安全服务实习生 ->安恒
1、自我介绍
2、假如给你一个网站,打的整体思路。
3、假如给你一个登录页面,打的整体思路。
4、有用过指纹检测工具嘛,js文件泄露了解过嘛。
5、假如现在打淘宝,怎么打。
6、你现在已经进入淘宝页面,有哪些漏洞可以利用。
7、你进入个人用户页面,有哪些漏洞可以利用。
8、xss存储型漏洞如何利用。
9、csrf漏洞如何利用以及发现,防范。
10、ssrf漏洞利用。
11、修改个人用户名可以有哪些漏洞。
12、个人用户页面含有哪些逻辑漏洞。
13、文件上传如何防范,你说的讲某个文件存到某个不容易被发现的位置(文件夹),如何保护该文件夹。
14、内网渗透思路。
15、反序列化了解过嘛。
16、代码审计给你五万行代码,大概多长时间审完。
17、你的代码审计的流程。
18、讲一讲你对于免杀的理解。
19、短信轰炸有了解过嘛。
某企业 ->渗透测试工程师
1、你擅长的漏洞
2、sql绕过,宽字节注入,cookie注入
3、Linux提权
4、window提权
5、redis端口,mysql,Oracle,mssql等端口
6、文件上传在window处的绕过方式
7、在学校挖过的洞
8、shiro漏洞如何判断,原理,还了解其他反序列化的漏洞嘛
9、burpsuite的Intruder模块(攻击)四种攻击方式
10、minikatz使用
11、msf和cs联动
12、编程语言写过什么东西
13、代码审计你的审计流程是什么
14、ntlm之类的原理
15、rce的函数
16、sqlmap使用
17、nmap的参数
18、LAMP相关知识
剩下的忘记了,师傅人挺好的,就是感觉人比较……最后也给我解答了一些疑惑,我还是感觉自己太菜了。
告诉我的不足:需要补充漏洞的知识(比如逻辑漏洞),实操太少,代码审计,应急响应等都要学习。