2023级网络安全岗面试题及面试经验分享(18)

面试官：那说一下项目结束后你是否有思考过这个问题，是否咨询过他人，解决方式是什么？（我感觉真的非常重视思考和问题解决，非常重视项目的闭环） 我：我有问过也拿过锐捷路由器的朋友，然后我认为是数据库和网站分离开了，然后只能拿下来webshell权限
面试官：你如何快速准确的确定资产？我：通过fofa，谷歌语法，钟馗之眼，一些的注册信息
面试官：fofa的语法是什么？
面试官：你如何在这些资产中快速的确定漏洞？我：最快的就是扫描器先扫描一遍，然后进行信息搜集，针对性的攻击，或者我们通过fofa语法针对性的在资产表中搜集是否存在特殊的cms或者oa系统….
面试官:一般扫描都会封禁你，你会怎么办 我：我会第一就是使用ip池代理，要么就是使用5g
面试官：你这些信息搜集和攻击都是效率不是很高的，项目结束后你有没有思考解决方法呢 我：我有想过自己写一个程序，把代码池和一些信息搜集和特定的利用方法融合，但是没写出来（又一次感到代码不好的痛苦）
面试官：那你是否有了解过国家hvv红队的隐藏流量过防火墙的技术呢？我：有了解过，但是这个我不太会，没有地方去学（有点尴尬）
面试官：你们在打点的时候有没有什么特殊的方法呢？我：我们除了搜索特点的oa系统，还会搜集资产里的邮件系统，进行信息搜集登录邮件系统，搜集各种配置文件数据库文件登录网站后台，我们成功登录到两个网站后台，和一个邮件系统，也拿下了几个oa
面试官：你们这么针对特定oa，是因为有0day吗（笑） 我：我们队有这几个oa的0ady和半day
面试官：开发这边怎么样？能直接上手开发吗？我：python还能自己开发几个小工具，java还是只能看懂（好尴尬我真不行，可能是学安全时间还不够长，本来想今年主攻代码的）
面试官：意思就是只能开发几个简单的扫描脚本对么（大家一定啊要好好学代码） 我：是（尴尬的笑），最近在学习使用pos3编写poc
面试官：你如果来实习你想进行哪方面的学习呢？我：（我选择了一个偏向防御类的方向，因为我知道攻击类的我应该水平不够，我很有自知之明） 然后就是一些询问能工作几个月，什么时候能到岗
综合下来我认为面试官认为我的不足就是，红队时的攻击和信息搜集效率不高需要改进，可能缺少一点项目的反思和解决思路

hr面

1...1617181920...24查看全文