网络安全面试经验
网络安全面试经验
- csp是什么?如何绕过csp?
- 黄金票据和白金票据的区别
- mysql root 权限有哪些提权方式
- 内网提权
- 正常注入点sa权限,可以os-shell但是全部是基于断网机,你怎么办?
- vmi,ssrf是什么?ssrf支持哪些协议
- 鱼叉,水坑攻击的案例
- 同源策略和跨域
- sql盲注时候有什么办法优化
- 拿到一台内网的PC机,应该做什么?
- SQL注入,id=1如何检测?orderby怎么利用?limit语句怎么利用?盲注有什么?
- sqlmap os shell原理
- 为什么同源策略无法防御csrf?
- cors和jsonp比较?
- B站与A站不同源的情况下如何通过B站获取到A站用户信息
- ARP攻击原理,防御方法
- php的站限制了任何php文件上传,如何上传php文件?
- sqlmap udp提权原理?
- 你是如何做应急响应的呢?查询webshell,如何被黑,如何提取解决方案,如何溯源入侵的黑客呢?如何取证呢?
- 挖了哪些洞,怎么挖的
- 本人经典的渗透实战案例:
- 某个公安的网站被黑,查看日志等信息,没有看出什么结果,但是页面全部引流到一个商城系统,卖壮阳药的. 这个商城是TPSHOP1.3.3,后台指定ip登录,商城系统,而这个商城系统是存在 xss+后台getshell (添加物流插件的地方存在getshell)漏洞的,
- 通过xss 获取到对方的某些客服的名字微信`
- 提交工单,说(某个其他客服,私下找我,说叫我去去别的商城卖壮阳药,结果骗了我3000元).管理员.. (这个人本身就是诈骗团伙的成员吗)
- 微信加我,我说我这边我和他的聊天证据以及录音, 这时候我利用出来的 CVE-2018-20250 winarar 目录穿越的漏洞,结合免杀木马.从而直接获取到它的页面信息
- GPC是什么?开启了怎么绕过:
- SQL注入写shell的条件,用法:
- Mysql一个@和两个@什么区别
- @x 是 用户自定义的变量 (User variables are written as @var_name)
- @@x 是 global或session变量 (@@global @@session )
- 如何隐藏自己的服务器以及ip
- 英语介绍一下自己:
- 算法?了解过什么排序?
- sql注入分类,宽字节注入原理
- 如果让你用工具进行代码审计一个cms的上传功能,你会关注哪些函数
- php代码审计中命令执行你会关注哪些函数,代码执行你会关注哪些函数
- 内网渗透怎么获取服务器账号密码
- 你有一个webshell但是无法执行系统命令,无法上传,怎么进行内网渗透
- 我绕过Waf得层面
- 如果你是一个安全攻防负责人,如何做好安全架构,整理防御黑客攻击?(听到这个问题有点懵逼,这个问题太广了,思考了5-7分钟,想出了一些简答,)
- 如何bypass CDN
- 会制作免杀吗?
- 继续总结....
- 您公司做的类似于绿盟一样做的是安全产品 ,安全服务(等保,渗透)?
- 有没有岗位晋升机制,入职培训项目,员工培训提升项目?考证有没有报销?
- 五险一金、社保比例、饭补、餐补、交通补助?
- 应聘岗位具体职责和工作内容?会不会经常出差?
- 试用期多久?薪水多少?
- 工作时间,加班情况
- 一周加几天班,上下班时间
- 公司队伍技术和产品这块有什么战略布局(一个公司如果没有核心的产品或者服务,迟早要被淘汰,记住! 光有钱没用)
- 目前招进来的人主要擅长哪方面,多少人。
- 进了公司以后做什么?如果我到公司3个月,未来会做什么?
- 应聘的这个部门叫什么部门,有多少人?
- 问下该公司有哪些福利保障?
- 这个职位在贵公司的具体职责是什么?
- 您公司的晋升政策是什么?
查看4道真题和解析
投递牧原集团等公司10个岗位 >