阿里数据安全

#你觉得技术面多长时间合理？# 刚面完 半个小时部门leader面 闲聊的时候很温柔，一谈到技术就瞬间严肃了，问的问题直往我心里去啊 原来半个小时也可以这么长，之前的面试我都是想起什么说什么，也没被纠字眼啊，到底是大佬，一听就能问出语出惊人的问题

过几天要面这个岗位，有uu知道大概面什么吗？还是说根据简历来提问？

具体公司先不透露一面1h看你攻防做的比较多，具体都是什么角色负责哪一部分怎么快速打域控除了那些cve还有弱口令之外，有什么方法可以打内网怎么信息搜集给你个内网个人pc，你要怎么做信息搜集如果你是个域内普通用户，怎么打域控简单地说，内网你怎么提权如果补丁都打全了，怎么提权windows怎么提权mysql udf原理是什么mysql权限低，没法通过udf提权，要怎么打win环境呢？给你一台win的mysql服务，没有web环境，怎么获得服务器权限owasp top10哪些漏洞比较了解的xss富文本编辑器有什么防御措施？CSP有什么具体的配置策略？你说转义要转义什么？转义了如果渲染到前端出错了怎么办？想想富文本编辑器的情况下xss是怎么触发的？所以该怎么防护？黑名单还是白名单防护？标签<  a   >呢怎么防护？综合来看还是白名单好sql注入有什么防护手段？为什么orderby不适合预编译？有什么解决方案反序列化了解吗？shiro fastjson那些？具体讲讲shiro相关的呢？原理是什么？如果shiro版本确认有漏洞，但是你爆破不出密钥，要怎么打？我看你简历上有wordpress的漏洞，具体讲讲？wordpress添加插件这功能有什么方案可以保证插件来自于官方而非用户恶意上传简历上有提到这个全量测试，具体讲讲？在企业中，sql跟rce这些漏洞比较少见，对于其他的逻辑相关的有什么经历嘛？对于一个系统，你应该怎么去测试？你要如何保证你测试的全面SSRF了解过吗？云环境下的SSRF有什么可利用的嘛？可以了解下元数据，ssrf可以直接读取云环境的元数据如密钥配置等做过免杀嘛？展开讲讲 #渗透测试# #信息安全# #网络安全# #面试# #面试经验# #社招#

电子科大本，南开大学研究生，网络空间安全专业意向岗位安全工程师，安全运营，风控，反爬等有过大厂反爬实习经历求各位大佬，hr同学捞捞(⁎⁍̴̛ᴗ⁍̴̛⁎) #秋招# #字节#  #阿里#  #腾讯#  #大厂秋招#