今天咱們就不發技術文啦,來個面試經曆一篇!
其實做我們這個行業,求職面試的時候會想,技術面試會問我們什麼技術問題?答不上來怎麼辦?然後會紛紛求助自己的朋友,請教他當時是怎麼面試的。問的什麼技術問題,我們好提前有個準備。
還在為面試而煩惱嗎?那麼今天它來了,沒有那麼多的花裡胡哨,不要998,不要888,隻要一個點贊+轉發,麼麼哒。
面試官:先做個自我介紹吧
答:叫XXX,來自xxx,現在XXX學校,XX 歲
說說你印象最深刻的一次滲透測試
答:在月黑風高的晚上,阿巴阿巴阿巴。。。(省略1000字)就正常的滲透測試。
談談你對sql注入的了解
答:攻擊者把惡意的sql語句插入到應用的輸入參數裡面,伺服器背景對sql語句進行解析,造成sql注入攻擊
Csrf的原理,如何防禦
答:對使用者接口沒有鑒權,攻擊者盜用了你的身份,以你的名義發送惡意請求。用你對身份進行發消息,改密碼。可以驗證refer,添加token進行防禦
Mysqlgetshell的必要條件
答:Dba權限,知道絕對路徑,有寫入權限
Mysql沒有寫入權限如何getshell
答:通過PHPmyadmin日志getshell
本地檔案包含的原理和函數
答:對函數沒有進行敏感資料進行過濾,導緻能包含本地檔案
nclude() , include_once() , require_once()等函數
遠端檔案包含的條件
答:Php配置選項為allow_url_fopen= On allow_url_include = On
檔案上傳有哪些方法
答:解析漏洞,雙重字尾名,前端js驗證,大小寫繞過,Content-Type判斷繞過等。。。
Php反序列化原理
答:這個沒答,,,隻說了個可以構造pop鍊進行反序列化
請簡單描述一下nginx解析漏洞方法
答:Nginx在圖檔中嵌入PHP代碼,然後通過通路1.jpg%00.php可以執行其中的代碼。(這裡傻逼了,回答成了Apache的解析漏洞了)
你python學到什麼程度了,可否利用python寫exp
答:能自己寫寫簡單的腳本,比如爬蟲什麼的,至于寫exp暫時還不會
你會白盒測試嗎?學到了什麼程度
答:目前正在學白盒測試,正在深入學習
Mysql提權原理
答:udf是mysql的功能擴充,定義可執行系統指令的函數,通過function_name引入函數
你接觸過mvc架構嗎?
答:沒,沒有怎麼去搞開發的東西。。。
總得來說,這是一場失敗的面試,面試前一晚刷面試題到淩晨,第二天11點就面試,面試的時候腦子一片空白,很簡單的東西都要思索一會。(感受到面試官的一點不耐煩)
PS:面試前一天晚上别熬夜刷面試題,一定早睡,不然第二天面試腦子一片空白。