jklbnm12的博客

前言本人从事网络安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。今天去某大厂面试渗透测试工程师，直接把我的脑壳给气炸了，尤其是面试时HR一副趾高气昂的口气对我讲：“要么答，要么走人。”我当时就炸了，嘴角开始不自主地颤动，对着HR就是一顿歇斯底里的痛斥：“我就是去夜市叫卖，也不愿在这里糟蹋自己。”说完我夺门而出，到了晚上我从黄牛手中花费50元购入了一张摆摊证书，又租下了平常下班经常路过的内衣摊位，开始叫卖。我想我只是

前言面试，是每个人初入职场必须要经历的一步，当你的事业生涯还为零的时候，面试的结果基本是能够直接决定“生死”的一次机会，职场的残酷，也最能够在一次面试中体现出来。企业的HR水平参差不齐。教科书式的、经验式的、业务转型式的，每一类HR都会有属于自己的风格。但人力资源行业在国内发展了这么多年，无论是哪一种类型的HR，最终都形成了大体上类似的面试判断标准。作者以最直观的案例，向大家展示了企业HR在面试中判断候选人的一些评判标准。通俗易懂，且指导性强，用诙谐幽默的话语来告诉你，面试的通关办法。一、双向选择

前言最近小学妹在找渗透测试的工作，我好心帮她汇总，她竟然想想约我出来，消磨我宝贵的青春时光。文章没有花里胡哨的图片，直接上面试题：说一下你挖到过的有趣的漏洞。网站渗透测试的流程是？说一下常见的中间件有哪些?相应的中间件有哪些漏洞？说一下shiro反序列化，Fastjson反序列化，Weblogic反序列化，struts2漏洞原理。sql注入漏洞原理。Mysql写shell的的方法？Mysql版本小于5.0，权限是mysql 怎么提权？讲一下宽字.

前言在这个浮躁的社会，人人渴望快速成长，越来越多的人习惯快而短的文章，篇幅稍长就快速划走了，所以我整理了十道较为基础的面试题出来分享给大家，如果你是一位有耐心有深度，懂得深度阅读的重要性，不满足短暂阅读带来的虚假快乐，可以在文末领取全部面试资料。目录1. 为何一个 MYSQL 数据库的站，只有一个 80 端口开放？2. 一个成熟并且相对安全的 CMS，渗透时扫目录的意义？3. 在某后台新闻编辑界面看到编辑器，应该先做什么？4. 审查上传点的元素有什么意义？5. CSRF、XSS 及 XXE 有什么.

目录1.什么是防火墙？2.linux系统中的计划任务crontab配置文件中的五个星星分别代表什么？3.解释暴力攻击。怎么预防呢？4.简述BP的作用？5.SQL注入的原理？如何防御？6.发生安全事件怎么做应急响应？7.DDOS攻击是什么原理？怎么防御？8.反射型XSS漏洞的原理？如何防御？9.请求伪造类的攻击原理是什么？10.文件上传漏洞原理及防御？11.文件包含漏洞原理及防御？12.什么是同源策略？13.简述Localstorage和sessionstorage区别14.什么是原子操作？15.window

防范常见的 Web 攻击什么是 SQL 注入攻击攻击者在 HTTP 请求中注入恶意的 SQL 代码，服务器使用参数构建数据库 SQL 命令时，恶意SQL 被一起构造，并在数据库中执行。用户登录，输入用户名 lianggzone，密码 ‘ or ‘1’=’1 ，如果此时使用参数构造的方式，就会出select * from user where name = ‘lianggzone’ and password = ‘’ or ‘1’=‘1’不管用户名和密码是什么内容，使查询出来的用户列表不为空。如

摘要笔者作为网络安全的初识者，从求职者的角度总结了一点点关于渗透测试工程师求职面试的要点给即将毕业的大学生（实习生和应届生）予以参考，以便能更好更快地找到一份自己满意的工作。总结基于笔者本人的几次面试经历，都是自己投简历（广州的几家公司），没有校招。这里简单介绍一下：我自学web渗透和Android逆向半年有余，计算机网络专业的专科生，通过赛事接触web渗透，慢慢接触Android逆向，继而初识网络安全。没有什么值得吹嘘的事，O(∩_∩)O哈哈~，没事就学习研究。现场面试准备简历（打印3份以.

拿到一个待检测的站或给你一个网站，你觉得应该先做什么？一、信息收集1.获取域名的whois信息,获取注册者邮箱姓名电话等。2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点，因为主站一般比较难，所以先看看旁站有没有通用性的cms或者其他漏洞。3.通过DNS域传送漏洞、备份号查询、SSl证书、APP、微信公众号、暴力破解、DNS历史记录、K8 C段查询、Jsfinder、360或华为威胁情报、证书序列号获取企业域名与ip。4.通过Nmap、Wappalyzer、御剑等查看服务器操作系统版