电话面试。岗位为网络安全分析实习生,大致题目如下,大部分是根据你的项目经验来提问的,面试官也很好,不用特别紧张。项目这块就不谈了,自行准备,一定要充分。在此就说一下其他的题目。
1.java反序列化原理和利用
-
核心原理 :首先解释什么是序列化与反序列化------序列化是将Java对象转换为字节流的过程,以便存储或传输;反序列化则是将这些字节流恢复为Java对象的过程。漏洞的根源在于,如果反序列化的数据来源不可信(如用户可控输入),并且应用中引用了存在危险利用链(Gadget Chain)的第三方库(如
Commons-collections),攻击者就可以构造恶意序列化数据,在目标系统上执行任意代码。 -
利用过程 :可以提及经典的利用链,例如在
Apache Shiro框架中,由于RememberMe功能使用的AES密钥硬编码或泄露,攻击者可以构造恶意的序列化数据,经过加密编码后作为Cookie发送,服务端在反序列化时触发漏洞。Fastjson的反序列化漏洞则与@type属性自动加载类等机制有关。 -
防御思路 :简要说明防御措施,如升级组件版本、使用安全工具(如
SerialKiller)对反序列化过程进行白名单校验、对输入数据进行严格过滤等。
2.xss的类型和区别、防御手段
-
类型与区别:清晰地说明三种主要类型及其关键区别。
-
反射型XSS :恶意脚本来自本次HTTP请求(如URL参数),服务器将其直接返回给浏览器执行。需要诱骗用户点击链接才能触发。
-
存储型XSS :恶意脚本被存储在服务器上(如数据库),当其他用户访问正常页面时,脚本从服务器加载并执行,危害更大。
-
DOM型XSS :漏洞的成因和利用完全发生在浏览器端,恶意脚本通过修改页面的DOM树来执行,不经过服务器。
-
-
防御手段:可以从以下几个方面阐述:
-
对用户输入进行过滤和转义 :对
<,>等特殊字符进行HTML编码。 -
设置CSP(内容安全策略)头:告诉浏览器只允许加载指定来源的脚本等资源。
-
使用HttpOnly Cookie:即使发生XSS,也能防止JavaScript窃取用户的Cookie信息
-
3.有没有搭建过靶场练习
如果搭建过,可以简要说明你使用的环境(例如用DVWA、Vulnhub等搭建过程)以及主要用途(如复现漏洞、练习工具)。如果没有独立搭建过,可以重点谈论你经常使用的在线靶场或平台(例如PentesterLab、Hack The Box、OverTheWire等),并说明你如何利用这些平台进行练习,同样能体现你的动手能力。
4.给你一个登录页面,说一下你的渗透思路
-
信息收集:首先识别网站使用的技术栈(CMS、中间件、框架等),寻找是否存在已知漏洞或默认凭据。
-
功能测试:
-
弱口令爆破:尝试常见用户名/密码(admin/admin等)或使用工具(如Hydra)进行自动化尝试。
-
SQL注入 :在用户名和密码框尝试经典payload(
' or 1=1 --),并使用SQLMap等工具进行深入测试。 -
密码重置/找回逻辑漏洞:测试验证码可被绕过、Token可预测、邮箱可被篡改等。
-
验证码漏洞:检查验证码是否可识别、可重复使用或前端绕过。
-
-
其他攻击面:检查是否存在文件上传漏洞、敏感的源码或配置文件泄露等。
-
社会工程学:如果场景允许,可以提及对目标进行钓鱼等社工手段的可行性。
5.有写过智能体吗?会写提示词吗?
-
如果写过智能体:可以简要介绍你开发智能体的目标、使用的技术栈(如LangChain、LLaMA Index等)和达到的效果。
-
如果没写过 :不必慌张,可以重点展示你对**提示词工程(Prompt Engineering)** 的理解。可以举例说明你如何通过设计清晰的角色、任务、步骤和约束条件(Few-shot Learning,Chain of Thought等),来引导大模型更好地完成特定安全任务,例如漏洞描述生成、日志分析、安全报告撰写等。
6.了解哪些大模型?
这个问题相对开放,本人是举了自己毕设的例子。请结合实际情况说明即可。
7.有什么想要问的
自行发挥即可
博主也是差点OC了,但是没关系,后面还有机会,祝自己也祝大家求职顺利,offer拿到手软。