大二学渣秋招帝都实习7k安全岗面经

大二学渣秋招帝都实习7k安全岗面经

本人河北普通大学,大二学渣狗,喜欢安全技术,在15年秋冬交际的时候,面了国内某大型招聘网站安全实习刚,最近1群有人问安全岗面试,我总结一些我学习以及面试的过程。

我面的是渗透测试岗位,面试官问的我有没有代码审计经验,身为php狗的我研究过dedecms代码和phpcms代码还有我们学校各个学院的网站做过友情检测(有些是未授权的,但是俺可没做任何 非法的事情),读过代码很重要,现在国内还是依靠手工挖洞。会不会shell编程和Python编程,这个也很重要,还问了我Linux常用操作。然后问了问owasp的流程以及POC实现。大概40分钟。

一般的安全岗位要求的技能真的不少

  1. 脚本编程:Python和shell必备 PHP代码审计会的话 加分
  2. 运维技术:Windows+IIS+SQL Server以及Win服务器各种配置 从03到12 Linux安全配置 防火墙 LAMP LNMP体系
  3. 工具使用Kali Linux MSF Wireshark Fiddler Tcpdump Sqlmap等等
  4. SQL注入 xss注入 csrf注入 webshell getshell java序列化漏洞利用
  5. 真的很多 建议看看知道创宇技能表最新版本

我讲讲我比较熟悉的漏洞挖掘吧

  • Tomcat + JSP; IIS + ASPX; LNAP;LAMP环境搭建必须会
  • XSS和CSRF注入必须会 尤其是DOM XSS Buffer Overflows
  • owasp Top 10 & CWE/SANS Top 25那套流程可以搞
  • 扫描器原理懂 自己可以做出来 现成的扫描器能看懂返回信息
  • 搭建漏洞测试环境 DVWA WebGoat
  • Web手动测试
  • 使用Burp Suite Pro动态修改数据 人工观察返回信息
  • 理解Payload
  • Web代码分析 传统漏洞分析 ASP/ASPX/JSP/PHP源码角度跟踪数据传播 解读函数、变量、参数到数据执行
  • C/C++代码纯静态分析 C/C++源码角度跟踪数据执行 依靠外部的数据来控制行为的污染 理解缓冲区溢出和输入验证
  • C/C++代码编译分析 深入内存数据 跟踪数据执行流程 理解内存破坏问题
  • 知道常见漏洞和安全知识库 开源软件源码更新版本Patchdiff 危险函数/有漏洞历史的函数
  • IDA pro反汇编 Patchdiff方法 BinDiff二进制补丁比较 .NET->NET Reflector Java -> Java Decompiler
  • 脱壳和动态调试分析
  • beSTORM测试通用协议 会构造Payload来Fuzzing测试
  • 熟悉分析浏览器调用ActiveX控件和Fuzzing测试
  • 熟悉POC实现
全部评论
碉堡~~ 大二已经开始实习了
2 回复 分享
发布于 2016-03-11 09:27
饼神,太高深,表示没有几个知道的。
点赞 回复 分享
发布于 2016-03-11 09:00
饼神都答上了吗。。。
点赞 回复 分享
发布于 2016-03-11 09:23
哇,大二就这么腻害辣,求带xss
点赞 回复 分享
发布于 2016-03-17 22:35

相关推荐

球球别再泡了:坏,我单9要了14
点赞 评论 收藏
分享
评论
12
45
分享
牛客网
牛客企业服务