深信服 安全运维一面

问了几个问题就发消息说过了，是不是有点不靠谱

人生第一次算是正常的面试，感觉挺好的。面试官没开摄像头，进去就让我开摄像头。自我介绍mysqlsql优化根据业务查询的字段进行索引mysql常用的关键字groupby 这些 count查询总数等等sql两个列合成一列没用过，说了union，后来说项目没这个需求，不知道查出来是CONCAT Java常见的运行时异常几个线程安全的类说了concurrent和atomic这些redis的数据类型项目中用到的redis的类型linux常见命令查看linux文件的前10行headnacos在项目中的作用（微服务项目）mysql中的事务我问是关于哪方面的事务，然后他转到锁的问题了Java中悲观锁与乐...

#面经#暂时想到这么多1. 说一下你是怎么自学安全的2. 同源策略了解吗?跨域请求的方式有哪些3. CORS漏洞原理,修复方式4. JSONP劫持原理,修复方式5. CSRF了解吗,修复的方式6. 浏览器保护cookie的方法7. XSS的漏洞原理,分类,危害,修复方案8. 实体化,有些情况下不能实体化怎么修复9. csp了解吗10. ssrf了解吗,怎么利用,有哪些协议可以利用,怎么防护,dns重绑定怎么修复11. oauth2了解吗,有哪些挖掘的点12. http://example.com?id=1,你的注入思路?报错注入的函数有哪些,怎么判断数据库类型,查看数据库版本13. 应急响应的流程,你会做什么?14. 讲一下你挖掘src的一些思路,怎么修复这些漏洞15. 你会代码审计吗,讲一下你的审计思路16. 你挖到过哪些逻辑漏洞,怎么修复代码场景题:目录扫描时,遇到302和200,怎么排除一些误报(大概这个意思,就是说status为200,但是其实body是那种invaild path的情况)复盘:1. 修复方式答得不太好,csrf把csrf_token给忘了...,dns重绑定修复也没答上来(设置ttl长一点,防止dns解析和实际请求时ip不一致)2. oauth2当时没反应上来是什么场景,面试官直接给我跳过了,简单理解为sso,可能有url开放重定向,以及重定向导致ticket劫持3. 应急响应说的一塌糊涂,因为我真的只会grep 和awk提取ip和看日志4. 代码审计思路很一般,因为我代审真的很一般5. 代码场景题,答得太拉了,答完才想起来一个思路:参考dirsearch,先请求一个随机uuid的目录,根据这个请求的状态码和body,来判断相同请求结果是否有效,我当时搁那一个瞎扯啊6. 眼睛不停的在面试官和摄像头之间转,下次一定得全屏7. 还是菜

1. 自我介绍2. 大模型的项目- 介绍毕设项目- 未来的发展方向——大模型方向还是安全方向- 项目是否落地，如何实现？将大模型应用于项目中是否有必要？3. 运营的工作是什么，如何去做4. SSRF的原理、危害、绕过、防御5. SQL注入的存储型注入6. 流量分析会吗？用什么工具7. 渗透测试在哪学的8. 端口范围是多少，为什么是这个范围9. 熟悉的是哪种语言，用来干什么10. 要写一个端口扫描的脚本，不要调用nmap，如何实现11. 未来发展规划12. 可实习时间