大二暑期安全公司实习面试一面技术面分享

一面先问了有没有时间，约了面之后赶回宿舍面试了就。大概前前后后问了四十个问题吧，一面持续 40分钟。

• 自我介绍（2min以内）大致说了说自己因为要出国所以需要一些实习经历，然后介绍了自己学习的方向是WEB安全方向，学过渗透测试。一些奖项经历。然后说了目前自己已经解决了大厂实习的问题，并且拿到了一个高校的科研实习，但还是再试试贵公司的面试，即当对自己准备了一个多月的安全实习和老师的推荐一个交代，也当提前感受一下下安全实习的内容。（毕竟之前投了一个月的简历甚至没上过面，换谁谁不想体验一下下...）
• 说一说你简历里面写的护网经历，负责什么任务，有什么成就和收获。再聊聊CTF竞赛的获奖经历。
• 有没有学过操作系统、相关的内容。回答课程没有开设到这个进度；接着问，那有没有学过Linux相关的命令；回答学过；然后让我说一说经常用到的Linux命令，就把常见的pwd，ls等说了说，还提前准备了几个高级命令，也说了说出来；接着问“如何开创一个新的用户”。这里突然脑抽忘记useradd这个命令的名字了，只说了进入root权限后使用一个user啥的函数。感觉第一下就留了个不好的印象……；然后接着问我在Window和Linux中分别如何查看系统当中正在运行的进程，回答是“ps”命令，又问了几个参数的设计，回答了-A，-ef，-w这几个。接着这两个系统如何关闭进程，回答用“kill命令‘。接着问Linux中如何查看端口命令，这个还好提前准备了，回答”使用netstat命令“，然后接着问了几个重要参数的配置。回答格式” netstat -anp | grep 端口号“。然后这一Linux模块就结束了。
• 问计算机相关专业课学到什么内容了，回答开设课程还没学到网安内容，但是自己私下自学了，并且了解到了后面的内容。然后开始问网络安全了不了解，计算机网络了不了解，这没办法了，不了解也得顶硬上了啊。还好提前准备了。这一模块里面问了很多内容，不一一列出了，大家看看一些题目自己去了解吧，要学习的内容也很多。

4.1 OSI七层模型和TCP/IP四层模型

4.2 TCP三次握手和四次挥手

4.3 TCP/IP漏洞的利用

4.4 IP和子网掩码是什么

4.5 路由器是什么

4.6 路由器和交换机的区别

4.7 端口号是什么

4.8 HTTP是什么

4.9 那HTTP和HTTPS的端口号分别是什么呢

4.10 聊不了解DNS是什么。 这里很搞笑，我回答了CDN的所有内容，说DNS是加速技术，说了三分钟。然后紧接着HR问，那CDN又是什么呢？

4.11 那CDN是干什么的？  到这里没绷住，笑了出来，但面试官没笑……悲。然后老老实实补上了DNS的回答。感觉就像是，问了你秦始皇有什么历史贡献，我回答造了大运河，接着HR问你那隋炀帝干了什么.....太丢人了...

4.12 说一说几个常见的安全协议

4.13 说一说数据链路层中主要有什么东西

4.14 TCP和UDP的区别

还有四五个问题忘记了，建议这一块仔细复习一下网络安全和计算机网络的内容，题量不小，也很重要。

五、聊一聊渗透测试吧。

5.1渗透测试是什么。 这里回答了定义和一些常见流程。

5.2 我们一般会用到whois，那whois这个信息获得了可以拿来干什么呢

5.3 聊一聊中间件漏洞

5.4 聊不了解ASP漏洞，这里是真没复习，直接说笑着道歉。

5.5 说一说文件上传漏洞吧，还有一些文件上传漏洞的基本绕过方法，说了一下前端绕过和burpsuite抓包改后缀绕过

5.6 拿到一个网站你打算如何开始渗透测试

5.7 如何判断一个网页系统是Linux还是Windows的，这里回答了是大小写敏感。

5.8 了不了解SSRF漏洞

5.9 如何绕过CDN查找真实IP

5.10 如何解决子域名爆破泛解析的问题。

5.11 命令执行这一块如果没有回显该怎么办。

5.12 聊一聊SQL注入漏洞吧

5.11 那如何通过SQL注入获得命令执行权力。这里回答的是利用一个函数，但是当时忘记函数名字了，后面查完知道名字了，是into_dumpfile函数，然后写入一个一句话木马，之后就和文件上传一个步骤了。

5.12 给到你一个文件如果判断有没有webshell，这里回答就是代码审计的内容，不清楚对了没。

5.13 聊一聊XSS

5.14 聊一聊XSS盗取Cookie的方法

5.15 说一说XSS平台的利用，是干什么用的。

5.16 给到你一个网页，你能怎么利用它来攻击。回答SSRF和XSS两个方式。

后面还有四五个问题给忘记了。悲，二面多记几个。

六、总结，说了我知识面知识体系还需要拓宽，大概是最开始虚拟机很多内容没回答上吧，只知道一些Linux命令的使用，还好这些回答上了，然后跟我说会和同事汇报我的情况。如果有戏明天会约面。然后进入提问环节

七，自由提问。问了问最低实习时长。然后试探了一下hc情况，问的是，我看贵公司没有相关的实习招聘信息，这边是不缺实习嘛。回答说最近护网，还有日常渗透测试，很多内容，是招的，实习岗位空缺。接着问如果有戏大概什么时候能二面，回答大概是明天提前约面。接着问二面是面什么内容，回答是继续技术面+综合素质面试。然后就表达感谢了，等通知。

个人总结：感觉这次面试问题跟贴吧上大部分的面试问题都很像，除了ASP漏洞和最开始的Linux虚拟机的应用没怎么回答上来，还有中间一两个问题笑着抱歉说不会。整体错了9个问题左右吧。可能还多一点点。最开始的表现没有那么好，希望之后能有好结果。等通知吧。