刚发现录的系统声音，没录到麦克风~~~

二面希望也不大，本来也没抱希望(我是废物)

Peace.