吉比特 安全实习生

👥 面试题目
一面 1h10m

渗透攻防方向的,不是游戏安全

1.xss了解过吗,从原理危害防护三角度回答。xss对引号实体怎么绕过(a标签)?富文本编辑器是如何解决xss漏洞问题的?富文本肯定是要渲染出来的,他是怎么预防的呢?
2.sql注入,拿webshell的方法有什么?通过哪些函数能写入?udf提权的底层原理是什么?你说预编译了解,那哪些情况不能预编译呢?orderby为什么不能预编译呢?他语法树为什么会报错呢?
3.文件上传,除了拿webshell还能做什么,传html后还能做什么?apache php jpg白名单怎么绕过,iis呢?
4.csrf,你说用token具体是怎么实现的呢?你说jwt是不是从网上看的?
5.命令执行,那个点为什么会有命令执行呢?
6.信息收集会收集哪些东西?你说收集服务器信息,利用服务器漏洞是那个漏洞呢?
7.文件包含,具体哪些场景会出现文件包含呢?文件包含除了用登陆日志拿shell还有什么方法吗?
8.看攻防,内网域控怎么打呢?免杀做过吗?具体底层是什么原理呢?钓鱼实操过吗?你只说了解没有实操,其实你会的不到10%。
9.业务漏洞会吗?让你设计一个登录框如何才能安全?具体校验合法登陆的模式有几种?流程是什么?

from 学弟
个人评价难度中上,主要结合攻击技术细节,没有长时间学习过实操过相关渗透或攻防的很难答得上来,面试题目偏向乙方攻防岗但又很注重基础漏洞
全部评论
这么难啊😭
点赞 回复 分享
发布于 08-07 10:17 青海
只有9个吗
点赞 回复 分享
发布于 08-07 12:19 浙江
mark
点赞 回复 分享
发布于 08-13 22:23 四川
mark
点赞 回复 分享
发布于 08-17 22:37 上海

相关推荐

Yushuu:你的确很厉害,但是有一个小问题:谁问你了?我的意思是,谁在意?我告诉你,根本没人问你,在我们之中0人问了你,我把所有问你的人都请来 party 了,到场人数是0个人,誰问你了?WHO ASKED?谁问汝矣?誰があなたに聞きましたか?누가 물어봤어?我爬上了珠穆朗玛峰也没找到谁问你了,我刚刚潜入了世界上最大的射电望远镜也没开到那个问你的人的盒,在找到谁问你之前我连癌症的解药都发明了出来,我开了最大距离渲染也没找到谁问你了我活在这个被辐射蹂躏了多年的破碎世界的坟墓里目睹全球核战争把人类文明毁灭也没见到谁问你了😆
点赞 评论 收藏
分享
点赞 评论 收藏
分享
8 20 评论
分享
牛客网
牛客企业服务