大二的暑假让师傅们帮忙内推一下暑期实习,简历被丢到腾讯简历池里面被捞起来一次,但是那个时候大三刚开学,想着还是多学点技术,沉淀自己的想法婉拒了腾讯面试官。昨天简历又被捞了起来,虽然已经决定大三下好好学习考个研究生
主要还是想看看腾讯面试的水平,前一天在网上搜了一下应用运维安全这个岗是做啥的:
https://www.nowcoder.com/discuss/164645
感觉偏向于安全开发
https://prontosil.me/posts/ddd168ac/
其他的面经:
https://0x0d.im/archives/school-recruit-interview.html
等到第二天三点,面试官说临时有会议,面试改到四点,去b站看了会视频,到了四点就准时电话面试了。
大概回忆一下问的问题,都比较常规:
-
先做一下自我介绍吧
(你好我是xxx,是来自xxx,我xxx balabala)
-
看到有做过扫描器,说一下扫描器的流程吧
(然后我就噼里啪啦xxx)
-
说一下SQL注入是怎么检测的吧
(SQL注入的类型,根据不同类型进行不同的方式检测balabala)
-
对于一个URL是通过爬虫爬取检测链接的吗
(使用深度优先遍历 balabala)
-
SQL注入的原理
(由于程序员相信用户输入或者过滤不严格导致xxxxx)
-
对于SQL注入的防御手段
(统一参数入口,过滤,开启GPC,加强程序员的安全意识balabala)
-
讲一下SQL语句参数化查询吧
(emm,xxx)
-
对于GPC有什么绕过的办法吗
(宽字节注入,$_SERVER字段不受限制balabala)
-
简述一下XSS漏洞的防御吧
(关键字过滤,httponly缓解,CSP内容安全策略,加强开发人员的安全意识)
-
怎么才能根除XSS漏洞
(建立SDL安全开发流程 ,规范化安全体系balabala)
-
对开发人员应该培训一些什么
(不要信任用户的输入,规范编码,统一入口xxx)
-
看你会代码审计,说一下追的一些框架漏洞吧
(这个没追过,之前审的都是原生的balabala,跟简历上写的会简单代码审计不冲突)
-
讲一下逻辑漏洞的挖掘吧
(之前在实习的时候balabala)
-
SSRF无回显的时候应该怎么探测内网信息
(SSRF内网探测,balabala)
然后就结束面试了