本文总结了互联网公司在安全岗位面试中常见的问题,包括SQL注入、XSS攻击、SSRF等技术的原理及防御手段,以及应对渗透测试的经验分享。
最近面试了几家互联网公司,发现他们的问题大同小异。发现陌陌的面试官最牛,能把他所有提出的问题进行解答,佩服至深。不定期修改。
1、SQL注入 group by、order by等语句绕过预编译原理,方法。
2、SQL语句预编译原理
3、SQL注入防御手段
3、SSRF的场景与原理、防御手段
4、XSS防御手段,根据不同解析场景的防御手段(可参考宜人贷src文章)
5、XSS富文本防御策略(白名单过滤标签)
6、owaspapi等开源过滤库
7、绕过WAF常用方法(sqlmap tamper脚本使用经验)
8、比较得意的渗透经历
9、OWASP Top 10 的描述,理解
10、反序列化原理、除升级外防御方法
11、Struts2漏洞原理、除升级外防御方法
12、TCP协议原理
13、Fortify规则修改、自定义(白盒审计面试内容)
14、常用的后门、如何进行检测
15、应急处理方法(互联网公司注重防御方案、应急响应,思路和乙方不太一样)
以上问题是比较有代表性的,且经常问的,面试安全岗位的同学面试前要搞清楚,如果有其他意见,集思广益。每次面试不仅是工作互选,也是很棒的学习、交流机会。听说呆子不开口去了蚂蚁金服,真想飞去杭州去面试听听段子~~~
扫一扫
2634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
