吉比特 安全实习生

👥 面试题目
一面 1h10m

渗透攻防方向的,不是游戏安全

1.xss了解过吗,从原理危害防护三角度回答。xss对引号实体怎么绕过(a标签)?富文本编辑器是如何解决xss漏洞问题的?富文本肯定是要渲染出来的,他是怎么预防的呢?
2.sql注入,拿webshell的方法有什么?通过哪些函数能写入?udf提权的底层原理是什么?你说预编译了解,那哪些情况不能预编译呢?orderby为什么不能预编译呢?他语法树为什么会报错呢?
3.文件上传,除了拿webshell还能做什么,传html后还能做什么?apache php jpg白名单怎么绕过,iis呢?
4.csrf,你说用token具体是怎么实现的呢?你说jwt是不是从网上看的?
5.命令执行,那个点为什么会有命令执行呢?
6.信息收集会收集哪些东西?你说收集服务器信息,利用服务器漏洞是那个漏洞呢?
7.文件包含,具体哪些场景会出现文件包含呢?文件包含除了用登陆日志拿shell还有什么方法吗?
8.看攻防,内网域控怎么打呢?免杀做过吗?具体底层是什么原理呢?钓鱼实操过吗?你只说了解没有实操,其实你会的不到10%。
9.业务漏洞会吗?让你设计一个登录框如何才能安全?具体校验合法登陆的模式有几种?流程是什么?

from 学弟
个人评价难度中上,主要结合攻击技术细节,没有长时间学习过实操过相关渗透或攻防的很难答得上来,面试题目偏向乙方攻防岗但又很注重基础漏洞
全部评论
这么难啊😭
点赞 回复 分享
发布于 08-07 10:17 青海
只有9个吗
点赞 回复 分享
发布于 08-07 12:19 浙江
mark
点赞 回复 分享
发布于 08-13 22:23 四川
mark
点赞 回复 分享
发布于 08-17 22:37 上海

相关推荐

微风不断:兄弟,你把四旋翼都做出来了那个挺难的吧
点赞 评论 收藏
分享
粗心的雪碧不放弃:纯学历问题,我这几个月也是一直优化自己的简历,后来发现优化到我自己都觉得牛逼的时候,发现面试数量也没有提升,真就纯学历问题
点赞 评论 收藏
分享
9 21 评论
分享
牛客网
牛客企业服务