欧美1区2区3区激情无套,两个女人互添下身视频在线观看,久久av无码精品人妻系列,久久精品噜噜噜成人,末发育娇小性色xxxx

倆個月前面的1. 介紹一下實(shí)習(xí)的倆個項目2. 獲取小程序前端源碼有哪些利用方式3. 公網(wǎng)暴露面你怎么排查的,如果sre那邊數(shù)據(jù)不全怎么辦4. 代碼審計你怎么審sql注入,怎么修復(fù)5. 除了orderby還有哪些地方不能預(yù)編譯,除了白名單還有修復(fù)方式嗎6. 現(xiàn)在依賴?yán)镉幸粋€fastjson低版本,你怎么判斷能否利用7. 一個4層服務(wù),rabbitmq未授權(quán)rce,你有哪些應(yīng)急思路8. 能提前實(shí)習(xí)嗎9. 你覺得還有哪些前面沒問到的,能體現(xiàn)你能力的項目面完秒掛,推測是第九個問題踩雷了,具體答了啥就不說了,不太合規(guī)

?？屯涛颐娼?jīng)...一面(1h)1. ctf經(jīng)歷->shiro漏洞原理,高版本aes oracle padding2. fastjson漏洞原理3. jndi注入,高版本codebase繞過了解嗎4. 繼續(xù)拷打反序列化5. 講一下xss漏洞,怎么防護(hù),有哪些危害?http only在哪設(shè)置6. innerHtml傳入<script>alert(1)</script>能執(zhí)行嗎7. csp了解嗎?繞過方式有哪些,iframe繞過具體講講8. csrf漏洞原理,防護(hù)手段9. referer校驗,我們可以抓包修改,那這個防護(hù)手段有用嗎10. samesite屬性,cors為什么可以發(fā)送請求,但是收不到結(jié)果11. ssrf漏洞原理,黑名單繞過,dns重綁定需要設(shè)置什么12. 講了一個滲透項目,追問安卓抓包細(xì)節(jié),oss任意文件上傳限制后綴就能防護(hù)了嗎13. 開發(fā)語言熟悉哪些?寫過哪些插件,二開過什么項目14. redis未授權(quán)怎么打?任意文件寫利用思路15. 問ctf經(jīng)歷,web.xml文件里xml文件解析為jsp怎么寫的16. 學(xué)習(xí)安全的路線,方法17. 手撕:sql注入流程面試官技術(shù)水平一流,我講的所有項目他都能快速理完思路,然后深入拷打二面(1h)1. 自我介紹,覺得不夠充分,又閑聊了一些內(nèi)容2. owasp Top10你覺得有哪些不足,辯證的講一講,說說缺點(diǎn)3. sql注入30年前已經(jīng)發(fā)現(xiàn)了,講講怎么挖到新的漏洞,了解國外的cyber sec怎么做的嗎4. 安全相關(guān)的網(wǎng)絡(luò)協(xié)議有哪些5. 正向代理和反向代理的區(qū)別,舉例說明6. http協(xié)議,請求體結(jié)構(gòu),方法有哪些?響應(yīng)體結(jié)構(gòu),問了100,300倆個狀態(tài)碼7. http協(xié)議的rfc編號   ps:這個真的邪門了8. hvv細(xì)節(jié)9. 瀏覽器的架構(gòu)了解嗎,哪個引擎負(fù)責(zé)dom樹的解析10. 講講數(shù)據(jù)庫從sql語句執(zhí)行和存儲引擎的交互11. nmap參數(shù) 一個syn半掃描和一個操作系統(tǒng)12. 用什么大模型?能上谷歌嗎?學(xué)校提供xxx?:當(dāng)然不是13. 手撕: 數(shù)組元素的全排列開放性和底層的問題是真的不會,包括手撕也是磕磕絆絆,感謝二面面試官給我機(jī)會三面(25min)1. 自我介紹2. 考研嗎?為什么不考?3. base地傾向哪4. 給學(xué)校的經(jīng)歷打幾分?為什么5. 從安全的角度看待人工智能這些新技術(shù)6. 為什么選擇安全7. 了解華為的企業(yè)文化嗎8. 職業(yè)規(guī)劃9. 反問常規(guī)主管面,面試官夸我反問的問題很好,期待一個通過

1. 自我介紹2. 問實(shí)習(xí)相關(guān):這個WAF日志的工作你做了什么,SRC你都做了什么3. 說了實(shí)習(xí)做的2個滲透測試項目4. 說下XSS 5. 說下SSRF    倆個說了原理和攻擊方式,面試官沒問修復(fù),還問了盲ssrf你怎么判斷成功了,我說用我的vps接收到請求了6. 指紋你了解嗎    這塊不太懂,我說了瀏覽器指紋和tls指紋,面試官提了一下ja3,ja4指紋,一點(diǎn)不懂7. WAF的優(yōu)缺點(diǎn)    優(yōu):攔截攻擊,記錄攻擊日志; 缺點(diǎn):可能會有誤報,作為入口,流量較大,可能會拖慢速度代碼題       excel表格頭轉(zhuǎn)換(1->A,2->B.....26->Z,27->AA)       當(dāng)時面試用的平板,用虛擬鍵盤半天沒敲出來邏輯題    8個球隊,4強(qiáng)4弱,倆倆對戰(zhàn),一個隊伍只能比一場,求p(至少一場強(qiáng)弱對戰(zhàn))    也就是求1-p(全都不是強(qiáng)弱) ,分子算錯了9. 反問    工作時間(晚上九點(diǎn)面的):跟網(wǎng)上說的差不多,上班晚下班晚    工作內(nèi)容:內(nèi)部做什么的都有(web,風(fēng)控,逆向這些),崗位沒有細(xì)分,只有一個安全工程師選項

#面經(jīng)#暫時想到這么多1. 說一下你是怎么自學(xué)安全的2. 同源策略了解嗎?跨域請求的方式有哪些3. CORS漏洞原理,修復(fù)方式4. JSONP劫持原理,修復(fù)方式5. CSRF了解嗎,修復(fù)的方式6. 瀏覽器保護(hù)cookie的方法7. XSS的漏洞原理,分類,危害,修復(fù)方案8. 實(shí)體化,有些情況下不能實(shí)體化怎么修復(fù)9. csp了解嗎10. ssrf了解嗎,怎么利用,有哪些協(xié)議可以利用,怎么防護(hù),dns重綁定怎么修復(fù)11. oauth2了解嗎,有哪些挖掘的點(diǎn)12. http://example.com?id=1,你的注入思路?報錯注入的函數(shù)有哪些,怎么判斷數(shù)據(jù)庫類型,查看數(shù)據(jù)庫版本13. 應(yīng)急響應(yīng)的流程,你會做什么?14. 講一下你挖掘src的一些思路,怎么修復(fù)這些漏洞15. 你會代碼審計嗎,講一下你的審計思路16. 你挖到過哪些邏輯漏洞,怎么修復(fù)代碼場景題:目錄掃描時,遇到302和200,怎么排除一些誤報(大概這個意思,就是說status為200,但是其實(shí)body是那種invaild path的情況)復(fù)盤:1. 修復(fù)方式答得不太好,csrf把csrf_token給忘了...,dns重綁定修復(fù)也沒答上來(設(shè)置ttl長一點(diǎn),防止dns解析和實(shí)際請求時ip不一致)2. oauth2當(dāng)時沒反應(yīng)上來是什么場景,面試官直接給我跳過了,簡單理解為sso,可能有url開放重定向,以及重定向?qū)е聇icket劫持3. 應(yīng)急響應(yīng)說的一塌糊涂,因為我真的只會grep 和awk提取ip和看日志4. 代碼審計思路很一般,因為我代審真的很一般5. 代碼場景題,答得太拉了,答完才想起來一個思路:參考dirsearch,先請求一個隨機(jī)uuid的目錄,根據(jù)這個請求的狀態(tài)碼和body,來判斷相同請求結(jié)果是否有效,我當(dāng)時擱那一個瞎扯啊6. 眼睛不停的在面試官和攝像頭之間轉(zhuǎn),下次一定得全屏7. 還是菜