炎魂网络 - 安全开发实习生面经

临时加更一篇博客,上周线下面完了杭州炎魂网络,面试时间40min。

因为只有一面,然后让我回去等通知,本来以为都寄了,结果今天给我发offer了,啊哈哈哈哈哈,人生第一次面试就通过了,有点激动。

面试官非常亲切,会顺着你的简历问,然后大多为情景题,难度逐层递增,有些问题会问得比较细,整个过程非常放松。


1. 自我介绍一下

简单介绍自己,大概2min

2. 情景题:假如众测的目标是该公司,如何去进行渗透测试?

想了一下问的是渗透测试的基本流程,从信息收集、漏洞利用、getshell、后渗透大致说了一遍,主要讲的是信息收集这部分

3. 情景题:如果收集到某个子网站是商品购买页面,你会怎么测?

回答了越权、未授权、支付逻辑漏洞,然后举了一点例子

4. SQL注入的利用,并且从开发者的角度讲讲如何防范

如何利用是很常见的问题,这里就不展开说了;从开发者的角度防范,面试官主要想听的答案是预编译,其他手段也简单说了几个

5. 即使采取了预编译手段,有没有可能造成SQL注入

这里我只知道Java中Mybatis三种预编译可能会出错的语句,like模糊查询、Order By、in查询

6. 情景题:从企业的角度出发,如何对攻击者进行防范

这个问题没回答好,我想的是提高员工的安全意识、不要把敏感服务暴露在外网等;面试官期待的答案是蜜罐,这里因为平时接触不多,没想到

然后后面几个问题就是围绕这个蜜罐讲了讲反制溯源的内容,然后让我回答一下以我的角度,我会怎么去部署蜜罐,这部分我只是简单了解了一下,所以答得也不太清楚

7. 谈谈对K8s的理解

简单说了说K8s是干嘛的,然后为什么要用到它

8. 如何判断当前环境是Docker、K8s,还是宿主机

只说了ls -al / 和 cat /proc/1/cgroup两个命令,其他想不起来了

9. 情景题:假如你getshell进入了K8s下节点的Pod中,接下来你会怎么操作

简单讲了讲容器提权,然后污点横向;不过好像要的并不是这个答案

10. 情景题:上一题中抛开容器逃逸、提权、横向,还有没有一些攻击思路

这个回答得很烂,其实面试官想问的就是说如果拿下了一台服务器权限,有哪些可以收集的信息,比如网站源码、数据库配置、环境变量信息等等

后面又针对这个环境变量问了几个问题,只知道个通过环境变量提权,其他的实在是不知道,没回答上来

11. 情景题:攻击者拿到主机权限,如何去延迟其攻击时间

第一时间感觉问的是应急响应,简单说了一下基本流程;但面试官想要的是回答蜜罐,后续针对蜜罐又提了一些细节的问题,这个也没怎么了解,答得不好

12. 情景题:如果主机中已经锁定了某个文件是可疑程序,如何去快速找到其他的可疑程序?

通过进程分析工具去找可疑进程,以及父子进程等信息

13. 如何针对CS做免杀?

从shellcode -> loader -> exe三个角度去简单讲了一遍免杀思路,然后面试官对白加黑比较感兴趣,又简单探讨了一下白加黑的技术思路


到这里面试就差不多结束了,之后就是问了我一些其他情况,总体来说感觉自己在实战以及很多细节方面做得不是太好,都没回答上来,今后还是得多注意这些问题吧

然后这是我人生中第一次面试,非常感谢我的朋友坤哥给我这个萌新各方面的指导,哈哈哈,也感谢好兄弟Fate和师父Riky的支持,当然更感谢自己一直以来的坚持!希望能在工作中学到技术,持续提升自己!

相关推荐
YUS云生5 小时前
Python学习笔记·第31天:FastAPI入门——路由、路径参数、查询参数与请求体
笔记·python·学习
玖玥拾5 小时前
C# 语言进阶(十五)C# 游戏服务端 MySQL 数据库
服务器·开发语言·网络·数据库·mysql·c#
铅笔侠_小龙虾6 小时前
Rust 学习目录
开发语言·学习·rust
零零信安6 小时前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
一个有温度的技术博主7 小时前
【VulnHub 实战】DC-1 靶机渗透测试笔记(一):信息收集与主机发现
服务器·网络·笔记
JerrySir7 小时前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
渣渣灰飞7 小时前
MySQL 系统学习 第五阶段:企业级 MySQL 实战开发 第二章:RBAC 权限系统设计
android·学习·mysql
白帽小阳7 小时前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
六bring个六7 小时前
open Harmony中分布式软总线的学习任务清单
分布式·学习·c/c++·open harmony
精神底层8 小时前
AI 学习笔记:研究方法的演变
人工智能·笔记·学习