渗透测试实习生总结


经过安恒渗透测试实习生面试,谈谈收获和感受吧。

菜鸟曰:

约了下午三点的面试,紧张地前一天网上都没睡好,当天早上7点就开始复习准备(只说面试当天),无奈10点太困了,又爬回去睡了一觉。然后就是没有胃口的随便吃了些继续准备,天气是真的热(垃圾学校没有空调,当天温度36,而且楼下就是几个饭店的空调外机,宿舍靠楼道的一端全天都在承受暴晒),中午一点的时候热的头脑发昏,感觉都要毙了。趴在桌子上五分钟缓了一会,一边复习一边一分一秒的等,终于到 3点了,但是没有收到面试官的电话(心里十分惊慌,也很纠结要不要打过去)。终于,等了快半个小时依旧没有收到面试官的电话,于是鼓起勇气打了过去,面试官说等他找个地方再开始面试。刚开始面试感觉十分的不好,一方面面试官的环境太空旷传来的声音有回音听不清楚,另一方面天气太热,脑子都热蒙了,思路连不上,说话断断续续的。经过自我介绍后,也没那么紧张了,面试官开始发问,从web层的漏洞、系统漏洞、中间件漏洞、逻辑漏洞、安全工具的使用、OWASPTOP10、安全狗、常见的绕过操作等等等等到平实的实践,有米有尝试挖过漏洞、自己搭过靶场,接着又来了一套基础知识的提问。总的下来,发现自己在学习的时候总结的很不到位,学习没有体系,东一锤子西一锤子,get不到重点。

1. 概念不清晰:面试官问逻辑漏洞,平实虽然接触过想文件包含之类的,但是并不知道哪些是逻辑漏洞。也包括一些反弹shell之类的,都做过,但是没去了解到底哪些该化为反弹shell(还是太菜)。

2. 学习缺乏深入:前些天刚看过ssrf、csrf、XXE,但是面试官问的时候,ssrf基本忘得啥也不剩,面试官也是人好,转问我csrf,问我是否实践过CSRF,回答实践过,然后当我说我扫描过很多网站(不建议扫描,这个容易出事),发现大多网站都有csrf风险,但是利用比较难。面试官问:有没有想过为什么会常出现csrf漏洞,一下子把我干蒙了。记得曾经在DVWA里边看过源代码的,但是状态不好,当时没想起来,而且想起来了,我感觉学的也太浅了。

3. 严重缺乏实践:面试官问到自己搭建平台尝试过做一些漏洞复现没有,这一点做得很差。面试官显然对我的变现不满意,告诉我说:学生时代哪些要消费的东西没有做可能是可以理解的,但是想那些免费的漏洞项目和操作应该是可以尝试的。

4. 知识面太浅了:这个其实很重要,有些东西学不会没关系,但是最起码要知道个大概。要不然当两个人聊天的时候就少了这个话题,尤其是跟面试官聊天的时候。

总结:

    面试还是多参加一些为好,毕竟面试和笔试的差距大很多,你的回答要充分考虑地面坐着的人的情绪,最显著的就是一个问题不可能思考的很久。另外就是,什么知乎、QQ浏览器、抖音之类的还是尽早戒了吧,多学习、多实践。

 

 

  • 5
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值