本來是沒有約上面試的,面試截止時間錯過了,但是后來,sxf打電話給我,詢問原因,我說我沒看郵件錯過了。安排了第二天的面試,面試官是一個戰隊的大牛,開始師傅進行了介紹,我也進行了自我介紹,詢問我的校園經歷,在學校的時候,是否挖到過一些漏洞,做沒做過靶場練習,因為我大學期間參加了工作室,詢問了在工作室的經歷,學習什么干什么等等。因為自己沒有挖到過漏洞主要是打ctf,師傅對漏洞的挖掘和實戰的攻防比較看重。對ctf不太敏感。個人覺得還是要提高自己的挖洞和實戰能力。對編程語言的要求還是比較高的,盡量要拿出自己實際的項目,太簡單的看不上的。綜上所述,應該知道我的結果了吧,差的有點遠收到了感謝信。但是面試下來感受不錯,最后我詢問的問題就是“此刻的我應該在準備哪些技術是企業所希望看到的?”給出了中肯的建議
深信服科技有限公司安全服務工程師面試題
1.內網滲透了解多少?
2.內網滲透的過程中,內網委派有了解嗎?簡單描述一下
3.給你一個網站你應該從哪些方面進行信息收集?
4.應急響應了解多少,說一下應急響應的過程,從那些方面進行?
答:系統信息檢測,用戶信息,進程信息,查看啟動項等等
5.做過溯源相關的項目嗎?知道溯源的過程是怎么樣的嗎?
這個真的不了解...
6.webshell檢測思路
答:靜態檢測:匹配特征碼,特征值,危險函數;動態檢測:WAF、IDS設備;文件完整性檢測
7.發現IIS的網站,怎么試它的漏洞?
答:put漏洞、解析漏洞、短文件名漏洞
8.CSRF怎么防護?
驗證http referter字段
驗證token驗證
添加自定義字段并進行驗證
9.只有一個登陸頁面有哪些思路?
sql注入:萬能密碼
暴力破解
權限繞過
目錄掃描
10.談談水平/垂直/未授權越權訪問的區別?
11.xss有什么?執行存儲型的xss的危害和原理
dom 存儲 反射 竊取cookie 釣魚 蠕蟲
12.主機疑似遭到入侵,要看哪里的日志?
系統登陸日志
服務訪問日志
網站日志
數據庫日志
13.cdn的網站如何獲取真是IP,是否有過真是案例
寄...
14.如何實現跨域?
你是通過何種渠道獲得這次面試機會的?
答:網上申請
你覺得這次面試的難度如何?
答:難度一般
你對這次面試的整體感覺怎么樣?
答:不好
這次面試的結果如何?
答:面試未得到工作
(共8112條) 華為
(共1958條) 中國電信
(共1234條) 中興通訊
(共58條) 上海貝爾阿爾卡特朗訊公司
(共94條) 思科(Cisco)
(共57條) 摩托羅拉(Motorola)