面試過程: a 面試官:你先進行一個簡單的自我介紹吧
b 我:我叫 來自東華理工大學網絡工程專業��,今天要面試的崗位是貴公司的實習安全運維工程師
首先我是一個性格樂觀向上的人,待人友善��,能快速融入一個新的環境�����。
在校期間����,我學習了TCP/IP�,計算機網絡����,高級路由交換���,網絡安全等科目��,
熟悉了TCP/IP協議棧���,ARP,OSPF,DHCP等數通知識��。
而且我具有一個較強的自學能力���,大一期間自學華為設備命令�,參加ICT大賽�,大二上學期自學misc和web知識,參加CTF校內選拔賽��,拿到二等獎
大二下學期參加紅盾杯大賽����,自學matlab和編寫論文知識成功帶領隊伍沖進8強賽,大三上學期和理院的同學組隊參加美國大學生數學建模競賽獲得
S獎。
各人興趣愛好����,唱歌和跳舞��,大學期間加入舞蹈社團,參加過校元旦晚會和院元旦晚會的演出,臺下最多觀眾出席超過1000人。
以上就是我的個人介紹,希望面試官能給我一個機會加入貴公司����。
a 面試官:數通的知識就不面了,先介紹一下XSS
b 我: XSS分為三種形式���,反射型,存儲型�,和dom型�����,
反射型是將js代碼向URL框或者文本框輸入惡意代碼�,讓代碼插入到服務器上�,服務器回應后插入的js代碼執行導致彈框出現。
存儲型是將js代碼注入到留言板中����,js代碼被前端執行導致js代碼儲存到數據庫��,用戶訪問數據庫時js代碼被調用導致彈框出現
dom型就是查看瀏覽器js代碼,看是否存在可調用的dom函數���,可以嘗試注入圖片碼,導致瀏覽器彈框
a 面試官 :介紹一下CSRF 和 SSRF
b 我: CSRF是跨站偽造請求攻擊��,用戶不小心點擊了黑客的惡意連接�,導致客戶在不知情的情況下訪問了存在該漏洞的網站中��,導致出現惡意行為
SSRF是服務器請求偽造攻擊��,惡意用戶通過存在SSRF漏洞的服務器訪問服務器內部資源��,或者去訪問其他服務器進行惡意行為攻擊。
a 面試官:如何對他們進行防范
b 我:CSRF利用了用戶的身份訪問服務器�,我們可以對它發送的http包referer字段���,添加Token字段�,添加自定義驗證(二次認證�����,短信驗證等等)
SSRF利用了服務器沒有對用戶輸入內容進行嚴格過濾和審查����,沒有對用戶權限進行限制導致服務器被惡意使用�,防御方法:
1.輸入驗證與過濾
2.限制網絡訪問權限
3.使用安全的網絡庫等等
a 面試官:介紹一下SQL注入���,對他們分類一下
b 我: 首先按字符類型分類:數值型和字符型
按類型分類:聯合注入�����,盲注���,報錯注入���,二次注入����,寬字符注入�����,盲注又分為布爾盲注和時間盲注
http注入:referer字段注入��,XFF字段注入,cookie字段注入��,user-agent字段注入等等
繞waf注入:內斂注釋注入���,二次編碼注入�,異常響應頭注入���,雙寫cookie繞過等等
a 面試官:會不會應急響應的知識
b 我: 首先我會
斷網:條件允許優先斷網�����,防止黑客進一步操作或者刪除痕跡
取證:通過分析登陸日志��、網站日志�、服務日志�、尋找黑客ip,查看黑客進行的操作。
備份:備份服務器文件��,對比入侵前后產生變化的文件���。
查漏:通過上述步驟尋找到業務薄弱點����,修補漏洞
殺毒:清除黑客留下的后門,webshell,管理賬號
溯源:溯源黑客ip地址����,入侵手段等
記錄:歸檔���,預防
a 面試官:回答的非常有條理�����,思路也清晰,會不會查找服務器是否存在后門
b 我:Linux系統的話直接先top一下看一看有沒有什么異常連接和異常的cpu消耗資源的進程
通過工具鎖定異常進程號然后查看他的目錄在哪里
或者通過fand查找異常程序
window系統的話用netstat命令查看進程狀態,然后查看系統日志�,查看注冊表是否被修改過�����,查看是否存在影子用戶等等
a 面試官:會不會安全加固,比如xss漏洞的安全加固���,和服務器類的安全加固
b 我:xss加固就是前后端代碼實體化,對前端輸入的代碼進行轉義����,對惡意函數惡意標簽等等進行過濾���,或者白名單
服務器加固就是關閉不用的服務端口�,定期更新服務器系統���,定期掃漏,裝waf,ids���,ips,流量清洗設備等等。
a 面試官:會不會Linux
b 我:會,大學期間學習網絡安全��,基本都是用kali機��,基本的命令比如top����,cd����,ls,su,df�����,fdisk等等
基本的操作:下載軟件�����,解壓軟件�����,換源,提權都會
a 面試官:安全的知識問完了���,數通接觸過什么產品嗎�,有沒有了解過綠盟的防火墻
b 我:數通的話��,操作過華為�,思科,華三的設備���,沒有了解過綠盟的防火墻,了解過其他的防火墻�����,比如山石網科的防火墻���,天融信的防火墻,sata防火墻
a 面試官:有沒有了解過綠盟的大佬�,比如誰誰誰����,誰誰誰(忘記名字了)
b 我:我非常憧憬這些大佬��,想努力成為他們,如果貴公司能給我實習的機會,我會查漏補缺,努力加強自己,為公司做貢獻
a 面試官:對駐場有沒有什么意見
b 我:沒有意見,去駐廠可以見識別的風景,加強自己的見識,拓寬自己的視野
a 面試官:來公司實習���,可能不只有滲透測試,可能還要打雜����,你愿意嗎
b 我:愿意����,說實話��,我們來實習���,沒有給公司創造明顯的價值����,公司能收留我���,對我來說就是一種恩賜
打雜其實也是一種學習����,可以增長我們的知識面��,所以沒有什么不情愿的
a 面試官:你這個態度還是非常端正的��,那你對我們公司有什么想問的嗎
b 我:我想問一下加入貴公司能去參加紅藍對抗嗎,或者做一些大型滲透項目
a 面試官:這個肯定是有的���,不過打紅藍對抗肯定是要你有一定的技術能力,剛剛進公司肯定是先進行基礎的學習���,完善自己,如果表現非常好的話
肯定是有大佬帶隊��,去參加一些護網項目�����,滲透項目等等
b 我:謝謝面試官,進入貴公司我肯定會努力學習完善自己��,讓自己能力被表現出來,您還有什么要問我的嗎
a 面試官:差不多了�����,基本都沒問題�,可以去叫下一個同學了。
面試官問的面試題: 綠盟科技安全服務工程師面試題
介紹一下SQL注入,對他們分類一下
介紹一下CSRF 和 SSRF
會不會應急響應的知識
回答的非常有條理,思路也清晰����,會不會查找服務器是否存在后門
贊一下(0) 踩一下 查看面試題參考答案>>
