1.拿到一个待检测的站，你觉得应该先做什么？ 收集信息 whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说...2 ...

1、信息收集 服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等） 网站指纹识别（包括，cms，cdn，证书等），dns记录 whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库 ...

为了应对校招，我有点心虚，所以花了几天时间整理了一些网安面试题--首发土司论坛 希望对大家能有所帮助（比较基础的漏洞原理和防护绕过就先过滤了--大家应该都耳熟能详了）： 1、JWT（json web token）攻击手法（头部、负载、签名）？未校验签名 解码后换内容再编码禁用哈希 算法修改 ...

收集自互联网 （1）SQL注入的成因、代码层防御方式对用户输入未进行完整过滤就将其拼接到SQL语句中，addslashes()函数可以过滤单双引号、反斜线和空或者用intval()函数将变量里所有字 ...

注意：ctrl+A显示答案 1.拿到一个待检测的站，你觉得应该先做什么？ 收集信息whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者 ...

50条渗透测试岗面试题 　1.拿到一个待检测的站，你觉得应该先做什么？ 　　1)信息收集 　　1，获取域名的whois信息,获取注册者邮箱姓名电话等。 　　2，查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。 　　3，查看服务器操作系统 ...

最近做的一个项目版本，用了多久？最近版本都有哪些功能，输出了多少用例？这个项目中你负责了哪些模块？你觉得你们项目有什么优势性能测试怎么做的？性能测试用什么工具测的？实时监控服务端CPU性能用什么方法？如何鉴定系统瓶颈？压力测试和负载测试的区别？性能测试的关键指标有哪些？分别解释下你怎么判断 ...

写好测试用例的关键 /写好用例要关注的维度？ 1. 覆盖用户的需求； 2. 从用户使用场景出发，考虑用户的各种正常和异常的使用场景； 3. 用例的颗粒大小要均匀。通常，一个测试用例对应一个场景； 4. 用例各个要素要齐全，步骤应该足够详细，容易被其它测试工程师读懂，并能顺利执行 ...