2023级网络安全岗面试题及面试经验分享(6)

介绍下PHP的变量覆盖
有一个php的程序，本身就允许文件包含的操作，同时想要避免文件包含漏洞，写代码的时候要注意哪些
远程文件包含和本地文件包含，这两种涉及的php设置有什么
本地文件包含能不能通过php配置限制文件包含的路径（不通过代码直接通过配置项来解决）
php、java代码审计对哪个漏洞特别熟悉
php在做sql注入防御时有哪些方法
java做sql注入的防御
sql的二次注入了解吗，能介绍一下吗
写代码的时候怎么防止二次注入

0x06 天融信面试复盘

时长：15~20分钟
有没有做过现实环境的渗透测试？有没有提交过src？
对免杀技术了解多少，制作的木马能不能过360
ctf的成绩？擅长什么方向的题？
攻防演练有什么成果？
shiro漏洞了解吗，讲一下原理
在linux下，现在有一个拥有大量ip地址的txt文本文档，但是里面有很多重复的，如何快速去重？
在内网渗透中，通过钓鱼邮件获取到主机权限，但是发现内网拦截了tcp的出网流量，聊一下这个时候应该怎么进行通信？
代码能力怎样，平时有没有做过代码审计？
目前对什么方向感兴趣？

0x07 腾讯-安全技术实习生

时长：15分钟
自我介绍
sql注入了解吗，讲一讲二次注入的原理
二次注入要怎么修复
sql注入过waf了解吗，若一个sql注入过滤了information关键词，怎么绕过
Redis未授权访问
渗透测试的一个完整流程
打ctf的时候有没有遇到什么印象特别深的题目
文件下载漏洞有没有什么比较好的利用方式
利用文件下载漏洞找文件名具体是找什么文件名（读取文件一般会读取哪些文件）（ctf中？实战中？）
命令执行漏洞，http不出网有什么比较好的处理方法（发散一点说）
接上一题，通过隧道通信，详细讲讲通过什么类型的隧道，讲讲具体操作
漏洞预警
有没有复现过中间件类型的漏洞（有没有完整的复现过漏洞）
在学校的攻防演练中扮演的角色的主要职责是什么

0x08 小鹏汽车-安全工程师

1...45678...24查看全文