经过安恒渗透测试实习生面试,谈谈收获和感受吧。
菜鸟曰:
约了下午三点的面试,紧张地前一天网上都没睡好,当天早上7点就开始复习准备(只说面试当天),无奈10点太困了,又爬回去睡了一觉。然后就是没有胃口的随便吃了些继续准备,天气是真的热(垃圾学校没有空调,当天温度36,而且楼下就是几个饭店的空调外机,宿舍靠楼道的一端全天都在承受暴晒),中午一点的时候热的头脑发昏,感觉都要毙了。趴在桌子上五分钟缓了一会,一边复习一边一分一秒的等,终于到 3点了,但是没有收到面试官的电话(心里十分惊慌,也很纠结要不要打过去)。终于,等了快半个小时依旧没有收到面试官的电话,于是鼓起勇气打了过去,面试官说等他找个地方再开始面试。刚开始面试感觉十分的不好,一方面面试官的环境太空旷传来的声音有回音听不清楚,另一方面天气太热,脑子都热蒙了,思路连不上,说话断断续续的。经过自我介绍后,也没那么紧张了,面试官开始发问,从web层的漏洞、系统漏洞、中间件漏洞、逻辑漏洞、安全工具的使用、OWASPTOP10、安全狗、常见的绕过操作等等等等到平实的实践,有米有尝试挖过漏洞、自己搭过靶场,接着又来了一套基础知识的提问。总的下来,发现自己在学习的时候总结的很不到位,学习没有体系,东一锤子西一锤子,get不到重点。
1. 概念不清晰:面试官问逻辑漏洞,平实虽然接触过想文件包含之类的,但是并不知道哪些是逻辑漏洞。也包括一些反弹shell之类的,都做过,但是没去了解到底哪些该化为反弹shell(还是太菜)。
2. 学习缺乏深入:前些天刚看过ssrf、csrf、XXE,但是面试官问的时候,ssrf基本忘得啥也不剩,面试官也是人好,转问我csrf,问我是否实践过CSRF,回答实践过,然后当我说我扫描过很多网站(不建议扫描,这个容易出事),发现大多网站都有csrf风险,但是利用比较难。面试官问:有没有想过为什么会常出现csrf漏洞,一下子把我干蒙了。记得曾经在DVWA里边看过源代码的,但是状态不好,当时没想起来,而且想起来了,我感觉学的也太浅了。
3. 严重缺乏实践:面试官问到自己搭建平台尝试过做一些漏洞复现没有,这一点做得很差。面试官显然对我的变现不满意,告诉我说:学生时代哪些要消费的东西没有做可能是可以理解的,但是想那些免费的漏洞项目和操作应该是可以尝试的。
4. 知识面太浅了:这个其实很重要,有些东西学不会没关系,但是最起码要知道个大概。要不然当两个人聊天的时候就少了这个话题,尤其是跟面试官聊天的时候。
总结:
面试还是多参加一些为好,毕竟面试和笔试的差距大很多,你的回答要充分考虑地面坐着的人的情绪,最显著的就是一个问题不可能思考的很久。另外就是,什么知乎、QQ浏览器、抖音之类的还是尽早戒了吧,多学习、多实践。
6979
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
