07-26 12:28 蚌埠坦克学院 网络安全 发布于广东
关注
字节跳动 攻防实验室实习 一面
学长内推
方向是云安全,负责字节跳动火山引擎的漏洞挖掘、风险评估、应急溯源、安全建设等。
👥 面试题目
先怼着项目问 问实习的渗透项目 最后还问了社团情况 没问护网和其他经历
1.同源 cors了解吗 给同源和cors的一些实际场景考察
2.详细问xss 给场景 问防护(防护场景包括富文本编辑器)
3.详细问ssrf 用法 利用场景 原理 问清楚dnslog能判断的ssrf的原因 给一个ssrf指向内网无回显如何判断的情景
4. 详细问csrf 最后问到最新的浏览器防csrf的机制(情景是csrf没有cookie 后端没校验refer 是为什么)
5.逻辑漏洞挖掘的情景 问实习给定一个资产是怎么测的
6. ssti
最后代码考察 给一个字符串 目标是提取出一个或多个合法的ipv4 不能用正则匹配
场景细节基本是为什么会这样 问原理 问如何利用 问如何防护
from 学弟
方向是云安全,负责字节跳动火山引擎的漏洞挖掘、风险评估、应急溯源、安全建设等。
👥 面试题目
先怼着项目问 问实习的渗透项目 最后还问了社团情况 没问护网和其他经历
1.同源 cors了解吗 给同源和cors的一些实际场景考察
2.详细问xss 给场景 问防护(防护场景包括富文本编辑器)
3.详细问ssrf 用法 利用场景 原理 问清楚dnslog能判断的ssrf的原因 给一个ssrf指向内网无回显如何判断的情景
4. 详细问csrf 最后问到最新的浏览器防csrf的机制(情景是csrf没有cookie 后端没校验refer 是为什么)
5.逻辑漏洞挖掘的情景 问实习给定一个资产是怎么测的
6. ssti
最后代码考察 给一个字符串 目标是提取出一个或多个合法的ipv4 不能用正则匹配
场景细节基本是为什么会这样 问原理 问如何利用 问如何防护
from 学弟
全部评论
相关推荐
11-28 17:48
中山大学 C++ 
点赞 评论 收藏
分享
字节跳动公司氛围 560人发布
不期而遇的夏天:1.同学你面试评价不错,概率很大,请耐心等待;2.你的排名比较靠前,不要担心,耐心等待;3.问题不大,正在审批,不要着急签其他公司,等等我们!4.预计9月中下旬,安心过节;5.下周会有结果,请耐心等待下;6.可能国庆节前后,一有结果我马上通知你;7.预计10月中旬,再坚持一下;8.正在走流程,就这两天了;9.同学,结果我也不知道,你如果查到了也告诉我一声;10.同学你出线不明朗,建议签其他公司保底!11.同学你找了哪些公司,我也在找工作。 点赞 评论 收藏
分享
