背景介紹
最近一批學員結業之後(注:賽克艾威致力於web攻防/滲透安全人才培養),基本上都已經找到了滿意的工作,在此過程中學員都遇到各種招聘單位的不同要求和麵試問題,包括但不限於安全常識和技術,感覺有很多心得,所以負責安全教育培訓的嚴老師,總結了相關的問題和心得。
Web安全涉及知識點太廣了,總體上比較吃經驗,用人單位看重有挖掘經驗的,但是對基礎知識的掌握也是很看重的,針對web安全行業,小編針對技術面試官簡單總結了一下,希望能對大家有用。
一、最常見的經驗問題:
1、 準備好自己的簡歷,面試官絕大部分題目都是來自你的簡歷內容,應該對自己的簡歷好好準備,簡歷要突出代碼能力和挖掘經驗,這點是最吸引面試官的簡歷
2、 有自己的博客嗎? 這裡考察學習的內容,知識積累、學習方向和知識深度。因此建議大家有寫博客的習慣。
3、 是否參加過眾測項目?在其他知名平臺是否發佈過自己的文章?
二、技術點問題:
2.1 協議安全
1、DDOS的攻擊原理、類型和防禦
2、什麼是DNS有什麼樣的安全問題?
2.2 數據庫安全,中間件, 操作系統
1、msyql的安全問題有哪些?
2、中間件的解析漏洞?
3、操作系統的日誌安全管理?
2.3 核心web安全漏洞,
web漏洞種類比較多,這裡不列舉,舉例如下:
1、 企業web安全滲透測試流程
2、 談一下sql 注入漏洞
3、 文件上傳突破的方法
4、 xxs、csrf等漏洞
5、 說一下你挖掘過的邏輯漏洞?
2.4 最近一年多發生的0day,或者安全事件
舉例 struts2
2.5 框架性的漏洞?
Struts2 ,心臟出血,等等
三、現場筆試題
筆試題一般在半個小時做完,除了考察你的基礎知識,還是考你的態度,所有一定要認真做題,不要胡亂勾畫。
四、其他
找工作除了自己實力,自己的性格積極開朗也很重要,不會別亂噴,誰都有自己的知識盲點,面試官可以理解。
最後:希望這些多少能對大家有點作用, 祝大家都能在就業過程中一帆風順。
大學生畢業季和實習季,換工作季(你懂的) Web安全安全常見面試題 (原創文章,轉載請標明出處,謝謝)
閱讀更多 Web安全陪跑團 的文章