2023级网络安全岗面试题及面试经验分享(12)

面试官: 你可以这样嘛, 你上传一个提权的脚本或者exe嘛, 你webshell去跑这个exe, 他就把这个web应用权限提权了
那你最后有什么想问我的吗

0x0D 腾讯-玄武实验室

作者：立志区块链安全的菜鸡
链接：https://www.nowcoder.com/discuss/711602?source_id=discuss_experience_nctrack&channel=-1
来源：牛客网
部门：玄武实验室
自我介绍
讲解一下CSRF原理吧
什么时候接触web安全的
为什么学WEB安全
参加过哪些比赛
你发挥了那行作用
讲讲反序列化吧
说一说最近你关注的安全圈大事
那你说说你遇到最优印象的吧
我看你简历上有黑盒测试 说一说吧
一个是钱包的测试 一个是交易所的测试，钱包主要是信息泄露，水平越权
怎么发现的
信息泄露是webpack可以直接查看api 等调用信息，水平越权是构造josn包返回了用户数据账户密码之类的
怎么构造的
那继续说说交易所
（区块链相关）讲一讲逆向函数涉及到的接收参数的指令集
说说重入漏洞
有对最近那个最大的区块链安全事件有了解吗
好，那你对密码学有什么接触嘛
我看你简历有许多对Defi的审计，那你有什么对漏洞的挖掘的经验吗
嗯好 那现在我问你个问题 你思考下 在DEFI项目中建立了各种各样的经济模型 怎样才能找出可能存在的漏洞
讲讲你对未来可能出现的新型漏洞的猜想吧
有一种 游戏在猜对正确答案后可获得奖励
反问

0x0E 360-安全工程师

作者：Djade
链接：https://www.nowcoder.com/discuss/628090?source_id=discuss_experience_nctrack&channel=-1
来源：牛客网
自我介绍
WAF及其绕过方式
IPS/IDS/HIDS
云安全
怎么绕过安骑士/安全狗等
Gopher扩展攻击面