这次面试的是一个小厂先说体验，面试师傅有耐心，体验挺好，总体流程40分钟左右。1.先介绍介绍自己2.讲讲你自己的这两段实习经历，有什么收获么？3.讲讲sql注入4.讲讲mysql注入写入文件需要的一些条件我确实知道他是需要一些条件，但是没有特别去记过。。。只知道函数的话是into outfile5.讲讲反序列化6.讲讲ssrf，产生的原因，它的特点是什么？以及哪些地方可能会存在ssrf漏洞？7.讲讲越权，产生的原理，以及怎么利用（这块问的比较细，并且指出了我讲错的地方）8.比如你使用linux，搭了个nginx服务，那他产生的日志在哪里。属于知识盲区了，我一般直接用宝塔9.查看当前运行服务的端口的命令10.怎么判断这个流量是恶意流量？从哪些地方可以看出来11.比如你应急响应，现在有一个告警，你怎么确定这个告警是真实的还是误报？讲讲你的思路还有一些蓝队的问题，有点记不清了12.你还有什么要问我的么总体来讲，问的不难，但是挺细节，蓝队的问题答的都不算好😓。我问了问工作内容，就安服，偏蓝队？简历写的东西也没怎么问，应该不涉及代码审计之类的，也没问内网，与我想象的安服仔啥都干有点不一样。 #网络安全# #面试# #我想象的实习vs现实的实习# #网安面试#

工作找不到，感觉可以转行了 #网络安全# #面试#

1. 就安全方面，比如学习方法啊，学习经验啊简单介绍一下自己2. 我看你是去做过防守是吧，简单介绍一下自己的收获3. 像注入的话你是了解的 mysql、sqlserver、oracel还是都了解一些？4. mysql的报错注入有哪些知道么？简单介绍一下5. 文件上传的一些常见绕过方法了解么？6. 文件包含的一些利用方法呢？7. java常见的一些高危函数自己有总结么？8. runtime.exec底层有什么限制你知道么？没答出来，面试师傅又给了一个提示，比如和php的命令注入有什么不一样的点么？还是没答出来。。。。9. 简单说一下java的反射吧10. 像CC链的一些基本原理可以说一下么？11...

这是我的第一版简历，现在简历改动也不是很大（主要加了java安全的东西、实习经历和格式改变了一下）。25届，专升本三本鼠鼠，黑盒太菜了梭哈了java安全，23年主要边玩边学学了大半年java开发(se javaweb ssm springboot )，顺便跟了cc链。今年5月开始写博客，java安全需要学的东西也多的一匹，慢慢学了：shiro，jndi，rmi，servlet-api内存马，高版本下Tomcat回显。最近主要学agent内存马和java代码审计，fastjson没学。主要现实中没有学习圈子，一个人学，看各位师傅的博客，一个问题可能需要很久才能解决。内网也很久没学了，没实践过，感觉忘得差不多了。到现在简历都不敢投怎么办啊（之前暑假的时候投了长亭实习，一面官网过了，二面没消息，也没显示挂，估计无了，贼想去的一家公司）。另外学校还必须上两个月课，我问了辅导员走不掉，这个对秋招有影响么？有老哥给给建议么？