某甲方安全工程师校招面试

这是第一次面严格意义上的甲方,知识面学到了很多,问题也很不一样

9.14 视频一面

面试时长:一小时

  • 介绍下自己熟悉的渗透领域
  • 你会什么语言,能写什么东西
  • 你在上一家实习公司的主要工作内容是什么,说一下流程
  • 上家公司是乙方是吧,最后需要写报告吗,需要提出解决方案吗
  • 说一下渗透的流程
  • 你sql注入常用的工具,或者说手工结合工具
  • 你经常用扫描器吗,为什么很少用
  • 你渗透过程中碰到过waf吗,遇到了怎么办
  • 作为乙方,你认为有waf的渗透测试和没有waf的渗透测试哪个好
  • 你遇到过的注入的种类
  • 堆叠注入和联合查询的不同点
  • sqlmap想要看到更详细的信息需要什么命令,怎么看返回的响应包
  • sqlmap –os-shell的原理
  • 注入拿shell的条件
  • Oracle、Mssql、MySQL注入的不同点,区别在哪
  • 上传绕过的方法
  • 说一下常见的逻辑漏洞
  • 修改密码有5步,说一下你找逻辑漏洞的思路
  • 你burp用的什么版本,是破解版的吗(实在不明白为啥问我这个,难道是公司都用正版的么)
  • 扫描器会用吗
  • 你还有其他的什么技能
  • 内网的渗透思路
  • 你碰到的内网是idc还是办公网(当时不知道idc是啥,随便答了个IDC,尴尬,后面面试官就直接说数据中心hhhh)
  • 你常用的免杀方法
  • 你觉得免杀在甲方有用吗(emmm雀食)
  • 你了解的防火墙有哪些
  • 注入的防护方法
  • csrf的防护方法
  • token加到哪里,加在cookie里会怎么样,加不加在cookie里区别在哪,为什么加token可以防护csrf
  • 如果不加token的话,只加验证码可以防护csrf吗,说一下你的理解
  • 如果你找到了一个业务的漏洞点,你要和开发沟通去修复,但是开发不想修复,你怎么和开发沟通,开发说这个软件已经发布了,现在才告诉漏洞点,为什么不提前告诉,你怎么办
  • 开发并不懂安全,也不了解漏洞的原理,他要你只告诉他怎么写代码,你怎么和他沟通,他要你教他怎么写代码怎么办(????搞开发的不会写代码难道让搞安全的写么 hhhhhh)
  • sql注入到的数据库都是明文怎么办,比如说姓名,手机号,身份证需要怎么处理
  • des、aes加密算法说一下
  • 用户上传身份证这里你觉得需要注意什么(作为一个甲方人员)
  • 上传的身份证图片怎么防止审核员工偷偷保存
  • 如果他截屏或者右键保存怎么办,怎么防止
  • 上传的图片本身怎么处理(这里确实了解的很少,可以简单的加水印,明水印和暗水印)
  • 怎么对审核人员的权限进行限制,比如说超级管理员、管理员、客服人员等
  • 如果这个员工调去了另一个部门,但是他还有以前部门的权限,这时需要回收他的权限吗,你怎么知道他不在这个部门了呢
  • 给你一个系统,你怎么渗透测试
  • 对这套系统怎么进行风险评估,给出解决方案,修复方案
  • 你还有什么想问的吗
  • 我们公司经常加班,可以接受加班吗

后面就是介绍了一下他们安全部的几个小组,介绍了他们组的内容,是做数据中心和权限治理的,也有其他的渗透小组,移动端小组等5个小组。先选一个小组作为二面的意向小组,一面通过的话,这个意向直接导致二面面试官的不同。

总体来说这次面试还是非常好的体验,面试官问完我问题后,会告诉我那些我不了解的点,还详细介绍了他们部门所要干的工作,这里我本来后面录屏了,但刚刚发现录的系统声音,没录到麦克风~~~

二面希望也不大,本来也没抱希望(我是废物)

Peace.