2023级网络安全岗面试题及面试经验分享(16)

如何防范sql注入 --->这问的很深

0x14 浙江东岸检测

xss的标签
说说大学这几年，你最自豪的事情
简单说说sql注入
说说偏移注入
说说ctf你都做哪些题型
遇到的比较困难的web题型的ctf题目
xxe了解吗，有没有自己审计出
说说反序列化
bypass说说
假如，让你设计一个waf，你会怎么设计
内网渗透与提权了解吗
平常都挖掘哪些src
有没有自己手写过一些脚本
说说sql注入，手工怎么爆出所有库名字

0x15 360-安全工程师实习

时长：45min
来源：知乎
链接：https://zhuanlan.zhihu.com/p/362868972
自我介绍
WAF及其绕过方式
IPS/IDS/HIDS
云安全
怎么绕过安骑士/安全狗等
Gopher扩展攻击面
Struct2漏洞
UDF提权
DOM XSS
数据库提权
怎么打Redis
内网渗透
容器安全
k8s docker逃逸
linux、windows命令：过滤文件、查看进程环境变量
站库分离怎么拿webshell

0x16 某一线实验室实习

来源：知乎
链接：https://zhuanlan.zhihu.com/p/426747686

技术面

面试官：你好，听说你对来我们公司的意愿非常强烈，是为什么呢？我：因为我在项目中与贵公司的人员有过合作，感觉无论是技术还是硬件或者是待遇都算圈子里一流的
面试官：那你了解我们实验室吗？我：我有了解过，巴拉巴拉说了一下
面试官：那我先给你介绍一下实验室的方向，分为三个方向…. 我：好的明白了
面试官：你在项目中是否使用过我们公司的设备，感觉使用体验如何（意思就是让说设备的优缺点） 我：那我就实话实说了？
面试官：没问题的，我就想听听你的意见 我：我使用过…. ,优点就是性能好，能探测到更多的威胁情报之类的（大家脑补吧），感觉不足的就是探测和分析出的威胁，没法给出具体的流量片段，没法通过一个设备有效确定攻击，没有流量特征不好和其他全流量设备进行联动，可能是设备出场的保护机制，保护特征库不被外泄。