整整拷打了一个半小时,面得非常的细,奈何实力太菜,面完秒挂了……
- 自我介绍,实习或项目中印象深刻的事情
- 你对一些二进制的漏洞有遇到过吗,溢出之类的
- TCP/IP
- OSI七层
- 传输层协议有哪些
- 网络层协议
- 应用层协议,哪些是TCP,哪些是UDP,各种协议常见的端口
- TCP和UDP的区别
- HTTP和HTTPS的区别
- Wireshark有用过吗
- tcp三次握手与四次挥手过程
- tcp建立连接以后数据传输的是哪种包
- 当访问https://www.baidu.com的过程中浏览器和服务器发生了什么
- burpsuit证书导入的意义
- http常见的请求头有哪些
- X-Forwarded-For的含义,为什么平时burp抓包的时候没有看到xff头,xff头在什么时候被添加的
- cookie的作用
- linux常见命令,如何看内存和处理器资源,top命令的作用
- chmod的作用
- 操作系统、内存方面、堆和栈
- 对称加密和非对称加密的区别,常见的有哪些
- RSA可以私钥加密,公钥解密吗?背后的数学逻辑是什么
- 常见的哈希加密算法,背后的逻辑是什么,使用场景有哪些
- java有哪些性质,是否审计过具体的java项目,熟悉Java的开发框架和环境吗
- sql注入类型、注入场景考察(给一条sql语句,判断哪些地方会存在注入)
- 预编译相关,原理,如何使用
- xss定义,有哪些类型,区别是什么,常见的利用方式,
- js的具体哪些函数容易产生xss
- 无回显如何判断xss是否存在
- 如何防御xss
- 富文本框在不影响用户使用的情况下防御xss
- ssrf定义,防御方法,绕过手法
- csrf定义、如何检测漏洞是否存在
- json格式的请求如何csrf攻击
- 同源策略是什么?哪些东西不受同源策略影响,如何防御?
- 同时存在xss+csrf的情况下refered+token的方式是否可以防御,防不了的话有什么其他措施
- 逻辑漏洞、越权
- java反序列化、最终以哪种形式RCE