整个过程就是一个面试,我是渗透测试的实习岗。面试的时候我很鸡贼,录了音,方便自己后续整理,然后面试官是个广东的师傅,口音很重,很多问题没听清
面试官问的面试题:天融信渗透测试面试题
1、2021 OWASP十大应用有哪些,身份验证与认证一般系统是如何设计的,token传输过程是怎么样的,token怎么跟用户***(这里没听清 ),客户端是如何把token传到服务端。什么是同源策略,有些什么
2、php有哪些敏感文件,phpinfo包含哪些信息,如何发现phpmyadmin,可以得到什么信息(后面两个没答出来),php过滤敏感字符,有哪些字符
3、sql注入原理、防御,宽字节注入原理,针对宽字节的防御,宽字节过滤了哪些敏感字符,宽字节常用的绕过,mysql查询当前用户的语句是什么。mysql提权有了解吗?udp、mof提权原理懂不懂。
4、给你一个待检测的站点如何渗透,怎么获取站长邮箱和姓名的,给你一个登录框你怎么渗透,登录框不能爆破的情况下你怎么渗透,nmap的扫端口常用的命令,(我说的是nmap -sV -T4 +ip,),那你这个可以扫多少端口呢,怎么扫全端口
5、bp有哪些模块,bp+xray如何进行联动,内网穿透工具用过哪些,msf有哪些模块,你用msf扫永恒之蓝的时候有什么用到的模块。
6、csrf全称、原理、防御手段
7、apache、nginx、iis哪些版本有解析漏洞,将具体的漏洞,讲下他们的poc
8、三次握手、四次挥手
偏重网络和数据结构,网络一定要特别熟,最好是有两个项目,特别清楚的讲出来,专业知识过硬,网络协议层和协议要熟悉,测试方面最好有实际经验,基本理论和方法都要熟悉,当场会让写测试用例
面试官问的面试题:北京天融信公司测试工程师面试题
1.自我介绍
2.项目分工,项目部署,测试怎么做的
3.OSI七层模型,每一层有什么协议,每一层的作用
4.TCP和UDP
5.HTTP和HTTPS
6.信息安全方面知道多少
7.测试相关,黑盒测试,黑盒测试方法,V,W模型
8.数据库怎么连接查询,外连接,内连接,左外连接
9.忘记数据库密码用什么命令查询
10.操作系统,在Windows中怎么限制用户登录次数
11.项目,redis数据怎么存储,内存是怎么划分的
三面,两次技术面一次HR面,一面经理面试问了三次握手,各种协议,linux的一些命令,二面也是问的网络比较多,技术总监面。
面试官问的面试题:北京天融信公司测试工程师面试题
1.详细说一下TCP三次握手过程
2.讲一下拥塞控制
3.说一下ftp协议
4.路由表的内容有什么
5.ARP表内容有什么
然后就问了有没有考研打算,还问了一些linux的命令,数据库的增删改查之类的,面试官人很温柔,