a 面試官：你先進(jìn)行一個(gè)簡(jiǎn)單的自我介紹吧

b 我：我叫 來(lái)自東華理工大學(xué)網(wǎng)絡(luò)工程專業(yè)，今天要面試的崗位是貴公司的實(shí)習(xí)安全運(yùn)維工程師
首先我是一個(gè)性格樂(lè)觀向上的人，待人友善，能快速融入一個(gè)新的環(huán)境。
在校期間，我學(xué)習(xí)了TCP/IP，計(jì)算機(jī)網(wǎng)絡(luò)，高級(jí)路由交換，網(wǎng)絡(luò)安全等科目，
熟悉了TCP/IP協(xié)議棧，ARP,OSPF,DHCP等數(shù)通知識(shí)。

而且我具有一個(gè)較強(qiáng)的自學(xué)能力，大一期間自學(xué)華為設(shè)備命令，參加ICT大賽，大二上學(xué)期自學(xué)misc和web知識(shí)，參加CTF校內(nèi)選拔賽，拿到二等獎(jiǎng)
大二下學(xué)期參加紅盾杯大賽，自學(xué)matlab和編寫(xiě)論文知識(shí)成功帶領(lǐng)隊(duì)伍沖進(jìn)8強(qiáng)賽，大三上學(xué)期和理院的同學(xué)組隊(duì)參加美國(guó)大學(xué)生數(shù)學(xué)建模競(jìng)賽獲得
S獎(jiǎng)。

各人興趣愛(ài)好，唱歌和跳舞，大學(xué)期間加入舞蹈社團(tuán)，參加過(guò)校元旦晚會(huì)和院元旦晚會(huì)的演出，臺(tái)下最多觀眾出席超過(guò)1000人。

以上就是我的個(gè)人介紹，希望面試官能給我一個(gè)機(jī)會(huì)加入貴公司。

a 面試官：數(shù)通的知識(shí)就不面了，先介紹一下XSS

b 我： XSS分為三種形式，反射型，存儲(chǔ)型，和dom型，
反射型是將js代碼向URL框或者文本框輸入惡意代碼，讓代碼插入到服務(wù)器上，服務(wù)器回應(yīng)后插入的js代碼執(zhí)行導(dǎo)致彈框出現(xiàn)。
存儲(chǔ)型是將js代碼注入到留言板中，js代碼被前端執(zhí)行導(dǎo)致js代碼儲(chǔ)存到數(shù)據(jù)庫(kù)，用戶訪問(wèn)數(shù)據(jù)庫(kù)時(shí)js代碼被調(diào)用導(dǎo)致彈框出現(xiàn)
dom型就是查看瀏覽器js代碼，看是否存在可調(diào)用的dom函數(shù)，可以嘗試注入圖片碼，導(dǎo)致瀏覽器彈框

a 面試官 ：介紹一下CSRF 和 SSRF

b 我： CSRF是跨站偽造請(qǐng)求攻擊，用戶不小心點(diǎn)擊了黑客的惡意連接，導(dǎo)致客戶在不知情的情況下訪問(wèn)了存在該漏洞的網(wǎng)站中，導(dǎo)致出現(xiàn)惡意行為

SSRF是服務(wù)器請(qǐng)求偽造攻擊，惡意用戶通過(guò)存在SSRF漏洞的服務(wù)器訪問(wèn)服務(wù)器內(nèi)部資源，或者去訪問(wèn)其他服務(wù)器進(jìn)行惡意行為攻擊。

a 面試官：如何對(duì)他們進(jìn)行防范

b 我：CSRF利用了用戶的身份訪問(wèn)服務(wù)器，我們可以對(duì)它發(fā)送的http包referer字段，添加Token字段，添加自定義驗(yàn)證（二次認(rèn)證，短信驗(yàn)證等等）
SSRF利用了服務(wù)器沒(méi)有對(duì)用戶輸入內(nèi)容進(jìn)行嚴(yán)格過(guò)濾和審查，沒(méi)有對(duì)用戶權(quán)限進(jìn)行限制導(dǎo)致服務(wù)器被惡意使用，防御方法：
1.輸入驗(yàn)證與過(guò)濾
2.限制網(wǎng)絡(luò)訪問(wèn)權(quán)限
3.使用安全的網(wǎng)絡(luò)庫(kù)等等

a 面試官：介紹一下SQL注入，對(duì)他們分類一下

b 我： 首先按字符類型分類：數(shù)值型和字符型
按類型分類：聯(lián)合注入，盲注，報(bào)錯(cuò)注入，二次注入，寬字符注入，盲注又分為布爾盲注和時(shí)間盲注
http注入：referer字段注入，XFF字段注入，cookie字段注入，user-agent字段注入等等
繞waf注入：內(nèi)斂注釋注入，二次編碼注入，異常響應(yīng)頭注入，雙寫(xiě)cookie繞過(guò)等等

a 面試官：會(huì)不會(huì)應(yīng)急響應(yīng)的知識(shí)

b 我： 首先我會(huì)
斷網(wǎng)：條件允許優(yōu)先斷網(wǎng)，防止黑客進(jìn)一步操作或者刪除痕跡

取證：通過(guò)分析登陸日志、網(wǎng)站日志、服務(wù)日志、尋找黑客ip,查看黑客進(jìn)行的操作。

備份：備份服務(wù)器文件，對(duì)比入侵前后產(chǎn)生變化的文件。

查漏：通過(guò)上述步驟尋找到業(yè)務(wù)薄弱點(diǎn)，修補(bǔ)漏洞

殺毒：清除黑客留下的后門(mén)，webshell，管理賬號(hào)

溯源：溯源黑客ip地址，入侵手段等

記錄：歸檔，預(yù)防

a 面試官：回答的非常有條理，思路也清晰，會(huì)不會(huì)查找服務(wù)器是否存在后門(mén)

b 我：Linux系統(tǒng)的話直接先top一下看一看有沒(méi)有什么異常連接和異常的cpu消耗資源的進(jìn)程
通過(guò)工具鎖定異常進(jìn)程號(hào)然后查看他的目錄在哪里
或者通過(guò)fand查找異常程序
window系統(tǒng)的話用netstat命令查看進(jìn)程狀態(tài)，然后查看系統(tǒng)日志，查看注冊(cè)表是否被修改過(guò)，查看是否存在影子用戶等等

a 面試官：會(huì)不會(huì)安全加固，比如xss漏洞的安全加固，和服務(wù)器類的安全加固

b 我：xss加固就是前后端代碼實(shí)體化，對(duì)前端輸入的代碼進(jìn)行轉(zhuǎn)義，對(duì)惡意函數(shù)惡意標(biāo)簽等等進(jìn)行過(guò)濾，或者白名單
服務(wù)器加固就是關(guān)閉不用的服務(wù)端口，定期更新服務(wù)器系統(tǒng)，定期掃漏，裝waf，ids，ips，流量清洗設(shè)備等等。

a 面試官：會(huì)不會(huì)Linux

b 我：會(huì)，大學(xué)期間學(xué)習(xí)網(wǎng)絡(luò)安全，基本都是用kali機(jī)，基本的命令比如top，cd，ls，su，df，fdisk等等
基本的操作：下載軟件，解壓軟件，換源，提權(quán)都會(huì)

a 面試官：安全的知識(shí)問(wèn)完了，數(shù)通接觸過(guò)什么產(chǎn)品嗎，有沒(méi)有了解過(guò)綠盟的防火墻

b 我：數(shù)通的話，操作過(guò)華為，思科，華三的設(shè)備，沒(méi)有了解過(guò)綠盟的防火墻，了解過(guò)其他的防火墻，比如山石網(wǎng)科的防火墻，天融信的防火墻，sata防火墻

a 面試官：有沒(méi)有了解過(guò)綠盟的大佬，比如誰(shuí)誰(shuí)誰(shuí)，誰(shuí)誰(shuí)誰(shuí)（忘記名字了）

b 我：我非常憧憬這些大佬，想努力成為他們，如果貴公司能給我實(shí)習(xí)的機(jī)會(huì)，我會(huì)查漏補(bǔ)缺，努力加強(qiáng)自己，為公司做貢獻(xiàn)

a 面試官：對(duì)駐場(chǎng)有沒(méi)有什么意見(jiàn)

b 我：沒(méi)有意見(jiàn)，去駐廠可以見(jiàn)識(shí)別的風(fēng)景，加強(qiáng)自己的見(jiàn)識(shí)，拓寬自己的視野

a 面試官：來(lái)公司實(shí)習(xí)，可能不只有滲透測(cè)試，可能還要打雜，你愿意嗎

b 我：愿意，說(shuō)實(shí)話，我們來(lái)實(shí)習(xí)，沒(méi)有給公司創(chuàng)造明顯的價(jià)值，公司能收留我，對(duì)我來(lái)說(shuō)就是一種恩賜
打雜其實(shí)也是一種學(xué)習(xí)，可以增長(zhǎng)我們的知識(shí)面，所以沒(méi)有什么不情愿的

a 面試官：你這個(gè)態(tài)度還是非常端正的，那你對(duì)我們公司有什么想問(wèn)的嗎

b 我：我想問(wèn)一下加入貴公司能去參加紅藍(lán)對(duì)抗嗎，或者做一些大型滲透項(xiàng)目

a 面試官：這個(gè)肯定是有的，不過(guò)打紅藍(lán)對(duì)抗肯定是要你有一定的技術(shù)能力，剛剛進(jìn)公司肯定是先進(jìn)行基礎(chǔ)的學(xué)習(xí)，完善自己，如果表現(xiàn)非常好的話
肯定是有大佬帶隊(duì)，去參加一些護(hù)網(wǎng)項(xiàng)目，滲透項(xiàng)目等等

b 我：謝謝面試官，進(jìn)入貴公司我肯定會(huì)努力學(xué)習(xí)完善自己，讓自己能力被表現(xiàn)出來(lái)，您還有什么要問(wèn)我的嗎

a 面試官：差不多了，基本都沒(méi)問(wèn)題，可以去叫下一個(gè)同學(xué)了。

綠盟科技安全服務(wù)工程師面試題

介紹一下SQL注入，對(duì)他們分類一下
介紹一下CSRF 和 SSRF
會(huì)不會(huì)應(yīng)急響應(yīng)的知識(shí)
回答的非常有條理，思路也清晰，會(huì)不會(huì)查找服務(wù)器是否存在后門(mén)

贊一下(0) 踩一下 查看面試題參考答案>>

一面應(yīng)該是HR面，不問(wèn)技術(shù)，主要考察語(yǔ)言表達(dá)與邏輯能力，對(duì)個(gè)人做全面了解。面試結(jié)尾給出反饋，因?yàn)槟壳耙獙?duì)看到的，能用的人做 排序 ，目前離售前要求差了些，后期不推進(jìn)了。評(píng)價(jià)是比較內(nèi)斂，表達(dá)溝通能力差了些。另外整個(gè)面試讓她覺(jué)得我挺緊張，建議我多參加一些活動(dòng)，學(xué)校的包容性很強(qiáng)，客戶的包容性不強(qiáng)，目前情況做售前，會(huì)有很大壓力。面試官說(shuō)我的優(yōu)勢(shì)在技術(shù)方面，建議先找技術(shù)相關(guān)的工作比較好，問(wèn)了我意愿base地，會(huì)幫我做安全 技術(shù)支持 崗位的推薦。

綠盟科技售前/后工程師面試題

1、自我介紹，開(kāi)始的時(shí)候緊張忘記說(shuō)自己的實(shí)習(xí)經(jīng)歷了，被問(wèn)后補(bǔ)充，說(shuō)完后仍我補(bǔ)充有無(wú)內(nèi)容，隨后說(shuō)了了崗位理解，自己覺(jué)得的工作內(nèi)容，網(wǎng)絡(luò)安全前景與個(gè)人對(duì)行業(yè)的看法。

2、你的性格偏向是怎么樣的？

3、秋招崗位這么多，有沒(méi)有投其他崗位，為什么選售前？你是怎么規(guī)劃職業(yè)發(fā)展的？

4、售前面對(duì)客戶比較多，你會(huì)不會(huì)面對(duì)客戶宣講時(shí)會(huì)緊張，發(fā)生這種情況該怎么辦呢？

5、關(guān)于技能證書(shū)和比賽問(wèn)題提問(wèn)

6、講一講你的優(yōu)勢(shì)和劣勢(shì)？評(píng)價(jià)下自己

7、你的劣勢(shì)你是什么時(shí)候發(fā)現(xiàn)的，什么時(shí)候想改變的，目前與過(guò)去相比怎么樣？

8、你有什么想問(wèn)的

贊一下(1) 踩一下 查看面試題參考答案>>

后半段hr就好像給我一種他有點(diǎn)對(duì)我失去興趣了的感覺(jué)，而且薪資期望一開(kāi)始還沒(méi)問(wèn)我，問(wèn)我還有什么問(wèn)題時(shí)我問(wèn)了“貴公司的晉升機(jī)制是怎樣的，我如果有幸進(jìn)入貴公司該如何提升自己從而得到晉升？”這個(gè)問(wèn)題后他才問(wèn)我你的薪資期望是多少（不知道是故意的還是真忘了），而且無(wú)法用迂回戰(zhàn)術(shù)不明確說(shuō)具體金額，非要你表示具體金額是多少，我就從網(wǎng)上搜集到的信息中選了較為偏低的薪資，并再次強(qiáng)調(diào)身為一個(gè)應(yīng)屆生并不看重薪資，能學(xué)到技術(shù)得到歷練就很開(kāi)心

綠盟科技安全運(yùn)營(yíng)工程師面試題

1、自我介紹；
2、sql注入的判斷方法、如何注入、有哪些防御措施；
3、簡(jiǎn)單說(shuō)一下xss的類型、各自的區(qū)別與攻擊方式、和防御措施；如果是你，怎么很好的利用xss；
4、說(shuō)明一下csrf與ssrf的區(qū)別所在；
5、滲透測(cè)試的基本步驟；
6、簡(jiǎn)單闡述一下你的項(xiàng)目；

贊一下(1) 踩一下 查看面試題參考答案>>

第一面為技術(shù)面和人事面混合，技術(shù)問(wèn)題問(wèn)的多一點(diǎn)，明顯感覺(jué)面試官是大佬，知識(shí)儲(chǔ)備很多。雖然問(wèn)的都比較基礎(chǔ)，但是涉及的內(nèi)容很廣；人事面就一些常見(jiàn)的問(wèn)題，職業(yè)規(guī)劃、什么時(shí)候可以實(shí)習(xí)、意向工作點(diǎn)，以及比較重要的是實(shí)習(xí)經(jīng)驗(yàn)、項(xiàng)目經(jīng)驗(yàn)、以及比賽經(jīng)驗(yàn)。

綠盟科技安全服務(wù)工程師面試題

1、ARP是幾層協(xié)議？
2、ARP方面的攻擊名字叫什么？
3、ARP欺騙的基本原理？
4、owaps top10是什么？
5、SQL注入的分類？
6、時(shí)間盲注是屬于布爾型的還是屬于什么？
7、同時(shí)有時(shí)間盲注和布爾型盲注，哪個(gè)時(shí)間效率比較高？
8、報(bào)錯(cuò)注入的限制條件是什么？
9、常用的報(bào)錯(cuò)函數(shù)有哪些？
10、union注入怎么報(bào)出列數(shù)的字段（order by 還有呢）
11、mysql在注入的時(shí)候有什么特性？

16、你有打過(guò)CTF筆試嗎？有成績(jī)嗎
17、Apache有什么漏洞，IIS有什么漏洞（文件上傳相關(guān)的）？
18、說(shuō)一下http和https的區(qū)別
19、滲透測(cè)試流程？
20、痕跡清理你會(huì)從什么方面下手？
21、Linux系統(tǒng)下有哪些日志文件，位置在哪里？
22、有沒(méi)有管理經(jīng)驗(yàn)？
23、這個(gè)職位你都管理一下什么呢？
24、有沒(méi)有安全相關(guān)的證書(shū)呢？
25、你用過(guò)哪些滲透測(cè)試工具？

30、個(gè)人的發(fā)展計(jì)劃？
31、對(duì)于安全服務(wù)職業(yè)的本身有什么見(jiàn)解？
32、滲透測(cè)試與滲透測(cè)試報(bào)告哪個(gè)更重要？為什么？
33、現(xiàn)在有200的主機(jī)，掃描組3000個(gè)漏洞，你覺(jué)得的poc去驗(yàn)證現(xiàn)實(shí)嗎？為什么
34、最早什么時(shí)候能去實(shí)習(xí)？
35、三方什么時(shí)候能拿？

26、burp可以設(shè)置二級(jí)代理，怎么設(shè)置？
27、socks5代理和http代理的區(qū)別？
28、socks5代理和socks4代理的區(qū)別？
12、mssql數(shù)據(jù)庫(kù)可不可以執(zhí)行系統(tǒng)命令？用哪個(gè)函數(shù)
13、一般情況下，我們?cè)趺磁袛嗨嬖赬XE？為什么說(shuō)使用XML語(yǔ)言、在哪里使用？我們看到數(shù)據(jù)包怎么看一定沒(méi)有XXE或者說(shuō)可能有XXE？
14、excle表格中有可能存在XXE？為什么？
15、excle表格轉(zhuǎn)換為txt文檔，他的頭部是什么? PK是什么格式的文檔

贊一下(27) 踩一下 查看面試題參考答案>>

一面HR面，主要針對(duì)簡(jiǎn)歷。沒(méi)有任何技術(shù)問(wèn)題，虧我還按照之前的經(jīng)驗(yàn)準(zhǔn)備了一些OSI模型，TCP/IP協(xié)議之類的問(wèn)題，一個(gè)沒(méi)問(wèn)。全是你對(duì)崗位的理解，你為什么選擇綠盟，對(duì)我們公司有什么了解，有沒(méi)有遇到什么特別的事情，怎么解決的。HR人很好，非常溫和有禮，體驗(yàn)極好。二面是主管面，但是主管開(kāi)會(huì)，鴿了我兩次，批評(píng)一下，后續(xù)換了我的直屬分管領(lǐng)導(dǎo)面試，還是問(wèn)簡(jiǎn)歷，因?yàn)槲矣羞^(guò)護(hù)網(wǎng)經(jīng)驗(yàn)，問(wèn)了一些漏洞的問(wèn)題，總而言之只要是自己的真實(shí)經(jīng)歷，基本上沒(méi)什么問(wèn)題，后續(xù)還留了很長(zhǎng)時(shí)間的空白，讓我主動(dòng)提問(wèn)，然而并沒(méi)有什么特別想問(wèn)的，除了薪資。目前在準(zhǔn)備三面。

綠盟科技售前工程師面試題

一：自我介紹
二：為什么選擇綠盟
三：對(duì)崗位的理解
四：未來(lái)職業(yè)規(guī)劃
五：談?wù)勀阕o(hù)網(wǎng)期間發(fā)現(xiàn)的漏洞，說(shuō)兩個(gè)
六：你做這份工作有什么優(yōu)勢(shì)，說(shuō)三個(gè)。

贊一下(1) 踩一下 查看面試題參考答案>>

先進(jìn)行自我介紹，面官問(wèn)些技術(shù)問(wèn)題，不太難，基礎(chǔ)性的，會(huì)根據(jù)你以往的工作問(wèn)一些針對(duì)性的問(wèn)題

綠盟科技信息安全工程師面試題

1.自我介紹；
2.簡(jiǎn)述一下sql注入；
3.說(shuō)下xss；
4.說(shuō)一下cookie與session的區(qū)別；
5.了解密碼學(xué)嗎？有哪幾種模式

贊一下(0) 踩一下 查看面試題參考答案>>