2023国护
岗位：监测
位置：深圳招商银行
面试的是蓝队岗位走的是QAX的厂商，主要分为三面，首先是HR问你的意愿，然后是技术面问一些技术问题，最后是厂商那边的技术面

1，OWASP to 10了解多少
2，对应的修复思路说一下
3，SQL注入按照分类有哪些，报错函数？，UDF提权？，MOF提权？
4，问了一些SQL注入的函数
5，XXE，CSRF，SSRF的区别？
6，SSRF利用的函数
7，反序列化了解多少？
8，说一weblogic，shiro，fastjosn
9，用过哪些厂商的设备?
10，天眼的语法会哪些？
11，详细问了问HTTP
12，重点：如何根据数据包判断攻击是否成功是否是误报

赞一下(0) 踩一下

首先介绍自己之后根据自己提出的优缺点进行提问比如自己的学习过程和获取知识的渠道自己做过的技术层面的东西

给你一个登录框你能想到的渗透测试方法，对sql注入的理解，对文件上传的理解，如何绕过白名单上传文件，图片马是什么。如何利用

赞一下(0) 踩一下

人生第一次面试，电话面试，面试官人很好，因为太过紧张很多东西都没答上来，但是面试官也非常耐心的给我解释了。

主要围绕简历问，再去深入细节问。面完之后让我去从代码层分析shiro反序列化找个时间讲给他听。

赞一下(0) 踩一下