首页 > 其他分享 >2024网络安全面试题大全(附答案详解)看完表示入职大厂稳了

2024网络安全面试题大全(附答案详解)看完表示入职大厂稳了

时间:2024-11-06 18:18:24浏览次数:3  
标签:入职 面试题 哪些 数据库 端口 2024 sql 序列化

今天为大家各大厂面试题

1.深信服面试题
难度系数:中

一面: 时间太久了,记不太清了,难度相对还是可以的

二面:

~sql注入的原理是什么

– 本质:将用户输入的不可信数据当作代码去执行

– 条件:用户能控制输入;;;原本程序要执行的代码,拼接了用户输入的内容,然后执行

~说说Linux的信号机制?

~Java还记得多少

~python用过哪些库,写过什么项目

//还有一些,时间有点久远,记不太清了。

//说实话,hr貌似水平不是太厉害,而且不仅仅问的web安全知识

//总之大家要放轻松,自信面就行。有几个地方没回答上,以为没过,后来三面打电话过来才知道通过了。

hr面:

~自我介绍

– 讲述自己学习安全的经历

~为什么投深信服

– 自己对网安感兴趣、XXX公司是个大企业;;有很多学长也在XXX工作;;老师在课堂提到过XXX公司不错

~职业规划未来三年、五年

~最有成就的一件事

~还有什么想问的

~对简历信息进行有针对的提问

~想在哪工作

//微信视频面试的

综合来说深信服的面试难度还是可以的,但是时间有点久远,记不太多了

2.启明星辰面试题
难度系数:中

二面: ~自我介绍–>对安全的学习 ~sql注入用过哪些函数
– limit()、concat()、group_concat()、Substr()、Ascii()、Left()
– length()、updataxml()等等吧 ~你的ATP攻击步骤 ~sql注入的原理是什么,怎么防范
– 原理:本质、条件,可以多提一些都有哪些种类(如,显错有哪几种,盲注有哪几种,特别的几种(宽字节、反弹、偏移、DNS、二阶等))
– 防范:第一是正则过滤(安全狗、D盾等等)、第二是数据库预处理等 ~挖掘src的主要是什么漏洞 ~参加过哪些ctf比赛 ~有没有自己写过工具 ~还有没有想问的 ~对哪些方面比较熟悉 ~有没有过app测试的经历 //这也是二面,一面记得也不是太清楚了
反正不是多难 最后一面 ~没啥技术面,主要问问期待什么薪资 ~什么时候可以上岗

3.奇安信面试题
难度系数:高

一面: ~没有自我介绍 ~只要是简历上的基本上都会问 ~MVC框架详细说一下
– http://www.ruanyifeng.com/blog/2007/11/mvc.html ~详细介绍一下sql注入
– 原理、条件、分类等等 ~xss与csrf的区别
– 一个是盗取cookie、一个是利用cookie ~csrf的原理以及如何防范–>这往深入问了
– 访问A站的同时访问了B站(恶意站点)、
– B站脚本让浏览器带着B站准备好的语句去提交A站服务器
– A站没有csrf防护–>被攻击 ~还有什么你擅长的但是没有问道的吗 -->xxe ~讲一下xxe的原理
– 本质:简单的说,就是XML外部实体注入攻击
– 原理:DTD部分去读取敏感的信息、将读取到的信息赋值到实体当中、XML部分使用的过程中,将实体内容输出
– 危害:读取任意文件、执行系统命令、探测内网端口、攻击内网网站等 ~xxe会用到哪些函数
– simplexml_load_string ~文件上传,详细说说,
– 客户端检测:客户端校验、如何判断是前端检测、突破方法、黑白名单机制
– 服务端检测:服务端检测几个常见的手段、制作图片马(隐写) ~常见的web容器有哪些
–apache、tomcat、IIS、Nginx等 ~apache 7.0文件上传黑名单怎么绕过,详细说说
– 改后缀(php. php_ php4 phptml php空格等)
– htaccess文件绕过、win文件流绕过(隐写) ~密码学的对称密码与非对称密码有哪些
– 对称:DES、3DES、AES等
– 非对称:md5、base64等 ~md5是不是对称加密
– 不是 ~apache可以执行php文件吗
– 可以 ~学过哪些数据库,(了解哪些数据库)
– mysql、Oracle、sql servers、access ~说说反序列化的原理
– 序列化:将php中对象、类、数组、变量、匿名函数等,转化为字符串 方便保存到数据库或者文件中(将状态信息保存为字符串)
– 反序列化: 将字符串保存为状态信息 ~反序列化会用到哪些函数
– php的unserialize()函数
– 反序列化貌似hr更想问java的
– 更多请百度:WebLogic 反序列化,将这个理解透彻和hr聊问题就不大了 ~xxe有没有实战过 ~java的多线程 ~python有过哪些项目,写过什么东西 ~之前python学到什么地方

4.京东面试题
难度系数:中

一面: (安全研发部门面试) ~首先根据简历提问 ~问我的一个项目完成的怎么的样了,//简历中的 ~Java基础怎么样,
~有没有自己动手写过一些工具 ~有没有想过自己以后要写一下扫描器 ~sql注入的简单原理及其如何防御 ~有没有了解过反序列化
尤其是Java方向的 ~数据结构还记得多少 ~src主要挖掘一些什么类型的漏洞 ~了解的MSF框架怎么样
~数据库主要了解的哪些,主要学的什么数据库 ~ssrf的原理及其防御 —> 这有深入
– 定义:简单说,利用某站点发送请求攻击其他目标站点(借刀杀人)
– 聊聊主流防御 - 防外不防内
– 危害:内网渗透(读取敏感文件、探测端口–>6379端口的Redis可以说说)
– 防御:限制请求的端口、过滤返回的信息、黑名单内网ip等

5.知道创宇面试题
难度系数:中

一面: 简单的自我介绍一下吧 了解sql注入吗 本质、 条件、分类、攻击步骤 sql注入怎么防范呢 正则过滤、数据库预处理
数据库预处理怎么突破呢 limit后是不可控的 知道httponly吗 主要是防止xss偷取cookie的 sql注入如何getshell
回答写一句马。mysql有两个两个函数可以写文件 //dumpfile与into_outfile
额外提到6379端口靶场redis貌似就是直接写一句马,菜刀连接 mysql写文件需要什么条件
用到into_outfile或者dumpfile函数 要有写的权限,知道绝对路径,能用单引号,要有file权限 了解内网渗透吗

6.阿里面试题
难度系数:高

笔试:(无聊) 测试面试者综合水平,题目类似公务员(不是技术性得题目) 一面:(简单) 简单了解情况,技术面加hr面
比如自我介绍,大学几年最得意(骄傲)得事 你最擅长的领域,你得优缺点 技术问题就不说了,比较基础
(需要注意的是,比起攻击,更在意的是如何修复、加固) 最后,还有什么要问我得吗 二面:(综合) 简历中的各类项目
什么级别?(国家级、省级等) 怎么样了,进度如何? 遇到哪些问题?怎么解决的? 用到哪些框架、什么语言、多少成员
如何分工,你负责什么?详细说说 以上每一个话题都会继续追问下去,直到你回答不上来 密码学 了解哪些加密算法,说说
对称加密与非对称加密的应用场景 还有一些,想不起来了 因为这一块我学的不是太好,就不多说了 以上每一个话题都会继续追问下去,直到你回答不上来
ctf 负责哪些题型、在团队中的角色 拿过哪些奖项、参加过哪些赛事 说说遇到的一些(印象深的题目)
以上每一个话题都会继续追问下去,直到你回答不上来 除安全之外,还参加过哪些类型比赛? 比如:全国大学生建模比赛 人工智能国赛、大数据国赛等
以上每一个话题都会继续追问下去,直到你回答不上来 你的优点是什么?有什么你认为你能做,别人不能做的?
这里可以回答白盒审计,举例一些自己的cnvd证书(较高的加分项) 以上每一个话题都会继续追问下去,直到你回答不上来 Java语言,
学的怎么样?拿过什么关于java编程算法的奖项? (面试我得hr是主攻java的) 以上每一个话题都会继续追问下去,直到你回答不上来
计算机网络 说说七层模型、 网络层动态连接的有几个协议、区别是什么(有什么异同) 以上每一个话题都会继续追问下去,直到你回答不上来
web安全 sql注入的防御方法,如何避免出现sql注入 反序列化相关问题(这又联系到了java) 你还会什么?多说说你觉得你会别人不会的?
你的技能里边最擅长什么? 以上每一个话题都会继续追问下去,直到你回答不上来 经历 有哪些较难忘的校园经历? 遇到哪些棘手问题?如何解决的?
大概就这么多内容吧,其中web方向的内容并不太多,更多的是综合知识掌握。
多说一点,阿里相对来说对学历看重一些,名牌985院校本身就是加分项; 此外最好能拿到几本cnvd证书、月榜上几次

附带:稍微总结一下面试的一些难点
1.如何分辨base64
长度一定会被4整除
很多都以等号结尾(为了凑齐所以结尾用等号),当然也存在没有等号的base64
仅有 英文大小写、数字、+ /
base64不算加密,仅仅是一门编码

2.如何分辨MD5 //(特点)
一般是固定长度32位(也有16位) // 16 位实际上是从 32 位字符串中,取中间的第 9 位到第 24 位的部分
容易加密
细微偏差得到最终的值差距很大
md5加密是一种不可逆的加密算法 //不过貌似我国的王小云院士通过碰撞算法破解了
最后,md5经过计算得出128位2进制,正常的32位是二进制转换为16进制
在线网站一般是通过每日加密存储到数据库,与用户查询做对比

3.栅栏密码
类似藏头诗,凯撒密码是栅栏密码的一种

4.sqlmap如何爆出当前库
–current -db

5.namp中区分大小写吗
区分大小写!
—O 操作系统检测 —A 操作系统与版本检测

6.Oracle的默认端口 //相似的问题,mysql,sql server的端口
分别是1521 3306 1433

7.mysql的管理员密码一般存放在哪
//连接登录mysql的 不是网站后台登录密码
mysql库下的user表中—>一般是经过md5加密后的

8.cdn的作用
存数据,缓解主服务器压力
中转数据
一定程度上保护了主服务器 —》 被Ddos后,打了一个假的服务器

9.如何确认网站真实IP
子域名,有可能是真实的IP
国外站点去ping
让服务器给自己发邮件----> 打开邮件–>右侧更多设置---->显示邮件原文---->直接看到

10.sql注入,禁用substr()函数,用哪些函数替代
mid()函数 <—mysql
substring()函数 <—mysql,sql server
left()函数 <—mysql

11.如何防范sql注入
正则匹配过滤 <—主流防护,比如,安全狗与D盾
使用数据库中的预处理
原理:先将查询语句固定
通过函数将传参变为字符串
拼接字符串去执行
你的关键字根本不会当作关键字去执行
根本思路: 避免数据变成代码被执行,时刻分清代码和数据的界限

12.ssrf的危害
重点是突进内网,内网渗透
读取敏感文件 —>file协议
探测端口 —>dict协议
进阶之6379端口的Redis (可以看作一个数据库) --> 默认无密码 —> 写入一句马

13.web容器的解析漏洞
忘了收集了,大家先自行收集一下吧
有时间会补上的

14.同源性法则
解释一下,何为同源:协议、域名、端口都一样就是同源 //
http、https、
a.com、b.com
url:80、url:90

标签:入职,面试题,哪些,数据库,端口,2024,sql,序列化
From: https://blog.csdn.net/Hacker_xingchen/article/details/143515196

相关文章

  • 网络安全常见面试题,收藏这一篇就够了
    网络安全常见面试题(一)在这个数字化、信息化的时代,网络安全已经变得至关重要。当我们足迹遍布网络时,自身信息安全、财产安全、合法权益等易受到侵害。对此,我们应加大对网络安全的重视度,并协同做好问题的攻克工作,构筑健康优良的网络空间。这里给大家准备了网络安全常见的面试......
  • 史上最全网络安全面试题汇总
    最近有不少小伙伴跑来咨询:想找网络安全工作,应该要怎么进行技术面试准备?工作不到2年,想跳槽看下机会,有没有相关的面试题呢?为了更好地帮助大家高薪就业,今天就给大家分享一份网络安全工程师面试题,希望它们能够帮助大家在面试中,少走一些弯路、更快拿到offer!php爆绝对路径方法?......
  • 渗透测试面试题汇总(全)
    思路流程信息收集漏洞挖掘漏洞利用&权限提升清除测试数据&输出报告复测问题深信服一面:SQL注入防护为什么参数化查询可以防止sql注入SQL头注入点盲注是什么?怎么盲注?宽字节注入产生原理以及根本原因产生原理在哪里编码根本原因解决办法sql里面只有update怎么利用sql如何写shel......
  • Java网络安全常见面试题
    列举常见的WEB攻击,及解决方案一、SQL注入1、什么是SQL注入攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。2、如何预防SQL注入使用预编译语句(Prepa......
  • 20222323 2024-2025-1 《网络与系统攻防技术》实验四实验报告
    一、实验内容(一)恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;(2)使用超级巡警脱壳机等脱壳软件,......
  • Object.assign(), 一道关于基本类型合并的面试题
    vars1="abc";vars2=true;vars3=10;vars4=Symbol("foo")varobj=Object.assign(s1,null,s2,undefined,s3,s4);console.log(obj);//{"0":"a","1":"b","2":"c&quo......
  • zlibrary中文版入口及电子书客户端/app(2024更新)
    Z-library是一个全球范围内庞大的数字图书馆之一,其藏书量非常丰富。截至最新数据,Z-library共收录了超过9,826,996册电子书以及84,837,646篇学术期刊文章。这个数字图书馆覆盖了从经典文学巨著到前沿理工学科,从人文艺术瑰宝到专业学术论文的广泛领域,几乎能够满足每一位求知者的阅读......
  • 百万年薪!2024 Salesforce高薪职位排行
    随着Salesforce在全球的普及,这一平台不仅带来了新的职场机会,更为从业者提供了优渥的薪资待遇。最近的Salesforce薪资调查显示,Salesforce生态系统中不同职位的薪资水平相当可观,尤其在美国市场,一些顶级岗位的年薪可达到令人惊叹的百万级别。今天我们就来细数2024年Salesforce的十......
  • 浏览器是如何渲染页面的? - 2024最新版前端秋招面试短期突击面试题
    浏览器是如何渲染页面的?-2024最新版前端秋招面试短期突击面试题【100道】......
  • NOIP2024加赛2
    NOIP2024加赛2题目来源:2023NOIPA层联测18\(T1\)HZTG5733.新的阶乘\(100pts\)预处理素数后直接对\(1\simn\)进行质因数分解因为有太多冗余枚举导致无法通过。考虑枚举最终形式。具体地,从质因数的角度入手,设当前枚举的质数为\(p\),暴力求出\(ip\)中\(p\)的指......