)
1、 字节跳动-渗透测试实习生
字节直接找朋友内推的效率很高,当天上午投简历,下午就约了面试,裸面挺痛苦的建议复习一下再去
自我介绍
渗透的流程
信息收集如何处理子域名爆破的泛解析问题
如何绕过CDN查找真实ip
phpinfo你会关注哪些信息
有没有了解过权限维持
说一个你感觉不错的漏洞,展开讲讲
输出到href的XSS如何防御
samesite防御CSRF的原理
CSRF防御
json格式的CSRF如何防御
浏览器解析顺序和解码顺序
过滤逗号的SQL注入如何绕过
过滤limit后的逗号如何绕过
fastjson相关漏洞
说一个你知道的python相关的漏洞(SSTI原理,利用过程,payload相关的东西)开放性问答
2、阿里云安全实习
自我介绍
看你简历上说擅长java、php代码审计,也没有类似的经历能够分享一下,比如说独自审的一套代
码或者开源项目,从中发现的一些比较高危的问题
在审项目的时候,比如一个web网站,简单说说思路
简单描述一下什么是水平越权,什么是垂直越权,我要发现这两类漏洞,那我代码审计要注意什么地方
解释一下ssrf
怎么防御ssrf,场景:http://ip/?url=image.jpg
常见的内网段有哪些,他们的掩码是什么
教育系统攻防演练,分享一个渗透的例子
除了学校,有没有试过渗透别的
的数据回归预测实践)
