这套渗透题太刁钻了,HR:“要么答,要么走人”

最新推荐文章于 2022-07-30 01:26:26 发布
最新推荐文章于 2022-07-30 01:26:26 发布
阅读量173 收藏 6
点赞数 7
分类专栏: 面试 文章标签: 网络安全 渗透测试 程序人生 经验分享 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jklbnm12/article/details/119215819
版权
本文讲述了作者在面试大厂渗透测试工程师时遇到的复杂问题,包括信息收集、数据库注入、服务器判断、CMS分析、漏洞利用等。这些问题涉及到网络安全的多个方面,如MySQL注入、服务器容器、提权、社工攻击等。同时,文章还反映了作者对于面试过程中的不满情绪。
摘要由CSDN通过智能技术生成
前言

本人从事网络安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

今天去某大厂面试渗透测试工程师,直接把我的脑壳给气炸了,尤其是面试时HR一副趾高气昂的口气对我讲:“要么答,要么走人。”

我当时就炸了,嘴角开始不自主地颤动,对着HR就是一顿歇斯底里的痛斥:“我就是去夜市叫卖,也不愿在这里糟蹋自己。”

说完我夺门而出,到了晚上我从黄牛手中花费50元购入了一张摆摊证书,又租下了平常下班经常路过的内衣摊位,开始叫卖。

我想我只是咽不下这口气。

一起来看看这套刁钻的面试题吧!

1.拿到一个待检测的站,你觉得应该先做什么?

  • 收集信息

    whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说…

最低0.47元/天 解锁文章
网安溦寀
关注
专栏目录
成功解决极其刁钻bug之SyntaxError: invalid character in identifier
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
09-14 5561
成功解决极其刁钻bug之SyntaxError: invalid character in identifier 目录 解决问 解决思路 解决方法 解决问 SyntaxError: invalid character in identifier 解决思路 语法错误:标识符中的字符无效 解决方法 将 res02=data_frameA.query('salary_06<=19000') 改为 res02=da...
常见的解析漏洞总结
m0_51428325的博客
12-26 1021
一、解析漏洞 解析漏洞指的是服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站的沦陷。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。 二、常见的解析漏洞 1、IIS5.x-6.x解析漏洞 使用 IIS5.x-6.x 版本的服务器,大多为Windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,不能解析aspx文件。 目录解析漏洞 IIS6.0中的目录解析漏洞,如果网站目录中有一个 *.asp/ 的文
网络安全工程师面试整理
m0_67393686的博客
07-30 7366
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p指定端口扫描-sTtcp扫描-sPping扫描-Pn不进行ping扫描-o操作系统探测。
一套实用的***测试岗位面试,你会吗?
weixin_33827731的博客
04-11 1720
本文内容大部分转载自Mrxn's Blog,仅作少部分修改。1.拿到一个待检测的站,你觉得应该先做什么?收集信息whois、网站源IP、旁站、C段网站、服务器系统版本容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说...2.mysql的网站注入,5.0以上和5.0以下有什么区别?5.0以下没有information_schema这个系统表,无法列表名等,只能...
渗透测试岗位面试(重点:渗透思路)
hackzkaq的博客
01-21 1670
`搜索公众号:白帽子左一,每天更新技术干货! 本文主要是讲解遇到问的各思路解决方法,不仅可做为面试查看,在实操中收到思绪的阻碍也可作为参考. 1、拿到一个待检测的站,你觉得应该先做什么? 1)信息收集 1,获取域名的whois信息,获取注册者邮箱姓名电话等。 2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3,查看服务器操作系统版本,web中间件,看看是否存在已知漏洞,比如IIS,APACHE,NGINX的解析漏洞 4,查看IP,进行IP
渗透测试常见的面试
qq_52072846的博客
04-14 4093
拿到一个待检测的站,你觉得应该先做什么? 收集信息:whois、网站源IP、旁站、C段网站、服务器系统版本容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说 通过站长之家收集域名whois通过nmap 御剑查找服务器系统版本 通过google hack 进一步探测网站的信息 通过google hack 和钟馗之眼查看一些敏感信息,用awvs进行漏洞扫描 mysql的网站注入,5.0以上和5.0以下有什么区别? 5.0以下没有information_schema这个系统表,...
java笔试2015-Interview:名企面试
06-03
Google刁钻古怪面试 博客详解: 2016百度春招笔试(高中熟悉的现在却变得陌生) 博客详解: 程序地址: 2016腾讯软件开发面试(不定项选择【1-12】) 博客详解: 2016 腾讯软件开发面试(不定项选择【13-...
面试通关秘笈:面试过程中常见的刁钻汇总.docx
08-11
"面试通关秘笈:面试过程中常见的刁钻汇总" 面试通关秘笈:面试过程中常见的刁钻汇总 面试是一个非常重要的过程,在这个过程中,面试官会提出各种问来考察应聘者的能力和素质。为了帮助应聘者更好地准备...
25个刁钻面试解析收集.pdf
03-11
【网络资源】标签提示我们这份资料可能包含了网络上搜集的各种面试及解建议,主要针对应届毕业生。以下是对这些面试目的解析和相关知识点的详细说明: 1. **自我介绍**: - 自我介绍是面试的开场白,需要...
渗透5
白帽子九一
09-18 2946
1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源IP、旁站、C段网站、服务器系统版本容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说… 2.mysql的网站注入,5.0以上和5.0以下有什么区别? 5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。 5.0以下是多用户单操作,5.0以上是多用户多操做。 3.在渗透过程中,收集目标站注册人邮箱对我们有什么价值? 丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。
渗透面试
China_C_boss的博客
01-18 2210
1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源IP、旁站、C段网站、服务器系统版本容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说... 2.mysql的网站注入,5.0以上和5.0以下有什么区别? 5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。 5.0以下是多用户单操作,5.0以上是多用户多操做。 ...
渗透测试常见问以及方法
热门推荐
xk的博客
10-24 1万+
渗透测试常见问以及方法。 面试过安全的、渗透的、安全测试的安全运维的、安全服务的,其实来来回回基本问就是那么多,更多的是对安全的理解深度以及新型问的应对和处理能力。 借道哥的一句话:我们不是要做一个能够解决问的方案,而是要做一个能够‘漂亮的’解决问的方案 每一个问我们优雅的对待和处理,就像写婀娜多姿的code一样,它们给你反馈的result也会让你满意。 好些知识点也借鉴了一些...
渗透测试面试
芒果味葡萄
04-21 3252
一、渗透测试面试,包含大量渗透技巧 1.拿到一个待检测的站,你觉得应该先做什么? a、信息收集 1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。用邮箱做关键词进行丢进搜索引擎。利用搜索到的关联信息找出其他邮箱进而得到常用社交账号。社工找出社交账号,里面或许会找出管理员设置密码的习惯 。利用已有信息生成专用字典。 2、查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3、查看服务器操.
一位专科生面上网络安全经验总结
jklbnm12的博客
07-07 2783
摘要 笔者作为网络安全的初识者,从求职者的角度总结了一点点关于渗透测试工程师求职面试的要点给即将毕业的大学生(实习生和应届生)予以参考,以便能更好更快地找到一份自己满意的工作。总结基于笔者本人的几次面试经历,都是自己投简历(广州的几家公司),没有校招。这里简单介绍一下:我自学web渗透和Android逆向半年有余,计算机网络专业的专科生,通过赛事接触web渗透,慢慢接触Android逆向,继而初识网络安全。没有什么值得吹嘘的事,O(∩_∩)O哈哈~,没事就学习研究。 现场面试准备 简历(打印3份以.
奇安信面试网络安全工程师,最担心的却不是技术类问
jklbnm12的博客
07-28 1982
前言 面试,是每个人初入职场必须要经历的一步,当你的事业生涯还为零的时候,面试的结果基本是能够直接决定“生死”的一次机会,职场的残酷,也最能够在一次面试中体现出来。 企业的HR水平参差不齐。教科书式的、经验式的、业务转型式的,每一类HR都会有属于自己的风格。但人力资源行业在国内发展了这么多年,无论是哪一种类型的HR,最终都形成了大体上类似的面试判断标准。 作者以最直观的案例,向大家展示了企业HR面试中判断候选人的一些评判标准。通俗易懂,且指导性强,用诙谐幽默的话语来告诉你,面试的通关办法。 一、双向选择
我跪着看完了这些神仙渗透测试面试
jklbnm12的博客
07-07 473
拿到一个待检测的站或给你一个网站,你觉得应该先做什么? 一、信息收集 1.获取域名的whois信息,获取注册者邮箱姓名电话等。 2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3.通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。 4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统版
十道渗透测试初级面试——长没人看
jklbnm12的博客
07-09 381
前言 在这个浮躁的社会,人人渴望快速成长,越来越多的人习惯快而短的文章,篇幅稍长就快速划走了,所以我整理了十道较为基础的面试出来分享给大家,如果你是一位有耐心有深度,懂得深度阅读的重要性,不满足短暂阅读带来的虚假快乐,可以在文末领取全部面试资料。 目录1. 为何一个 MYSQL 数据库的站,只有一个 80 端口开放?2. 一个成熟并且相对安全的 CMS,渗透时扫目录的意义?3. 在某后台新闻编辑界面看到编辑器,应该先做什么?4. 审查上传点的元素有什么意义?5. CSRF、XSS 及 XXE 有什么.
c站最适合零基础的网安面试汇总
jklbnm12的博客
07-08 325
防范常见的 Web 攻击 什么是 SQL 注入攻击 攻击者在 HTTP 请求中注入恶意的 SQL 代码,服务器使用参数构建数据库 SQL 命令时,恶意SQL 被一起构造,并在数据库中执行。 用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出 select * from user where name = ‘lianggzone’ and password = ‘’ or ‘1’=‘1’ 不管用户名和密码是什么内容,使查询出来的用户列表不为空。如
51CTO博客专:IT职场生存指南
面试官的刁钻背后,往往是在评估求职者的思维方式、团队协作潜力以及是否能适应公司文化。 在描述中提到的"复杂的职场里,你知道那句话该说,那句话不该说吗?"这是对职场沟通艺术的强调。在IT职场,良好的沟通...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安溦寀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值