大二的暑假讓師傅們幫忙內推一下暑期實習,簡歷被丟到騰訊簡歷池里面被撈起來一次,但是那個時候大三剛開學,想着還是多學點技術,沉淀自己的想法婉拒了騰訊面試官。昨天簡歷又被撈了起來,雖然已經決定大三下好好學習考個研究生
主要還是想看看騰訊面試的水平,前一天在網上搜了一下應用運維安全這個崗是做啥的:
https://www.nowcoder.com/discuss/164645
感覺偏向於安全開發
https://prontosil.me/posts/ddd168ac/
其他的面經:
https://0x0d.im/archives/school-recruit-interview.html
等到第二天三點,面試官說臨時有會議,面試改到四點,去b站看了會視頻,到了四點就准時電話面試了。
大概回憶一下問的問題,都比較常規:
-
先做一下自我介紹吧
(你好我是xxx,是來自xxx,我xxx balabala)
-
看到有做過掃描器,說一下掃描器的流程吧
(然后我就噼里啪啦xxx)
-
說一下SQL注入是怎么檢測的吧
(SQL注入的類型,根據不同類型進行不同的方式檢測balabala)
-
對於一個URL是通過爬蟲爬取檢測鏈接的嗎
(使用深度優先遍歷 balabala)
-
SQL注入的原理
(由於程序員相信用戶輸入或者過濾不嚴格導致xxxxx)
-
對於SQL注入的防御手段
(統一參數入口,過濾,開啟GPC,加強程序員的安全意識balabala)
-
講一下SQL語句參數化查詢吧
(emm,xxx)
-
對於GPC有什么繞過的辦法嗎
(寬字節注入,$_SERVER字段不受限制balabala)
-
簡述一下XSS漏洞的防御吧
(關鍵字過濾,httponly緩解,CSP內容安全策略,加強開發人員的安全意識)
-
怎么才能根除XSS漏洞
(建立SDL安全開發流程 ,規范化安全體系balabala)
-
對開發人員應該培訓一些什么
(不要信任用戶的輸入,規范編碼,統一入口xxx)
-
看你會代碼審計,說一下追的一些框架漏洞吧
(這個沒追過,之前審的都是原生的balabala,跟簡歷上寫的會簡單代碼審計不沖突)
-
講一下邏輯漏洞的挖掘吧
(之前在實習的時候balabala)
-
SSRF無回顯的時候應該怎么探測內網信息
(SSRF內網探測,balabala)
然后就結束面試了