2023秋招,网络安全面试题

Hello,各位小伙伴,我作为一名网络安全工程师曾经在秋招中斩获🔟+个offer🌼,并在国内知名互联网公司任职过的职场老油条,希望可以将我的面试的网络安全大厂面试题和好运分享给大家~

转眼2023年秋招已经到了金银🔟的关键阶段,宝子们简历抓紧准备投递起来呀,冲冲冲⏰

随着国家政策的扶持,网络安全行业也越来越为大众所熟知,相应的想要进入到网络安全行业的人也越来越多,为了更好地进行工作,除了学好网络安全知识外,还要应对企业的面试。

所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。

内容来自于社群内2023届毕业生在毕业前持续整理、收集的安全岗面试题及面试经验分享~

目录

一、字节跳动-渗透测试实习生

二、深信服-漏洞研究员实习

三、字节跳动-安全研究实习生

四、长亭科技-安全服务工程师

五、腾讯-安全技术实习生

六、小鹏汽车-安全工程师

七、大厂高频面试题汇总

7.1、SQL注入防护方法

7.2、常见的Web安全漏洞

7.3、给你一个网站你是如何来渗透测试的?

7.4、渗透测试流程

7.5、SQL注入类型

7.6、SQL注入的原理

7.7、如何进行SQL注入的防御

7.8、sqlmap,怎么对一个注入点注入?

7.9、mysql的网站注入,5.0以上和5.0以下有什么区别?

7.10、MySQL存储引擎?

7.11、什么是事务?

7.12、读锁和写锁

7.13、MySQL的索引

7.14、ORDER BY在注入的运用

7.15、GPC是什么?GPC之后怎么绕过?

7.16、Mysql一个@和两个@什么区别

7.17、注入/绕过常用的函数

7.18、盲注和延时注入的共同点?

7.19、如何拿一个网站的webshell?

7.20、sql注入写文件都有哪些函数?

7.21、各种写shell的问题

7.22、sql注入写文件都有哪些函数?

7.23、sql二次注入

7.24、SQL和NoSQL的区别

一、字节跳动-渗透测试实习生

自我介绍

渗透的流程

信息收集如何处理子域名爆破的泛解析问题

如何绕过CDN查找真实ip

phpinfo你会关注哪些信息

有没有了解过权限维持

说一个你感觉不错的漏洞,展开讲讲

输出到href的XSS如何防御

samesite防御CSRF的原理

CSRF防御

json格式的CSRF如何防御

浏览器解析顺序和解码顺序

过滤逗号的SQL注入如何绕过

过滤limit后的逗号如何绕过

fastjson相关漏洞

说一个你知道的python相关的漏洞(SSTI原理,利用过程,payload相关的东西)开放性问答

二、深信服-漏洞研究员实习

自我介绍

在xx实习的时候做什么东西

渗透测试的思路简单说一下

护网在里面担当一个什么样的角色

红队的一些思路

拿下系统后有没有做横向

前段时间那个log4j有研究吗,可以简单说一下吗

(继上一个问题)有哪些混淆绕过的方法

内存马有没有了解过

冰蝎、哥斯拉这些工具有没有了解过

做攻击队的时候有没有研究过什么攻击,比如研究一些工具还是魔改什么的

那么多漏洞和攻击,比较擅长哪一个

说一下shiro反序列化的形成原因、利用链

对一些bypass的方法有没有了解过,有什么姿势可以简单介绍一下

反问

三、字节跳动-安全研究实习生

你投的岗位是安全研究实习生,你了解我们这边主要是做什么的吗

自我介绍

现在有什么比较想做的方向吗,比如你写的代码审计、攻防演练、你在学校的研究方向(密码学)其实是三个大方向,现在有什么比较想做的吗

有没有审过开源框架、cms、中间件之类的

面试官介绍了工作内容

我看你简历上有几段实习经历和项目经历,先聊一下实习经历吧,在A主要做什么的

详细聊聊入侵检测主要在做什么,遇到的问题

关于入侵检测产生大量误报的原因,有没有分析过,有没有比较好的解决方法

和A比起来,B的应该就比较偏攻击方对吧,有打仗(雾,面试官好像确实是这么说的)有代码审计,聊一下在B主要做了些什么

审表达式引擎的步骤和思路

刚刚你说的审计听起来好像和普通开发的审计差不多,都是通过程序流、文档去做,有没有从安全方面入手审计一些项目

xxe是怎么造成的,从代码层面来看

我看你简历有很多攻防演练经历对吧,这几段攻防演练经历有没有哪一次印象比较深刻的,挑一个聊一聊

你的这次攻击好像更多的是利用弱口令,有没有一些更有技巧的方法

这个头像上传的webshell是怎么上传的

还有什么其他的检验方式?要怎么绕过?

这两天log4j漏洞很火,有没有去了解一下

面试官最后介绍业务

反问环节

四、长亭科技-安全服务工程师

自我介绍

web渗透测试有没有过实战

讲一下sql注入原理

有没有从代码层面了解过sql注入的成因(反问代码层面指的是不是sql语句,答是)

了不了解xss,有没有从代码层面了解xss的原理

对owasp top10漏洞哪个比较了解

讲一讲怎么防御sql注入

sql注入怎么绕过过滤

问了护网时xx有没有成为靶标,有没有对攻击队行为做过研判

在xx护网时的工作内容,有没有做过流量包、数据包的研判

学校攻防演练时担任的角色,主要工作内容,渗透测试的思路,有什么成果(这个问的还是挺细的,具体到分配的任务、有没有拿下主机或者域控、攻防演练的形式和持续时间等都聊了)

平时ctf打的多不多,有什么成绩

平时会不会关注一些新颖的漏洞,会不会做代码审计,比如shiro漏洞等有没有做过漏洞复现

对钓鱼邮件这些有没有什么了解(因为上面聊xx护网时说了钓鱼邮件和微信钓鱼的事)

目前学习的方向是什么

最后介绍人才需求

反问环节

五、腾讯-安全技术实习生

自我介绍

sql注入了解吗,讲一讲二次注入的原理

二次注入要怎么修复

sql注入过waf了解吗,若一个sql注入过滤了information关键词,怎么绕过

Redis未授权访问

渗透测试的一个完整流程

打ctf的时候有没有遇到什么印象特别深的题目

文件下载漏洞有没有什么比较好的利用方式

利用文件下载漏洞找文件名具体是找什么文件名(读取文件一般会读取哪些文件)(ctf中?实战中?)

命令执行漏洞,http不出网有什么比较好的处理方法(发散一点说)

接上一题,通过隧道通信,详细讲讲通过什么类型的隧道,讲讲具体操作

漏洞预警

有没有复现过中间件类型的漏洞(有没有完整的复现过漏洞)

在学校的攻防演练中扮演的角色的主要职责是什么

六、小鹏汽车-安全工程师

自我介绍

有没有挖过src?

平时web渗透怎么学的,有实战吗?有过成功发现漏洞的经历吗?

做web渗透时接触过哪些工具

xxe漏洞是什么?ssrf是什么?

打ctf的时候负责什么方向的题

为什么要搞信息安全,对安全这一块有多大的兴趣,以后会不会转行,还是打算一直从事安全方面工作

自己平时怎么学安全的,如果让你做一个新的方向(app安全),会投入多少时间去学习,还是说有自己想做的方向

聊一聊代码审计的流程

平时是怎么做代码审计的

有没有审计过开源框架、CMS?

怎么判断一个数据库是mysql还是oracle的?

sql注入的种类,利用方式?

聊一聊sql注入的原理及防御思路

做开发的时候用的是什么语言

做java开发的时候用过什么框架,能不能做java安全开发

有没有做过安卓开发

有没有用python写过工具?

msf利用的是哪个漏洞,有没有成功反弹?

护网的时候主要做了些什么,聊一聊对安全产品的理解

公司现在需要做app安全的人,现在要你做的话,你会去学吗,或者说感兴趣吗,还是说有别的想做的,不想做app安全,能投入多少时间去学

内网渗透了解吗?聊一聊内网渗透的思路

面试题合集【点击立即获取

面试题pdf文档下方卡片获取,或者后台留言:学习

相关推荐
HackKong9 分钟前
小白怎样入门网络安全?
网络·学习·安全·web安全·网络安全·黑客
打码人的日常分享13 分钟前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
爱吃奶酪的松鼠丶14 分钟前
Web安全之XSS攻击的防范
安全·web安全·xss
东莞梦幻网络科技软件开发公司16 分钟前
开发体育赛事直播平台防止数据泄露的技术安全方案
经验分享·安全
vmlogin虚拟多登浏览器19 分钟前
虚拟浏览器可以应对哪些浏览器安全威胁?
服务器·网络·安全·跨境电商·防关联
澜世29 分钟前
2024小迪安全基础入门第三课
网络·笔记·安全·网络安全
Bald Baby30 分钟前
JWT的使用
java·笔记·学习·servlet
心怀梦想的咸鱼1 小时前
UE5 第一人称射击项目学习(四)
学习·ue5
AI完全体1 小时前
【AI日记】24.11.22 学习谷歌数据分析初级课程-第2/3课
学习·数据分析
rellvera2 小时前
【强化学习的数学原理】第02课-贝尔曼公式-笔记
笔记·机器学习