2023级网络安全岗面试题及面试经验分享(23)

Python的值类型和引用类型是哪些
Python的list和dict线程安全吗
讲一下你做过收获最大的一个项目
你有什么要问我的

三面

自我介绍
解释下CSRF
结合实际的例子说说SSRF
结合实际的例子讲讲RCE
为什么现在文件上传很少了
基于语义分析的WAF了解吗
讲一下你上一段实习做了什么
讲几个印象深刻的挖洞经历
讲一下你对未来的规划
有没有转正的意愿
你有什么要问我的

四面（HR）

面试的体验怎么样
谈人生理想
最早实习时间

0x1A 某两字大厂面试复盘

一面

自我介绍
前两段实习做了些什么
中等难度的算法题
java的class文件结构
kafka的原理了解吗
fastjson反序列化原理
讲讲你研究最深入的领域

二面

排序处不能用预编译应该怎么防
从白盒黑盒两个角度讲下挖过的漏洞
ssrf的绕过和防御
讲讲fortity等代码审计工具原理
存储过程角度讲讲预编译的原理
csp是如何防御xss的
csrf为什么用token可以防御
给你一个项目讲下审计思路
内网相关的问题
讲下你挖过的逻辑漏洞
讲讲你用golang写过的东西
什么是安全

三面

讲下你自己写ysoserial的思路
确定sql注入漏洞后如何进一步利用
泛微OA的漏洞原理讲讲
新爆出的Confluence RCE讲讲
以前的实习中做了什么事
***原理以及实战中的绕过
红蓝对抗的流程讲讲

四面

java反序列化原理和工具
讲讲关于指纹识别的方式
shiro反序列化工具的原理
不用sqlmap情况下sql注入点如何找
讲讲你挖到的这几个cve
二进制方面有无了解