NetCloak level
获赞
33
粉丝
29
关注
13
看过 TA
390
西北大学
2025
安全工程师
IP属地:陕西
来个offer😭
私信
关注
11-08 16:52
已编辑
西北大学 安全工程师
牛客吞我面经...一面(1h)1. ctf经历->shiro漏洞原理,高版本aes oracle padding2. fastjson漏洞原理3. jndi注入,高版本codebase绕过了解吗4. 继续拷打反序列化5. 讲一下xss漏洞,怎么防护,有哪些危害?http only在哪设置6. innerHtml传入<script>alert(1)</script>能执行吗7. csp了解吗?绕过方式有哪些,iframe绕过具体讲讲8. csrf漏洞原理,防护手段9. referer校验,我们可以抓包修改,那这个防护手段有用吗10. samesite属性,cors为什么可以发送请求,但是收不到结果11. ssrf漏洞原理,黑名单绕过,dns重绑定需要设置什么12. 讲了一个渗透项目,追问安卓抓包细节,oss任意文件上传限制后缀就能防护了吗13. 开发语言熟悉哪些?写过哪些插件,二开过什么项目14. redis未授权怎么打?任意文件写利用思路15. 问ctf经历,web.xml文件里xml文件解析为jsp怎么写的16. 学习安全的路线,方法17. 手撕:sql注入流程面试官技术水平一流,我讲的所有项目他都能快速理完思路,然后深入拷打二面(1h)1. 自我介绍,觉得不够充分,又闲聊了一些内容2. owasp Top10你觉得有哪些不足,辩证的讲一讲,说说缺点3. sql注入30年前已经发现了,讲讲怎么挖到新的漏洞,了解国外的cyber sec怎么做的吗4. 安全相关的网络协议有哪些5. 正向代理和反向代理的区别,举例说明6. http协议,请求体结构,方法有哪些?响应体结构,问了100,300俩个状态码7. http协议的rfc编号   ps:这个真的邪门了8. hvv细节9. 浏览器的架构了解吗,哪个引擎负责dom树的解析10. 讲讲数据库从sql语句执行和存储引擎的交互11. nmap参数 一个syn半扫描和一个操作系统12. 用什么大模型?能上谷歌吗?学校提供xxx?:当然不是13. 手撕: 数组元素的全排列开放性和底层的问题是真的不会,包括手撕也是磕磕绊绊,感谢二面面试官给我机会三面(25min)1. 自我介绍2. 考研吗?为什么不考?3. base地倾向哪4. 给学校的经历打几分?为什么5. 从安全的角度看待人工智能这些新技术6. 为什么选择安全7. 了解华为的企业文化吗8. 职业规划9. 反问常规主管面,面试官夸我反问的问题很好,期待一个通过
NetCloak:牛客屏蔽script标签,把我后面写的全吞了...
查看77道真题和解析
0 点赞 评论 收藏
分享
#面经#暂时想到这么多1. 说一下你是怎么自学安全的2. 同源策略了解吗?跨域请求的方式有哪些3. CORS漏洞原理,修复方式4. JSONP劫持原理,修复方式5. CSRF了解吗,修复的方式6. 浏览器保护cookie的方法7. XSS的漏洞原理,分类,危害,修复方案8. 实体化,有些情况下不能实体化怎么修复9. csp了解吗10. ssrf了解吗,怎么利用,有哪些协议可以利用,怎么防护,dns重绑定怎么修复11. oauth2了解吗,有哪些挖掘的点12. http://example.com?id=1,你的注入思路?报错注入的函数有哪些,怎么判断数据库类型,查看数据库版本13. 应急响应的流程,你会做什么?14. 讲一下你挖掘src的一些思路,怎么修复这些漏洞15. 你会代码审计吗,讲一下你的审计思路16. 你挖到过哪些逻辑漏洞,怎么修复代码场景题:目录扫描时,遇到302和200,怎么排除一些误报(大概这个意思,就是说status为200,但是其实body是那种invaild path的情况)复盘:1. 修复方式答得不太好,csrf把csrf_token给忘了...,dns重绑定修复也没答上来(设置ttl长一点,防止dns解析和实际请求时ip不一致)2. oauth2当时没反应上来是什么场景,面试官直接给我跳过了,简单理解为sso,可能有url开放重定向,以及重定向导致ticket劫持3. 应急响应说的一塌糊涂,因为我真的只会grep 和awk提取ip和看日志4. 代码审计思路很一般,因为我代审真的很一般5. 代码场景题,答得太拉了,答完才想起来一个思路:参考dirsearch,先请求一个随机uuid的目录,根据这个请求的状态码和body,来判断相同请求结果是否有效,我当时搁那一个瞎扯啊6. 眼睛不停的在面试官和摄像头之间转,下次一定得全屏7. 还是菜
字节跳动一面803人在聊 查看17道真题和解析
0 点赞 评论 收藏
分享
关注他的用户也关注了:
牛客网
牛客企业服务