虾皮ESP Web安全工程师

一面  难,被问的要红温了
20min业务+30min工作经历
业务
1.同源策略。 如果有需求a.x.com要访问b.x.com的接口,不同源,要怎么办
2.讲讲你在浏览器输入url地址到服务器返回给你在前端展示的过程?你输入了http协议,但是最终显示的是https,这个是怎么实现的?
3.Go的代码审计?具体会哪些?现场审计 shell_exec("ping -c"),存在的问题?怎么绕过?过滤了这些字符怎么绕过,IFS也过滤了呢?
4.OAuth的场景,商家注册账号,设置Oauth的callback地址,服务器上存储callback地址,当发起Oauth流程后,服务器将Oauth code发送到callback地址,这个场景会有什么问题? OAtueh劫持?劫持具体出现在那一步?怎么防护?SSRF漏洞?漏洞成因?怎么防护? 写个SDK,判断callback地址是否合法,返回bool,讲讲思路?如何判断url地址

工作经历
1. 讲讲目前的工作内容?IAST是什么?和我现在静态的扫描有什么区别?具体的部署有什么考虑?做的什么开发?什么语言的?
2. 以前的护网主要是攻击队嘛?
3. 换工作是怎么考虑的
反问
#社招# #渗透测试# #安全工程师# #网络安全#
全部评论
没问java相关的吗
点赞 回复 分享
发布于 10-21 13:18 福建
Java选手羡慕虾皮
点赞 回复 分享
发布于 11-14 22:33 浙江

相关推荐

不愿透露姓名的神秘牛友
11-01 12:41
已编辑
电信 攻防岗 总包18-24w
点赞 评论 收藏
分享
富强民主文明和焦虑offer:刚辞职第二段渗透测试岗实习,准备敲算法 做项目,春招投开发了
点赞 评论 收藏
分享
10 14 评论
分享
牛客网
牛客企业服务