作者:掌控安全passerby
所面试公司:安洵信息科技有限公司
薪资待遇:双休
所在城市:南京
面试职位:渗透测试工程师
面试过程:
第一天上午投的简历,下午收到面试邀请,第二天进行的面试,中间也就一次面试,只是等的时间比较长,最后收到录用通知,大概用了两周的时间
面试官的问题:
1、先做一下自我介绍
这个应该是每个面试官都会问的第一个问题吧
2、讲一下你所了解的web漏洞
我就把top10,讲了一下,还把在学院学到的都说了一下
3、你在SRC挖掘中遇到最多的漏洞是什么
SQL注入,xss,越权还有一些弱口令
4、SQL注入分为几种
显错、盲注,这些学院都有教,全部说出去就行
5、详细讲一下SQL注入
讲一下原理,然后把从开始判断注入点到最后获取到库名的过程,用了哪些方法,说一下就行了
6、XSS有几种,详细讲一下
反射型、存储型、DOM型,在把这几种的特性说一下就好了
7、XSS除了获取cookie,还有别的用处吗
这个当时没有回答上来,后来去网上搜索了一下发现也有不少用途
8、讲一下渗透测试的流程
信息收集、寻找功能点、测试漏洞、漏洞分析、漏洞利用
9、讲一下信息收集都收集那些信息
Whois、指纹识别、敏感目录、子域名、端口、还有一些旁站
(当时有点懵,回答的并不是很好)
10、