在腾讯会议上面试，有三位老师，第一位老师问了基本情况，高考分数，愿不愿意来长春，家里是否同意，有没有对象，有没有挂过科等等。第二位老师问了校园的经历，有没有参加过比赛，参加了什么比赛，对专业的了解，都学过哪些课程等等。第三位老师问了技术问题，你最擅长哪些科目，问了计算机网络的知识和操作系统的知识，都是简单的基础理论。

老家是哪里的，愿不愿意来长春，家里是否同意，有没有对象，高考考多少分，大学期间参加没参加比赛，参加了什么比赛，挂没挂过科，对专业的了解，学过哪些课程，操作系统的调度方式，快表，计算机网络的层次，应用层有哪些协议，具体介绍一下这个协议，常见的计算机漏洞有哪些。

赞一下(0) 踩一下

整个过程就是一个面试，我是渗透测试的实习岗。面试的时候我很鸡贼，录了音，方便自己后续整理，然后面试官是个广东的师傅，口音很重，很多问题没听清

1、2021 OWASP十大应用有哪些，身份验证与认证一般系统是如何设计的，token传输过程是怎么样的，token怎么跟用户***（这里没听清 ），客户端是如何把token传到服务端。什么是同源策略，有些什么
2、php有哪些敏感文件，phpinfo包含哪些信息，如何发现phpmyadmin，可以得到什么信息（后面两个没答出来），php过滤敏感字符，有哪些字符
3、sql注入原理、防御，宽字节注入原理，针对宽字节的防御，宽字节过滤了哪些敏感字符，宽字节常用的绕过，mysql查询当前用户的语句是什么。mysql提权有了解吗？udp、mof提权原理懂不懂。
4、给你一个待检测的站点如何渗透，怎么获取站长邮箱和姓名的，给你一个登录框你怎么渗透，登录框不能爆破的情况下你怎么渗透，nmap的扫端口常用的命令，（我说的是nmap -sV -T4 +ip，），那你这个可以扫多少端口呢，怎么扫全端口
5、bp有哪些模块，bp+xray如何进行联动，内网穿透工具用过哪些，msf有哪些模块，你用msf扫永恒之蓝的时候有什么用到的模块。
6、csrf全称、原理、防御手段
7、apache、nginx、iis哪些版本有解析漏洞，将具体的漏洞，讲下他们的poc
8、三次握手、四次挥手

赞一下(3) 踩一下

整个过程就是一个线上的电话面试，我是渗透测试的实习岗。面试的时候我还在上课，匆匆忙忙就出去接电话了，然后面试官是个南京的师傅，声音很好听，问的时间确实比较长，不过创宇的后续会很快通知

基本情况自我介绍印象最深刻的src渗透测试的思路怎么挖掘防范sql漏洞怎么挖掘防范xss 怎么挖掘防范csrf怎么挖掘ssrf
盲注的时候如果响应很慢怎么办(数据太大
对内网渗透了解吗
对代码审计了解吗
文件上传的挖掘思路
发现文件包含你会怎么利用来getshell
说—个组合拳
sql注入怎么getshell
如果你发现一个phpadmin如何利用

赞一下(0) 踩一下