技术面试:
1、一个登录的页面会存在那些安全问题?
弱口令,爆破,SQL注入,敏感信息泄露
2.对那种编程语言最熟悉?
这个因为我们也就最近学过python,虽然在必修课的时候学过些java,c++但自我感觉还不到能说出口的地步。。
3.用python做过那些事情?
好在上个月还用python编写了一个 简单的poc,
4.编写poc常用的库?
re(正则请求库),request(网络请求库)
5.暴力破解应该怎样防范?
限制登录次数,增加多重认证
6.验证码有哪些绕过的方式?
-
绕过验证码。跳过验证码直接访问需要的页面内容。
-
请求头中自带验证码。有些网站的验证码会在前台 js 校验服务器生成的验证码会在请求头中。可以获取请求头,并把验证码解析出来。
-
session不刷新。有的网站验证码验证成功后,直接获取请求资源。(忘记了刷新 cookie 对应的验证码)可以预先设定一个 cookie和验证码。利用这个漏洞访问网站。 对于多线程无法控制以及有些网站验证码定期不访问失效问题。可以添加一个定时访问程序来 解决
-
利用第三方插件。对于有些网站验证码比较简单。只含阿拉伯数字和英文字母。可以用第三 方的插件来识别。例如:tess4j、tesseract
- 有些网站的验证码是从库中随机取出一个来的。对于这类静态的验证码。可以自己建立一个验证码静态库。自己建立好图片和验证码答的链接。采用map的映射方法就可以进行识别。
7.在windows里查看当前目录的命令?
dir
8.在linux查看当前命令?
pwd
9.查看当前文件的信息和权限
ls -al
10.ctf当中负责的部分?
11.自己是否独立做出ctf的题?
12.自己未来的规划?
项目管理面试:
1.后期发展规划
2.准备在什么时候做出职能的变化。
3.为客户做安全服务的价值,是如何体现的,帮客户解决什么问题
4.实习的时候会做到渗透测试、代码审计
初级–漏洞扫描
中级–独立渗透测试能力
高级–代码审计项目
主要依赖实习生的规划
还是那句话,你有多少的能力,赚多少的钱
2140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
