网络安全

简历如图，社招随缘捞捞24届工作三四个月目前职位不太对口，主要做的是开发➕运维希望有渗透攻防或者安全研究相关的岗国护一次蓝队一次红队，其他护网基本都是红队且有产出CTF是web方向，国17➕华东南三等➕福建省一省二渗透有一年多的实习经历（简历放不下没详细写） #网络安全# #信息安全# #安全工程师# #渗透测试# #社招#

马上结束了，就一外地甲方oc，多次攻防经历，也在安全大厂实习过，双非公办。如果是技术面试不过关就认了，可是非常少面试呢，有的一面没有了消息，有的永远处于初筛，有的公告写的本科，初筛都过不去。想问下双非是犯什么错了嘛

一面  难，被问的要红温了20min业务+30min工作经历业务1.同源策略。 如果有需求a.x.com要访问b.x.com的接口，不同源，要怎么办2.讲讲你在浏览器输入url地址到服务器返回给你在前端展示的过程？你输入了http协议，但是最终显示的是https，这个是怎么实现的？3.Go的代码审计？具体会哪些？现场审计 shell_exec("ping -c")，存在的问题？怎么绕过？过滤了这些字符怎么绕过，IFS也过滤了呢？4.OAuth的场景，商家注册账号，设置Oauth的callback地址，服务器上存储callback地址，当发起Oauth流程后，服务器将Oauth code发送到callback地址，这个场景会有什么问题？ OAtueh劫持？劫持具体出现在那一步？怎么防护？SSRF漏洞？漏洞成因？怎么防护？ 写个SDK，判断callback地址是否合法，返回bool，讲讲思路？如何判断url地址工作经历1. 讲讲目前的工作内容？IAST是什么？和我现在静态的扫描有什么区别？具体的部署有什么考虑？做的什么开发？什么语言的？2. 以前的护网主要是攻击队嘛？3. 换工作是怎么考虑的反问 #社招# #渗透测试# #安全工程师# #网络安全#

安全真的太难了二面主管面1h 0.5h技术面➕0.5h职业面在攻防演习中负责什么部分打点是手工呢还是利用什么工具让你攻击我们公司，有什么思路一个登录口要怎么渗透xss除了窃取cookie还有什么打法文件上传遇到waf要怎么绕过shiro有没有了解过？shiro是怎么修复漏洞的？key应当怎么存储？存储在内存中有什么缺陷？内网横向移动有没有遇到过获得了明文密码去横向时无法登录的情况域控怎么打获得域管后要怎么扩大权限？域控怎么控制域内主机的？什么协议什么端口？当域内主机把这个端口封了，你有域管和哈希，有什么打的思路edr绕过有没有了解java了解吗？开发语言会哪些个人职业规划如何看待团队和平台日常的兴趣爱好个人有什么不足期望薪资期望地点如果在深圳的话期望薪资是多少家庭地址如何评估你所做的工作，希望领导以什么样的方式来评估你的kpi？如果在一次攻防中，做了很长时间却没有什么漏洞结果，如何评估你所做的工作成绩？领导可能会认为你只干了苦力活什么成果都没有，你应当怎么做？漏洞越挖越少，以漏洞结果来评估是不是不太合理？长期的苦力活或者是没有获得很好的成果也就没有了正反馈，对工作感到无味，应当怎么办 #社招# #面试# #网络安全# #信息安全# #渗透测试# #面试经验# #安全工程师#

#校园招聘内推#2025届 校招/社招 火热进行中，欢迎感兴趣同学投递！#内推# #网络安全#内推码：NTA5eUT内推即享优先面试机会，欢迎小伙伴们发动身边的同学校友投递简历~

#2025校园招聘#2025届 校招/社招 火热进行中，欢迎感兴趣同学投递！#内推##2025校园内推##招聘##网络安全##计算机招聘#

最近刷的帖子，Java是真的多，网安基本看不到，网安真的寄了吗😭，就算有研究生的身法也不行呢 #牛客解忧铺# #网络安全# #Java#

具体公司先不透露一面1h看你攻防做的比较多，具体都是什么角色负责哪一部分怎么快速打域控除了那些cve还有弱口令之外，有什么方法可以打内网怎么信息搜集给你个内网个人pc，你要怎么做信息搜集如果你是个域内普通用户，怎么打域控简单地说，内网你怎么提权如果补丁都打全了，怎么提权windows怎么提权mysql udf原理是什么mysql权限低，没法通过udf提权，要怎么打win环境呢？给你一台win的mysql服务，没有web环境，怎么获得服务器权限owasp top10哪些漏洞比较了解的xss富文本编辑器有什么防御措施？CSP有什么具体的配置策略？你说转义要转义什么？转义了如果渲染到前端出错了怎么办？想想富文本编辑器的情况下xss是怎么触发的？所以该怎么防护？黑名单还是白名单防护？标签<  a   >呢怎么防护？综合来看还是白名单好sql注入有什么防护手段？为什么orderby不适合预编译？有什么解决方案反序列化了解吗？shiro fastjson那些？具体讲讲shiro相关的呢？原理是什么？如果shiro版本确认有漏洞，但是你爆破不出密钥，要怎么打？我看你简历上有wordpress的漏洞，具体讲讲？wordpress添加插件这功能有什么方案可以保证插件来自于官方而非用户恶意上传简历上有提到这个全量测试，具体讲讲？在企业中，sql跟rce这些漏洞比较少见，对于其他的逻辑相关的有什么经历嘛？对于一个系统，你应该怎么去测试？你要如何保证你测试的全面SSRF了解过吗？云环境下的SSRF有什么可利用的嘛？可以了解下元数据，ssrf可以直接读取云环境的元数据如密钥配置等做过免杀嘛？展开讲讲 #渗透测试# #信息安全# #网络安全# #面试# #面试经验# #社招#

1. 就安全方面，比如学习方法啊，学习经验啊简单介绍一下自己2. 我看你是去做过防守是吧，简单介绍一下自己的收获3. 像注入的话你是了解的 mysql、sqlserver、oracel还是都了解一些？4. mysql的报错注入有哪些知道么？简单介绍一下5. 文件上传的一些常见绕过方法了解么？6. 文件包含的一些利用方法呢？7. java常见的一些高危函数自己有总结么？8. runtime.exec底层有什么限制你知道么？没答出来，面试师傅又给了一个提示，比如和php的命令注入有什么不一样的点么？还是没答出来。。。。9. 简单说一下java的反射吧10. 像CC链的一些基本原理可以说一下么？11...

认识了不少朋友，有从事网络安全的，这个赛道目前学习的人较少，岗位还是有不少的，也没有那么卷，大部分人都在卷Java和前端的时候，其实感觉双非，一二三本的同学可以考虑网络安全方向，有没有业界大佬来叙叙 #网络安全#

大佬们求指教，双非二本，女生，24届，想做渗透测试和安服，海投简历两个多月了没有回应，求看看简历有没有问题#网络安全##渗透测试##网络安全服务##改简历##求offer#

2023秋招补录。1面，1小时Linux 如何在www文件夹下搜索含password关键字的文件 grep findDocker 指令含义 copy pull build …常见的内网IP段有哪些TLS（访问google.com的全过程）HTTP & HTTPShash和加密的区别 hash 破解问题 如何缓解逆向查询hash 长度扩展攻击XSS 原理 分类 存储型和DOM型的区别sql injection 原理 出现在哪里 现场写 报错注入payloadCSRF / SSRF 原理CDN 识别 绕过WAF 识别 绕过SSO内网横向移动 mimikatz使用商城网站如何信息收集session和cookie的区别进程 线程 区别电商平台 优惠券设计有什么潜在安全问题race condition 如何处理python 正则表达式的潜在安全问题python gli锁Java反序列化漏洞了解多少jwt 滑动验证码可能存在的安全问题JavaScript 现场审计代码潜在安全问题 写 xss payload开放问题：1. 超大数据集如何处理去重（内存角度）2. 作为甲方工程师，面对突发性0day漏洞曝光如何处理SDLC基本都是根据简历 SKILLS 栏目问的题，加上经典计网计操题目，OWASP Top 10 漏洞原理利用 #网络安全#  #面经#  #2024秋招#  #2023秋招#

🚀【秋招警报】深信服提前批已擦肩，你还要让秋招机会溜走吗？😢🌟 深信服，那个让无数学子梦寐以求的职场殿堂，待遇优渥，每年吸引海量精英竞相投递!💼✨————🔑 独家内推码大放送  NTA7aZV，手握此码，简历优先筛选，让你在秋招大军中快人一步，领跑赛道!🏃‍♂️💨————💔 想象一下，当周围的同学纷纷收获心仪offer，你的简历却还在原地踏步？别让这一幕成为现实，行动起来，改变就在此刻!💪🎉 加油，小伙伴们!让我们携手并进，在这个秋招季，共同迎接属于我们的offer雨吧!🎈🎊【内推码】NTA7aZV  #计算机# #大厂# #深信服# #网络安全# #销售# #java# #Python#   别让机会再次从指缝间溜走，你的未来，由你主宰!🔥 #秋招#

可能我简历和这个方向不太符合，所以问了好多对这个岗位的一些认知和看法，以及个人性格。其他就只问了实习做了啥，甚至都没问细节。感觉有点像一面。一面反而还是八股➕项目拷打。有佬面完二面了吗😨😰 #你都收到了哪些公司的感谢信？# #牛客创作赏金赛# #深信服# #网络安全# #面试#