安全服務(wù)工程師面試經(jīng)驗(yàn)(深圳) - 綠盟科技
2024-10-12 20:37:46 | 內(nèi)部推薦
面試過程: a 面試官:你先進(jìn)行一個(gè)簡(jiǎn)單的自我介紹吧
b 我:我叫 來自東華理工大學(xué)網(wǎng)絡(luò)工程專業(yè)���,今天要面試的崗位是貴公司的實(shí)習(xí)安全運(yùn)維工程師
首先我是一個(gè)性格樂觀向上的人��,待人友善�,能快速融入一個(gè)新的環(huán)境���。
在校期間�����,我學(xué)習(xí)了TCP/IP����,計(jì)算機(jī)網(wǎng)絡(luò),高級(jí)路由交換���,網(wǎng)絡(luò)安全等科目�,
熟悉了TCP/IP協(xié)議棧��,ARP,OSPF,DHCP等數(shù)通知識(shí)��。
而且我具有一個(gè)較強(qiáng)的自學(xué)能力����,大一期間自學(xué)華為設(shè)備命令,參加ICT大賽�,大二上學(xué)期自學(xué)misc和web知識(shí),參加CTF校內(nèi)選拔賽�����,拿到二等獎(jiǎng)
大二下學(xué)期參加紅盾杯大賽�����,自學(xué)matlab和編寫論文知識(shí)成功帶領(lǐng)隊(duì)伍沖進(jìn)8強(qiáng)賽���,大三上學(xué)期和理院的同學(xué)組隊(duì)參加美國(guó)大學(xué)生數(shù)學(xué)建模競(jìng)賽獲得
S獎(jiǎng)���。
各人興趣愛好�,唱歌和跳舞�,大學(xué)期間加入舞蹈社團(tuán)�����,參加過校元旦晚會(huì)和院元旦晚會(huì)的演出���,臺(tái)下最多觀眾出席超過1000人�����。
以上就是我的個(gè)人介紹��,希望面試官能給我一個(gè)機(jī)會(huì)加入貴公司���。
a 面試官:數(shù)通的知識(shí)就不面了,先介紹一下XSS
b 我: XSS分為三種形式����,反射型,存儲(chǔ)型����,和dom型�,
反射型是將js代碼向URL框或者文本框輸入惡意代碼�����,讓代碼插入到服務(wù)器上��,服務(wù)器回應(yīng)后插入的js代碼執(zhí)行導(dǎo)致彈框出現(xiàn)���。
存儲(chǔ)型是將js代碼注入到留言板中��,js代碼被前端執(zhí)行導(dǎo)致js代碼儲(chǔ)存到數(shù)據(jù)庫�,用戶訪問數(shù)據(jù)庫時(shí)js代碼被調(diào)用導(dǎo)致彈框出現(xiàn)
dom型就是查看瀏覽器js代碼��,看是否存在可調(diào)用的dom函數(shù)�,可以嘗試注入圖片碼,導(dǎo)致瀏覽器彈框
a 面試官 :介紹一下CSRF 和 SSRF
b 我: CSRF是跨站偽造請(qǐng)求攻擊�,用戶不小心點(diǎn)擊了黑客的惡意連接,導(dǎo)致客戶在不知情的情況下訪問了存在該漏洞的網(wǎng)站中����,導(dǎo)致出現(xiàn)惡意行為
SSRF是服務(wù)器請(qǐng)求偽造攻擊,惡意用戶通過存在SSRF漏洞的服務(wù)器訪問服務(wù)器內(nèi)部資源,或者去訪問其他服務(wù)器進(jìn)行惡意行為攻擊���。
a 面試官:如何對(duì)他們進(jìn)行防范
b 我:CSRF利用了用戶的身份訪問服務(wù)器����,我們可以對(duì)它發(fā)送的http包referer字段�����,添加Token字段���,添加自定義驗(yàn)證(二次認(rèn)證,短信驗(yàn)證等等)
SSRF利用了服務(wù)器沒有對(duì)用戶輸入內(nèi)容進(jìn)行嚴(yán)格過濾和審查�����,沒有對(duì)用戶權(quán)限進(jìn)行限制導(dǎo)致服務(wù)器被惡意使用�,防御方法:
1.輸入驗(yàn)證與過濾
2.限制網(wǎng)絡(luò)訪問權(quán)限
3.使用安全的網(wǎng)絡(luò)庫等等
a 面試官:介紹一下SQL注入,對(duì)他們分類一下
b 我: 首先按字符類型分類:數(shù)值型和字符型
按類型分類:聯(lián)合注入���,盲注���,報(bào)錯(cuò)注入,二次注入����,寬字符注入���,盲注又分為布爾盲注和時(shí)間盲注
http注入:referer字段注入,XFF字段注入���,cookie字段注入�,user-agent字段注入等等
繞waf注入:內(nèi)斂注釋注入����,二次編碼注入,異常響應(yīng)頭注入��,雙寫cookie繞過等等
a 面試官:會(huì)不會(huì)應(yīng)急響應(yīng)的知識(shí)
b 我: 首先我會(huì)
斷網(wǎng):條件允許優(yōu)先斷網(wǎng)���,防止黑客進(jìn)一步操作或者刪除痕跡
取證:通過分析登陸日志��、網(wǎng)站日志��、服務(wù)日志���、尋找黑客ip,查看黑客進(jìn)行的操作。
備份:備份服務(wù)器文件,對(duì)比入侵前后產(chǎn)生變化的文件�。
查漏:通過上述步驟尋找到業(yè)務(wù)薄弱點(diǎn),修補(bǔ)漏洞
殺毒:清除黑客留下的后門�����,webshell��,管理賬號(hào)
溯源:溯源黑客ip地址��,入侵手段等
記錄:歸檔�,預(yù)防
a 面試官:回答的非常有條理,思路也清晰��,會(huì)不會(huì)查找服務(wù)器是否存在后門
b 我:Linux系統(tǒng)的話直接先top一下看一看有沒有什么異常連接和異常的cpu消耗資源的進(jìn)程
通過工具鎖定異常進(jìn)程號(hào)然后查看他的目錄在哪里
或者通過fand查找異常程序
window系統(tǒng)的話用netstat命令查看進(jìn)程狀態(tài)��,然后查看系統(tǒng)日志����,查看注冊(cè)表是否被修改過��,查看是否存在影子用戶等等
a 面試官:會(huì)不會(huì)安全加固���,比如xss漏洞的安全加固�����,和服務(wù)器類的安全加固
b 我:xss加固就是前后端代碼實(shí)體化�����,對(duì)前端輸入的代碼進(jìn)行轉(zhuǎn)義����,對(duì)惡意函數(shù)惡意標(biāo)簽等等進(jìn)行過濾,或者白名單
服務(wù)器加固就是關(guān)閉不用的服務(wù)端口�,定期更新服務(wù)器系統(tǒng),定期掃漏�����,裝waf�,ids,ips����,流量清洗設(shè)備等等。
a 面試官:會(huì)不會(huì)Linux
b 我:會(huì)�,大學(xué)期間學(xué)習(xí)網(wǎng)絡(luò)安全,基本都是用kali機(jī)���,基本的命令比如top���,cd�,ls�����,su��,df��,fdisk等等
基本的操作:下載軟件�,解壓軟件,換源���,提權(quán)都會(huì)
a 面試官:安全的知識(shí)問完了,數(shù)通接觸過什么產(chǎn)品嗎�,有沒有了解過綠盟的防火墻
b 我:數(shù)通的話,操作過華為����,思科,華三的設(shè)備�,沒有了解過綠盟的防火墻�����,了解過其他的防火墻�,比如山石網(wǎng)科的防火墻��,天融信的防火墻�����,sata防火墻
a 面試官:有沒有了解過綠盟的大佬�����,比如誰誰誰����,誰誰誰(忘記名字了)
b 我:我非常憧憬這些大佬,想努力成為他們�,如果貴公司能給我實(shí)習(xí)的機(jī)會(huì),我會(huì)查漏補(bǔ)缺�����,努力加強(qiáng)自己�,為公司做貢獻(xiàn)
a 面試官:對(duì)駐場(chǎng)有沒有什么意見
b 我:沒有意見��,去駐廠可以見識(shí)別的風(fēng)景����,加強(qiáng)自己的見識(shí)�����,拓寬自己的視野
a 面試官:來公司實(shí)習(xí)��,可能不只有滲透測(cè)試�����,可能還要打雜�����,你愿意嗎
b 我:愿意�����,說實(shí)話����,我們來實(shí)習(xí),沒有給公司創(chuàng)造明顯的價(jià)值��,公司能收留我�,對(duì)我來說就是一種恩賜
打雜其實(shí)也是一種學(xué)習(xí),可以增長(zhǎng)我們的知識(shí)面�����,所以沒有什么不情愿的
a 面試官:你這個(gè)態(tài)度還是非常端正的�����,那你對(duì)我們公司有什么想問的嗎
b 我:我想問一下加入貴公司能去參加紅藍(lán)對(duì)抗嗎����,或者做一些大型滲透項(xiàng)目
a 面試官:這個(gè)肯定是有的,不過打紅藍(lán)對(duì)抗肯定是要你有一定的技術(shù)能力��,剛剛進(jìn)公司肯定是先進(jìn)行基礎(chǔ)的學(xué)習(xí)��,完善自己�����,如果表現(xiàn)非常好的話
肯定是有大佬帶隊(duì)�,去參加一些護(hù)網(wǎng)項(xiàng)目����,滲透項(xiàng)目等等
b 我:謝謝面試官����,進(jìn)入貴公司我肯定會(huì)努力學(xué)習(xí)完善自己,讓自己能力被表現(xiàn)出來����,您還有什么要問我的嗎
a 面試官:差不多了,基本都沒問題�,可以去叫下一個(gè)同學(xué)了。
面試官問的面試題: 綠盟科技安全服務(wù)工程師面試題
介紹一下SQL注入����,對(duì)他們分類一下
介紹一下CSRF 和 SSRF
會(huì)不會(huì)應(yīng)急響應(yīng)的知識(shí)
回答的非常有條理,思路也清晰��,會(huì)不會(huì)查找服務(wù)器是否存在后門
贊一下(0) 踩一下 查看面試題參考答案>>
安全運(yùn)營(yíng)工程師面試經(jīng)驗(yàn)(成都) - 綠盟科技
2024-08-15 16:28:29 | 校園招聘
面試過程: 后半段hr就好像給我一種他有點(diǎn)對(duì)我失去興趣了的感覺��,而且薪資期望一開始還沒問我��,問我還有什么問題時(shí)我問了“貴公司的晉升機(jī)制是怎樣的�,我如果有幸進(jìn)入貴公司該如何提升自己從而得到晉升?”這個(gè)問題后他才問我你的薪資期望是多少(不知道是故意的還是真忘了),而且無法用迂回戰(zhàn)術(shù)不明確說具體金額�,非要你表示具體金額是多少���,我就從網(wǎng)上搜集到的信息中選了較為偏低的薪資�����,并再次強(qiáng)調(diào)身為一個(gè)應(yīng)屆生并不看重薪資��,能學(xué)到技術(shù)得到歷練就很開心
面試官問的面試題: 綠盟科技安全運(yùn)營(yíng)工程師面試題
1����、自我介紹�;
2、sql注入的判斷方法��、如何注入��、有哪些防御措施�;
3、簡(jiǎn)單說一下xss的類型����、各自的區(qū)別與攻擊方式、和防御措施;如果是你�����,怎么很好的利用xss�;
4、說明一下csrf與ssrf的區(qū)別所在��;
5����、滲透測(cè)試的基本步驟;
6�����、簡(jiǎn)單闡述一下你的項(xiàng)目���;
贊一下(1) 踩一下 查看面試題參考答案>>
安全服務(wù)工程師面試經(jīng)驗(yàn)(福建) - 綠盟科技
2020-10-26 21:34:24 | 網(wǎng)上申請(qǐng)
面試過程: 第一面為技術(shù)面和人事面混合�����,技術(shù)問題問的多一點(diǎn)��,明顯感覺面試官是大佬��,知識(shí)儲(chǔ)備很多���。雖然問的都比較基礎(chǔ)�����,但是涉及的內(nèi)容很廣;人事面就一些常見的問題�����,職業(yè)規(guī)劃�����、什么時(shí)候可以實(shí)習(xí)�����、意向工作點(diǎn)����,以及比較重要的是實(shí)習(xí)經(jīng)驗(yàn)、項(xiàng)目經(jīng)驗(yàn)�����、以及比賽經(jīng)驗(yàn)。
面試官問的面試題: 綠盟科技安全服務(wù)工程師面試題
1�����、ARP是幾層協(xié)議����?
2、ARP方面的攻擊名字叫什么���?
3���、ARP欺騙的基本原理?
4����、owaps top10是什么?
5�����、SQL注入的分類����?
6��、時(shí)間盲注是屬于布爾型的還是屬于什么���?
7、同時(shí)有時(shí)間盲注和布爾型盲注�,哪個(gè)時(shí)間效率比較高?
8��、報(bào)錯(cuò)注入的限制條件是什么��?
9�����、常用的報(bào)錯(cuò)函數(shù)有哪些�?
10����、union注入怎么報(bào)出列數(shù)的字段(order by 還有呢)
11、mysql在注入的時(shí)候有什么特性����?
16��、你有打過CTF筆試嗎�����?有成績(jī)嗎
17���、Apache有什么漏洞,IIS有什么漏洞(文件上傳相關(guān)的)��?
18�����、說一下http和https的區(qū)別
19���、滲透測(cè)試流程���?
20、痕跡清理你會(huì)從什么方面下手�?
21、Linux系統(tǒng)下有哪些日志文件�,位置在哪里?
22�����、有沒有管理經(jīng)驗(yàn)?
23��、這個(gè)職位你都管理一下什么呢�����?
24�����、有沒有安全相關(guān)的證書呢�?
25�、你用過哪些滲透測(cè)試工具?
30��、個(gè)人的發(fā)展計(jì)劃����?
31、對(duì)于安全服務(wù)職業(yè)的本身有什么見解���?
32�、滲透測(cè)試與滲透測(cè)試報(bào)告哪個(gè)更重要?為什么�?
33、現(xiàn)在有200的主機(jī)�����,掃描組3000個(gè)漏洞��,你覺得的poc去驗(yàn)證現(xiàn)實(shí)嗎��?為什么
34���、最早什么時(shí)候能去實(shí)習(xí)�����?
35�、三方什么時(shí)候能拿�����?
26�����、burp可以設(shè)置二級(jí)代理,怎么設(shè)置�?
27、socks5代理和http代理的區(qū)別��?
28����、socks5代理和socks4代理的區(qū)別?
12�����、mssql數(shù)據(jù)庫可不可以執(zhí)行系統(tǒng)命令�����?用哪個(gè)函數(shù)
13��、一般情況下�,我們?cè)趺磁袛嗨嬖赬XE�����?為什么說使用XML語言�����、在哪里使用?我們看到數(shù)據(jù)包怎么看一定沒有XXE或者說可能有XXE�?
14、excle表格中有可能存在XXE��?為什么��?
15���、excle表格轉(zhuǎn)換為txt文檔�����,他的頭部是什么? PK是什么格式的文檔
贊一下(27) 踩一下 查看面試題參考答案>>
安全服務(wù)工程師面試經(jīng)驗(yàn)(北京) - 綠盟科技
2022-09-13 11:27:29 | 校園招聘
面試過程: 通過內(nèi)推參加的校園招聘��,首先面試官很隨和���,自己太緊張了,導(dǎo)致思路有些混亂����。
進(jìn)入視頻會(huì)議后,首先與面熟管確認(rèn)通話是否正常,然后就直接開始了����。
先是讓 自我介紹, 然后提問一系列問題���, 在面試官問完后���,會(huì)詢問你是否有什么問題。
解答一下然后結(jié)束���。 整體過程大概30min.
面試官問的面試題: 綠盟科技安全服務(wù)工程師面試題
自我介紹
Linux系統(tǒng)為什么比windows安全
文件上傳的含義
文件上傳哪些繞過方法
場(chǎng)景 給一個(gè)登錄框�,可以進(jìn)行哪些操作
文件包含漏洞原理
滲透測(cè)試基本流程
用過哪些端口掃描工具�����, Nmap掃描�,假如ping不可達(dá),使用什么命令
在學(xué)習(xí)社團(tuán)主要干什么
編程語言掌握程度
比賽中�,負(fù)責(zé)什么
練習(xí)過哪些靶場(chǎng)
你有什么問題
哪兒人
贊一下(0) 踩一下 查看面試題參考答案>>
