所面試公司:安洵資訊科技****
薪資待遇:雙休
所在城市:南京
面試職位:滲透測試工程師
第一天上午投的簡歷,下午收到面試邀請,第二天進行的面試,中間也就一次面試,只是等的時間比較長,最後收到錄用通知,大概用了兩周的時間
1、先做一下自我介紹
這個應該是每個面試官都會問的第乙個問題吧
2、講一下你所了解的web漏洞
我就把top10,講了一下,還把在學院學到的都說了一下
3、你在src挖掘中遇到最多的漏洞是什麼
sql注入,xss,越權還有一些弱口令
4、sql注入分為幾種
顯錯、盲注,這些學院都有教,全部說出去就行
5、詳細講一下sql注入
講一下原理,然後把從開始判斷注入點到最後獲取到庫名的過程,用了哪些方法,說一下就行了
6、xss有幾種,詳細講一下
反射型、儲存型、dom型,在把這幾種的特性說一下就好了
7、xss除了獲取cookie,還有別的用處嗎
這個當時沒有回答上來,後來去網上搜尋了一下發現也有不少用途
8、講一下滲透測試的流程
資訊收集、尋找功能點、測試漏洞、漏洞分析、漏洞利用
9、講一下資訊收集都收集那些資訊
whois、指紋識別、敏感目錄、子網域名稱、埠、還有一些旁站
(當時有點懵,回答的並不是很好)
10、看你簡歷有寫內網滲透,簡單講一下
我當時就把老師教的那些都說給他了,從獲取webshell,提權,埠**,再到域滲透
11、獲取shell之後,你是怎麼提權的
獲取shell,連線菜刀,開啟終端,先whoami看一下自身許可權,
如果許可權低,嘗試一下爛土豆提權,或者用systeminfo看一下都打了哪些補丁,然後去尋找對應補丁的exp
12、怎麼通過資料庫獲取shell
用 into outfile寫入檔案的方式,寫入一句話獲取shell,也可以通過寫入日誌的方式獲取shell
13、資料庫的提權有接觸過嗎
知道mysql資料庫提權,有mof提權、udf提權,
當時只說了這兩個,應該還有一些其他的提權方式,可以去網上看看
14、進入到內網之後,怎麼去維持許可權
可以在內網機器中留下後門,不過這個要先做好免殺,
如果拿下了域控主機,可以製作**票據,從而進行控制
15、講一下**票據
這個老師在課上也有講,這裡就不詳細說了
17、如果抓不到包,是因為什麼
有可能是**沒有設定好,或者是沒有走http協議
18、講一下http雙向認證
這個就不詳細說了,網上一大堆
19、了解apt嗎
額,這個有看過一些文章,沒有接觸過
面試結果:通過
面試難度:中(個人感覺)
面試感受:
提問的內容主要還是簡歷上面寫的一些東西,面試的時候,有點緊張,沒有發揮好,一些問題沒有及時回答上來,基礎不是很牢,對於一些問題的回答不是很從容
基礎很重要,多去挖一些src增加實戰經驗,面試的時候心態要放平和,不要緊張,課程的內容吃透,面試基本上也就穩了
面試基本上都會問簡歷上面寫的,不要寫不會的,不然會很尷尬
掃碼白嫖!!
工程師經驗分享 PCB佈線經驗
一般pcb基本設計流程如下 前期準備 pcb結構設計 pcb布局 佈線 佈線優化和絲印 網路和drc檢查和結構檢查 製版。一般布局按如下原則進行 按電氣效能合理分割槽,一般分為 數位電路區 即怕干擾 又產生干擾 模擬電路區 怕干擾 功率驅動區 干擾源 完成同一功能的電路,應盡量靠近放置,並調整各元器...
測試工程師面試經驗
01.為什麼要在乙個團隊中開展軟體測試列舉出程式中所有可能有的錯誤和容易發生錯誤的特殊情況,根據他們選擇測試用例.例如,在單元測試時曾列出的許多在模組中常見的錯誤.以前產品測試中曾經發現的錯誤等,這些就是經驗的總結.還有,輸入資料和輸出資料為0的情況.輸入 為空格或輸入 只有一行.這些都是容易發生錯...
大資料工程師面試經驗(一)
優點 極高的裝載速度 最高可以等於所有硬碟io 的總和,基本是極限了 適合儲存大量資料 實時載入資料僅限於增加 刪除和更新需要解壓縮block 然後計算然後重新壓縮儲存 高效的壓縮率,不僅節省儲存空間也節省計算記憶體和cpu。非常適合做聚合操作。缺點 不適合掃瞄小量資料 不適合隨機的更新 批量更新情...