杭州安恒信息技术有限公司

当晚boss直聘申请，当晚就面了，下面是面试内容：自我介绍公司做过哪些工作知道哪些漏洞web漏洞有哪些系统层面漏洞有哪些xss形成原理是否测试过xss有参加过ctf比赛ctf负责哪些方面sql注入可以达到什么效果udf提权csrf防御ssrf能达到什么效果脚本能力用java做过什么东西中间件反序列化漏洞在公司发现过什么漏洞场景：购物app，需要登录，购物车里选择地址，或自己已经有的地址，渗透如何测试，还问逻辑漏洞还有哪些（主要是用户越权编辑修改查看其他人地址）sql注入点怎么测用哪些工具测试你是从什么时候开始对安全感兴趣的关注过安全资讯，tools有账号么有挖到过src吗linux安全日志位置以后打算与发展2天后提示面过了，奈何没有实习生名额了，我要在合作伙伴公司以及安恒其他城市选择，于是选择后者，之后是说简历上交到杭州安服负责人，再之后就没有消息了。估计凉了。面试时候hr感觉面试就和他聊天一样，他问的我没理解，他也会帮忙让我理解，第一次面试，面了半个多小时，感觉如果hr都是这样的电话面试想必我就不会特别紧张以及恐惧了。

总共经历三轮面试 面的是安全方向 一面：二面：三面：

长亭一面 安服

一面 自我介绍哪些途径学习网络安全知识简述XXE漏洞原理、利用文件上传漏洞绕过方式中间件解析漏洞有哪些Java反序列化原理反序列化漏洞有哪些Last -f的f是什么意思Linux有哪些日志，怎么看？Sql注入解释一下？Sql注入防御？二次注入了解吗？MSSQL、Oracle、MySQL等数据库有了解吗？怎么判断当前的是什么数据库？宽字节注入解释一下？ 平时写什么编程语言比较多？ 平时怎么自学安全？有别人带你吗？

中午突击说进行电话面试，面试的内容几乎就是根据简历上的内容来拓展，感觉自己在回答打ctf比赛的时候回答的磕磕碰碰，没有回答到对应的点上，应该对自己打CTF这块进行更加详细的解答。

1.自我介绍2.印象深刻的一次渗透3.渗透测试的流程4.SQL注入原理，及常用payload(手写-爆表名)5.SQL注入空格不能使用如何绕过6.SQL注入防御，延申预处理不能预防哪些注入7.同源策略8.a.baidu.com和b.baidu.com是否同源9.SSRF原理，利用10.攻击redis的方式（手写payload）11.CSRF的原理及防御12.一种特殊的CSRF场景：后端只解析json格式的时候如何利用CSRF(非更改Content-Type)13.SameSite14.DNS Rebinding15.Fastjson反序列化及如何修复16.子域名枚举用过那些工具，原理是什么，如果出现了任意子域名都返回200是什么原因？17.Java学到哪种程度了？

一面（一小时） 部门经理面自我介绍技术方面：问了一下计算机网络的比较基础的一些问题，还有讲对漏洞和渗透的了解主要占时问题：三观，职业规划，喜欢读的书等等后半段介绍岗位工作内容HR面自我介绍，对岗位的了解；学校学习的一些提问，问的比较细；职业规划；提供几个场景，例如和领导同事的意见不一如何处理；在学校担任职务的过程中遇到过的难题如何解决结果如何；why you why 数广；BOSS面很亲切的一个面试官，问了职业规划和对岗位的认知，因为提出了双向选择，所以很详细的和我介绍了岗位的情况，提到岗位是技术与管理55开。