一面先问了有没有时间,约了面之后赶回宿舍面试了就。大概前前后后问了四十个问题吧,一面持续 40分钟。
- 自我介绍(2min以内)大致说了说自己因为要出国所以需要一些实习经历,然后介绍了自己学习的方向是WEB安全方向,学过渗透测试。一些奖项经历。然后说了目前自己已经解决了大厂实习的问题,并且拿到了一个高校的科研实习,但还是再试试贵公司的面试,即当对自己准备了一个多月的安全实习和老师的推荐一个交代,也当提前感受一下下安全实习的内容。(毕竟之前投了一个月的简历甚至没上过面,换谁谁不想体验一下下...)
- 说一说你简历里面写的护网经历,负责什么任务,有什么成就和收获。再聊聊CTF竞赛的获奖经历。
- 有没有学过操作系统、相关的内容。回答课程没有开设到这个进度;接着问,那有没有学过Linux相关的命令;回答学过;然后让我说一说经常用到的Linux命令,就把常见的pwd,ls等说了说,还提前准备了几个高级命令,也说了说出来;接着问“如何开创一个新的用户”。这里突然脑抽忘记useradd这个命令的名字了,只说了进入root权限后使用一个user啥的函数。感觉第一下就留了个不好的印象……;然后接着问我在Window和Linux中分别如何查看系统当中正在运行的进程,回答是“ps”命令,又问了几个参数的设计,回答了-A,-ef,-w这几个。接着这两个系统如何关闭进程,回答用“kill命令‘。接着问Linux中如何查看端口命令,这个还好提前准备了,回答”使用netstat命令“,然后接着问了几个重要参数的配置。回答格式” netstat -anp | grep 端口号“。然后这一Linux模块就结束了。
- 问计算机相关专业课学到什么内容了,回答开设课程还没学到网安内容,但是自己私下自学了,并且了解到了后面的内容。然后开始问网络安全了不了解,计算机网络了不了解,这没办法了,不了解也得顶硬上了啊。还好提前准备了。这一模块里面问了很多内容,不一一列出了,大家看看一些题目自己去了解吧,要学习的内容也很多。
4.1 OSI七层模型和TCP/IP四层模型
4.2 TCP三次握手和四次挥手
4.3 TCP/IP漏洞的利用
4.4 IP和子网掩码是什么
4.5 路由器是什么
4.6 路由器和交换机的区别
4.7 端口号是什么
4.8 HTTP是什么
4.9 那HTTP和HTTPS的端口号分别是什么呢
4.10 聊不了解DNS是什么。 这里很搞笑,我回答了CDN的所有内容,说DNS是加速技术,说了三分钟。然后紧接着HR问,那CDN又是什么呢?
4.11 那CDN是干什么的? 到这里没绷住,笑了出来,但面试官没笑……悲。然后老老实实补上了DNS的回答。感觉就像是,问了你秦始皇有什么历史贡献,我回答造了大运河,接着HR问你那隋炀帝干了什么.....太丢人了...
4.12 说一说几个常见的安全协议
4.13 说一说数据链路层中主要有什么东西
4.14 TCP和UDP的区别
还有四五个问题忘记了,建议这一块仔细复习一下网络安全和计算机网络的内容,题量不小,也很重要。
五、聊一聊渗透测试吧。
5.1渗透测试是什么。 这里回答了定义和一些常见流程。
5.2 我们一般会用到whois,那whois这个信息获得了可以拿来干什么呢
5.3 聊一聊中间件漏洞
5.4 聊不了解ASP漏洞,这里是真没复习,直接说笑着道歉。
5.5 说一说文件上传漏洞吧,还有一些文件上传漏洞的基本绕过方法,说了一下前端绕过和burpsuite抓包改后缀绕过
5.6 拿到一个网站你打算如何开始渗透测试
5.7 如何判断一个网页系统是Linux还是Windows的,这里回答了是大小写敏感。
5.8 了不了解SSRF漏洞
5.9 如何绕过CDN查找真实IP
5.10 如何解决子域名爆破泛解析的问题。
5.11 命令执行这一块如果没有回显该怎么办。
5.12 聊一聊SQL注入漏洞吧
5.11 那如何通过SQL注入获得命令执行权力。这里回答的是利用一个函数,但是当时忘记函数名字了,后面查完知道名字了,是into_dumpfile函数,然后写入一个一句话木马,之后就和文件上传一个步骤了。
5.12 给到你一个文件如果判断有没有webshell,这里回答就是代码审计的内容,不清楚对了没。
5.13 聊一聊XSS
5.14 聊一聊XSS盗取Cookie的方法
5.15 说一说XSS平台的利用,是干什么用的。
5.16 给到你一个网页,你能怎么利用它来攻击。回答SSRF和XSS两个方式。
后面还有四五个问题给忘记了。悲,二面多记几个。
六、总结,说了我知识面知识体系还需要拓宽,大概是最开始虚拟机很多内容没回答上吧,只知道一些Linux命令的使用,还好这些回答上了,然后跟我说会和同事汇报我的情况。如果有戏明天会约面。然后进入提问环节
七,自由提问。问了问最低实习时长。然后试探了一下hc情况,问的是,我看贵公司没有相关的实习招聘信息,这边是不缺实习嘛。回答说最近护网,还有日常渗透测试,很多内容,是招的,实习岗位空缺。接着问如果有戏大概什么时候能二面,回答大概是明天提前约面。接着问二面是面什么内容,回答是继续技术面+综合素质面试。然后就表达感谢了,等通知。
个人总结:感觉这次面试问题跟贴吧上大部分的面试问题都很像,除了ASP漏洞和最开始的Linux虚拟机的应用没怎么回答上来,还有中间一两个问题笑着抱歉说不会。整体错了9个问题左右吧。可能还多一点点。最开始的表现没有那么好,希望之后能有好结果。等通知吧。