2023秋招,网络安全面试题

Hello,各位小伙伴,我作为一名网络安全工程师曾经在秋招中斩获🔟+个offer🌼,并在国内知名互联网公司任职过的职场老油条,希望可以将我的面试的网络安全大厂面试题和好运分享给大家~

转眼2023年秋招已经到了金银🔟的关键阶段,宝子们简历抓紧准备投递起来呀,冲冲冲⏰

随着国家政策的扶持,网络安全行业也越来越为大众所熟知,相应的想要进入到网络安全行业的人也越来越多,为了更好地进行工作,除了学好网络安全知识外,还要应对企业的面试。

所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。

内容来自于社群内2023届毕业生在毕业前持续整理、收集的安全岗面试题及面试经验分享~

目录

一、字节跳动-渗透测试实习生

二、深信服-漏洞研究员实习

三、字节跳动-安全研究实习生

四、长亭科技-安全服务工程师

五、腾讯-安全技术实习生

六、小鹏汽车-安全工程师

七、大厂高频面试题汇总

7.1、SQL注入防护方法

7.2、常见的Web安全漏洞

7.3、给你一个网站你是如何来渗透测试的?

7.4、渗透测试流程

7.5、SQL注入类型

7.6、SQL注入的原理

7.7、如何进行SQL注入的防御

7.8、sqlmap,怎么对一个注入点注入?

7.9、mysql的网站注入,5.0以上和5.0以下有什么区别?

7.10、MySQL存储引擎?

7.11、什么是事务?

7.12、读锁和写锁

7.13、MySQL的索引

7.14、ORDER BY在注入的运用

7.15、GPC是什么?GPC之后怎么绕过?

7.16、Mysql一个@和两个@什么区别

7.17、注入/绕过常用的函数

7.18、盲注和延时注入的共同点?

7.19、如何拿一个网站的webshell?

7.20、sql注入写文件都有哪些函数?

7.21、各种写shell的问题

7.22、sql注入写文件都有哪些函数?

7.23、sql二次注入

7.24、SQL和NoSQL的区别

一、字节跳动-渗透测试实习生

自我介绍

渗透的流程

信息收集如何处理子域名爆破的泛解析问题

如何绕过CDN查找真实ip

phpinfo你会关注哪些信息

有没有了解过权限维持

说一个你感觉不错的漏洞,展开讲讲

输出到href的XSS如何防御

samesite防御CSRF的原理

CSRF防御

json格式的CSRF如何防御

浏览器解析顺序和解码顺序

过滤逗号的SQL注入如何绕过

过滤limit后的逗号如何绕过

fastjson相关漏洞

说一个你知道的python相关的漏洞(SSTI原理,利用过程,payload相关的东西)开放性问答

二、深信服-漏洞研究员实习

自我介绍

在xx实习的时候做什么东西

渗透测试的思路简单说一下

护网在里面担当一个什么样的角色

红队的一些思路

拿下系统后有没有做横向

前段时间那个log4j有研究吗,可以简单说一下吗

(继上一个问题)有哪些混淆绕过的方法

内存马有没有了解过

冰蝎、哥斯拉这些工具有没有了解过

做攻击队的时候有没有研究过什么攻击,比如研究一些工具还是魔改什么的

那么多漏洞和攻击,比较擅长哪一个

说一下shiro反序列化的形成原因、利用链

对一些bypass的方法有没有了解过,有什么姿势可以简单介绍一下

反问

三、字节跳动-安全研究实习生

你投的岗位是安全研究实习生,你了解我们这边主要是做什么的吗

自我介绍

现在有什么比较想做的方向吗,比如你写的代码审计、攻防演练、你在学校的研究方向(密码学)其实是三个大方向,现在有什么比较想做的吗

有没有审过开源框架、cms、中间件之类的

面试官介绍了工作内容

我看你简历上有几段实习经历和项目经历,先聊一下实习经历吧,在A主要做什么的

详细聊聊入侵检测主要在做什么,遇到的问题

关于入侵检测产生大量误报的原因,有没有分析过,有没有比较好的解决方法

和A比起来,B的应该就比较偏攻击方对吧,有打仗(雾,面试官好像确实是这么说的)有代码审计,聊一下在B主要做了些什么

审表达式引擎的步骤和思路

刚刚你说的审计听起来好像和普通开发的审计差不多,都是通过程序流、文档去做,有没有从安全方面入手审计一些项目

xxe是怎么造成的,从代码层面来看

我看你简历有很多攻防演练经历对吧,这几段攻防演练经历有没有哪一次印象比较深刻的,挑一个聊一聊

你的这次攻击好像更多的是利用弱口令,有没有一些更有技巧的方法

这个头像上传的webshell是怎么上传的

还有什么其他的检验方式?要怎么绕过?

这两天log4j漏洞很火,有没有去了解一下

面试官最后介绍业务

反问环节

四、长亭科技-安全服务工程师

自我介绍

web渗透测试有没有过实战

讲一下sql注入原理

有没有从代码层面了解过sql注入的成因(反问代码层面指的是不是sql语句,答是)

了不了解xss,有没有从代码层面了解xss的原理

对owasp top10漏洞哪个比较了解

讲一讲怎么防御sql注入

sql注入怎么绕过过滤

问了护网时xx有没有成为靶标,有没有对攻击队行为做过研判

在xx护网时的工作内容,有没有做过流量包、数据包的研判

学校攻防演练时担任的角色,主要工作内容,渗透测试的思路,有什么成果(这个问的还是挺细的,具体到分配的任务、有没有拿下主机或者域控、攻防演练的形式和持续时间等都聊了)

平时ctf打的多不多,有什么成绩

平时会不会关注一些新颖的漏洞,会不会做代码审计,比如shiro漏洞等有没有做过漏洞复现

对钓鱼邮件这些有没有什么了解(因为上面聊xx护网时说了钓鱼邮件和微信钓鱼的事)

目前学习的方向是什么

最后介绍人才需求

反问环节

五、腾讯-安全技术实习生

自我介绍

sql注入了解吗,讲一讲二次注入的原理

二次注入要怎么修复

sql注入过waf了解吗,若一个sql注入过滤了information关键词,怎么绕过

Redis未授权访问

渗透测试的一个完整流程

打ctf的时候有没有遇到什么印象特别深的题目

文件下载漏洞有没有什么比较好的利用方式

利用文件下载漏洞找文件名具体是找什么文件名(读取文件一般会读取哪些文件)(ctf中?实战中?)

命令执行漏洞,http不出网有什么比较好的处理方法(发散一点说)

接上一题,通过隧道通信,详细讲讲通过什么类型的隧道,讲讲具体操作

漏洞预警

有没有复现过中间件类型的漏洞(有没有完整的复现过漏洞)

在学校的攻防演练中扮演的角色的主要职责是什么

六、小鹏汽车-安全工程师

自我介绍

有没有挖过src?

平时web渗透怎么学的,有实战吗?有过成功发现漏洞的经历吗?

做web渗透时接触过哪些工具

xxe漏洞是什么?ssrf是什么?

打ctf的时候负责什么方向的题

为什么要搞信息安全,对安全这一块有多大的兴趣,以后会不会转行,还是打算一直从事安全方面工作

自己平时怎么学安全的,如果让你做一个新的方向(app安全),会投入多少时间去学习,还是说有自己想做的方向

聊一聊代码审计的流程

平时是怎么做代码审计的

有没有审计过开源框架、CMS?

怎么判断一个数据库是mysql还是oracle的?

sql注入的种类,利用方式?

聊一聊sql注入的原理及防御思路

做开发的时候用的是什么语言

做java开发的时候用过什么框架,能不能做java安全开发

有没有做过安卓开发

有没有用python写过工具?

msf利用的是哪个漏洞,有没有成功反弹?

护网的时候主要做了些什么,聊一聊对安全产品的理解

公司现在需要做app安全的人,现在要你做的话,你会去学吗,或者说感兴趣吗,还是说有别的想做的,不想做app安全,能投入多少时间去学

内网渗透了解吗?聊一聊内网渗透的思路

面试题合集【点击立即获取

面试题pdf文档下方卡片获取,或者后台留言:学习

相关推荐
浏览器爱好者8 分钟前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
H轨迹H14 分钟前
SolidState靶机通关教程及提权
网络安全·渗透测试·靶机·oscp
Web阿成1 小时前
3.学习webpack配置 尝试打包ts文件
前端·学习·webpack·typescript
雷神乐乐1 小时前
Spring学习(一)——Sping-XML
java·学习·spring
李雨非-19期-河北工职大1 小时前
思考: 与人交际
学习
独行soc1 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
D1TAsec1 小时前
Powercat 无文件落地执行技巧,你确定不进来看看?
网络安全
哦哦~9211 小时前
深度学习驱动的油气开发技术与应用
大数据·人工智能·深度学习·学习
文大。2 小时前
2024年广西职工职业技能大赛-Spring
java·spring·网络安全