07-26 12:28 蚌埠坦克学院 网络安全 发布于广东
关注
字节跳动 攻防实验室实习 一面
学长内推
方向是云安全,负责字节跳动火山引擎的漏洞挖掘、风险评估、应急溯源、安全建设等。
👥 面试题目
先怼着项目问 问实习的渗透项目 最后还问了社团情况 没问护网和其他经历
1.同源 cors了解吗 给同源和cors的一些实际场景考察
2.详细问xss 给场景 问防护(防护场景包括富文本编辑器)
3.详细问ssrf 用法 利用场景 原理 问清楚dnslog能判断的ssrf的原因 给一个ssrf指向内网无回显如何判断的情景
4. 详细问csrf 最后问到最新的浏览器防csrf的机制(情景是csrf没有cookie 后端没校验refer 是为什么)
5.逻辑漏洞挖掘的情景 问实习给定一个资产是怎么测的
6. ssti
最后代码考察 给一个字符串 目标是提取出一个或多个合法的ipv4 不能用正则匹配
场景细节基本是为什么会这样 问原理 问如何利用 问如何防护
from 学弟
方向是云安全,负责字节跳动火山引擎的漏洞挖掘、风险评估、应急溯源、安全建设等。
👥 面试题目
先怼着项目问 问实习的渗透项目 最后还问了社团情况 没问护网和其他经历
1.同源 cors了解吗 给同源和cors的一些实际场景考察
2.详细问xss 给场景 问防护(防护场景包括富文本编辑器)
3.详细问ssrf 用法 利用场景 原理 问清楚dnslog能判断的ssrf的原因 给一个ssrf指向内网无回显如何判断的情景
4. 详细问csrf 最后问到最新的浏览器防csrf的机制(情景是csrf没有cookie 后端没校验refer 是为什么)
5.逻辑漏洞挖掘的情景 问实习给定一个资产是怎么测的
6. ssti
最后代码考察 给一个字符串 目标是提取出一个或多个合法的ipv4 不能用正则匹配
场景细节基本是为什么会这样 问原理 问如何利用 问如何防护
from 学弟
全部评论
相关推荐
点赞 评论 收藏
分享
远景公司福利 157人发布 点赞 评论 收藏
分享