通过boss投递的岗位，提前一天约的第二天早上面试，通过腾讯会议进行的面试，三十多分钟，只有一面技术面，项目经理直接面试的，问的问题都是渗透测试方面的，还有一些常见的漏洞基础这些，另外就是问了项目经历这些，还有为什么想去杭州

渗透测试的流程？
确定资产目标，确定域名，子域名，ip，端口，文件扫描等等
介绍一下sql注入漏洞？
SQL注入的原理，类型：联合注入，布尔型注入，时间注入，堆叠注入，报错注入，以及如何防范
介绍一下文件上传？
原理，类型，防范等等
了解CORS吗？
了解，知道原理，但是实际上操作少

赞一下(0) 踩一下

面试官先问一些比较常规的问题，很友好，然后再通过你回答的问题深入的去讨论，问到你不会为止，不会就直接说不会，不要编，思路清晰，有条理，然后就是需要写代码，算法上的或者是打一个靶场

什么是同源策略，提取免杀，sql注入，xml外部实体注入攻击，怎么样信息收集，常见的中间件漏洞，udf提权，应急响应流程，拿域控方法，cookie和token的区别

赞一下(0) 踩一下

在微信公众号上投递的简历，然后接着短信说方便面试吗，我说方便，然后就开始电话面试了。整个过程都很快，hr回复的消息也很快。

如何检测SQL注入
反射型XSS有什么危害，如何利用
CSRF如何与XSS组合
app渗透流程
蜜罐产品的部署

赞一下(0) 踩一下