虾皮ESP WEB安全工程师

二面
40min 基础➕渗透➕开放性问答
简历里提到的wordpress,具体是自身的漏洞呢还是插件的?公司里有大量的wordpress系统,请问你有什么加固方案吗?后台插件的功能为什么不直接禁用掉呢?后台登录还是会有社工钓鱼或者密码爆破的情况存在,有什么好的方案呢?

​csp了解过吗?具体讲讲?可以防范哪些漏洞?csp怎么防范csrf的?有什么csp的绕过策略吗

给个url讲讲sql注入怎么获得数据库名?有什么防范措施?jpa防范sql注入的原理?预编译呢?什么情况下不能使用预编译?那如何解决这种情况?

​绕waf了解过吗?阿里云waf,cloudfare这些?云waf的绕过了解吗?云waf一般是部署在什么位置来做到防护效果的

​给一段Go的代码审计。(like相关sql注入,以及判断if len=0和if err!=nil这两个if判断的区别)

http 2.0和http 1.1的区别?如果说现在有http 3.0,打算使用udp协议的话?会是什么原因呢?使用udp的好处和缺点有哪些?

​任意文件读取有什么扩大利用的打法呢?如果可以写的话有什么打法?

​场景: 用户验证码登录后使用优惠券购买商品。该场景下可能出现漏洞的地方?针对高并发使用优惠券该如何进行防护,具体的方案?

​反问
全部评论
是投的都是go方面的吗,还是说现在go岗位变多了?
点赞 回复 分享
发布于 10-23 19:54 福建
哈哈哈 有部分和我问得差不多 我的还有蛮多开发知识 二面挂了
点赞 回复 分享
发布于 10-24 22:00 广东
羡慕虾皮
点赞 回复 分享
发布于 11-14 22:30 浙江

相关推荐

富强民主文明和焦虑offer:刚辞职第二段渗透测试岗实习,准备敲算法 做项目,春招投开发了
点赞 评论 收藏
分享
不愿透露姓名的神秘牛友
11-01 12:41
已编辑
电信 攻防岗 总包18-24w
3lizabeth:山东电信也不算回老家摆吧,毕竟也算甲方
点赞 评论 收藏
分享
评论
5
16
分享
牛客网
牛客企业服务