面经详情
匿名用户
面试了职位:渗透测试
感觉靠谱
山河智能 复合材料工艺岗位
面试很轻松,面试官是技术负责人,会问一些专业方面的,像材料力学、CAE等。他们的研发在长沙,但是工厂在株洲,所以出差会比较多。
Q:我做的一个项目?
1条回答
出差
相关推荐
月牙湾显卡市场营销
渗透测试
确定通过
一面 问了点感觉是你对公司怎么看之类的问题,然后简单说了一下工作,以及他们公司一些现状,没啥技术方面的,就让简单说了说渗透测试的流程介绍的时候说了自己会php和java的一些框架,比如spring,thinkphp之类的,面试官就问了点spring框架的安全问题就答了个反序列化以及和shiro一块导致的权限绕过然后就是一些java洞,比如shiro550,log4j。问了有没有交过漏洞,说在edusrc上交了点逻辑洞之后就是举几个oa和框架这种问题
...查看更多
2023-06-12 发布
安全工程师
渗透测试
感觉靠谱
一面: 1:自我介绍2:介绍sql注入原理、XEE原理、请求走私原理及修复方案3:介绍文件上传漏洞原理及waf绕过方法4:云waf是什么,如何进行绕过,CDN是什么,绕过方法有哪些5: JSONP劫持是什么、防御方法是什么6:反序列化是什么原理、各个语言的反序列化函数、使用过ysoserial工具7:xss的防护方法有哪些,要是有了httponly是不是不能xss绕过了呢8:印象最深的一次渗透项目是什么9:印象最深的CVE漏洞是什么10:印象最深的漏洞什么11:拿到一个站点,如何进行渗透问了这些问题之后,然后问我有什么问题,大概聊了快40min之后,过了一天让我准备第二次面试1:问到简历上的东西,做过的渗透项目主要负责什么内容2:有没有做过内网渗透,具体项目讲述一下3:做过代码审计么,具体审计步骤、有什么危险函数4:有参加过CTF比赛么,主要是什么位置,印象最深的经历是什么,最好名次是什么5:了解过容器化什么步骤么,讲一下docker逃逸漏洞6:了解应急响应么,如何进行攻击溯源,列举一个对攻击溯源的例子
...查看更多
2023-04-04 发布
渗透测试
感觉靠谱
总共经历三轮面试 面的是安全方向 一面:二面:三面:
包含5个问题,4个回答
Q:代理和反向代理command and controllmaster
2022-06-09 发布
看准26845
渗透测试
确定通过
长亭一面 安服
包含12个问题,3个回答
Q:shiro反序列化
2 年前 发布
平宁岛美工刀数据采集
渗透测试
感觉靠谱
1.你是哪里人2.你是做安全研发的,在qax这边除了这个红队的岗位还投递其他了吗3.看你研发做的比较多,为什么投递这个岗位4.给了一个具体的场景,问你做渗透测试的思路5.后渗透有了解吗,比如内网这一块,还是上面的场景,对于后渗透你的思路讲讲6.真实测试的时候发现内网没法连接外网怎么办7.正向代理和反向代理说说8.代理工具的一些原理了解过吗,比如frp工具的实现机制和原理9.用过那些隧道代理工具10.内网端口转发失败怎么办,反向shell带不出来11.XSS的分类12.XSS你怎么利用13.对于XSS利用手段,除了你说的这些,还了解过其他的利用手段吗,比较新的有没有14.免杀马做过没,讲讲原理15.msf 或者 cs 生成的免杀马的体积一般都比较小,你有了解过这种免杀马的原理吗,包括怎么隐匿,怎么提权?16.SQL注入的原理17.SQL注入的攻击手段都有那些18.SQL注入利用你用的那个工具19.SQLMAP常见的命令20.你的专业学了那些计算机基础课程,你学的怎么样21.讲一下TCP三次握手22.在绿盟已经离职了吗,什么时候离职的23.看了你的博客,写了好多文章,但是关于研发的比较多,渗透这块比较少24.Cobalt Strike工具你们团队是怎么利用的25.Cobalt Strike怎么抓取windows系统的密码26.看你之前主要做安全研发,一些基本的poc插件和python脚本可以写吗27.总结28.结果
...查看更多
2023-07-10 发布
匿名用户
渗透测试
感觉靠谱
一面(一小时) 部门经理面自我介绍技术方面:问了一下计算机网络的比较基础的一些问题,还有讲对漏洞和渗透的了解主要占时问题:三观,职业规划,喜欢读的书等等后半段介绍岗位工作内容HR面自我介绍,对岗位的了解;学校学习的一些提问,问的比较细;职业规划;提供几个场景,例如和领导同事的意见不一如何处理;在学校担任职务的过程中遇到过的难题如何解决结果如何;why you why 数广;BOSS面很亲切的一个面试官,问了职业规划和对岗位的认知,因为提出了双向选择,所以很详细的和我介绍了岗位的情况,提到岗位是技术与管理55开。
...查看更多
2 年前 发布
TRRQ
渗透测试
感觉靠谱
1.自我介绍2.印象深刻的一次渗透3.渗透测试的流程4.SQL注入原理,及常用payload(手写-爆表名)5.SQL注入空格不能使用如何绕过6.SQL注入防御,延申预处理不能预防哪些注入7.同源策略8.a.baidu.com和b.baidu.com是否同源9.SSRF原理,利用10.攻击redis的方式(手写payload)11.CSRF的原理及防御12.一种特殊的CSRF场景:后端只解析json格式的时候如何利用CSRF(非更改Content-Type)13.SameSite14.DNS Rebinding15.Fastjson反序列化及如何修复16.子域名枚举用过那些工具,原理是什么,如果出现了任意子域名都返回200是什么原因?17.Java学到哪种程度了?
...查看更多
2022-07-25 发布
进入微信小程序
前往微信小程序,查看更多结果
立即前往
看准网
湖南山河智能机械股份有限公司
湖南山河智能机械股份有限公司面试经验
湖南山河智能机械股份有限公司面试经验:山河智能 复合材料工艺岗位
正在招聘
焊接机器人操作工
等 3 个岗位
去看看