金x软件有限公司安全测试岗位面试

news2025/6/21 0:37:19

目录

一、自我介绍

二、你是网络空间安全专业的,那你介绍下网络空间安全这块主要学习的东西?

三、本科专业是网络工程,在嘉兴海视嘉安智城科技有限公司实习过,你能说下干的工作吗?(没想到问的是本科实习经历,差不多都忘了,仅靠残存的记忆回答)

四、有一个渗透测试网站的经历,主要负责哪些,能说说吗?

五、那你有没有发现什么安全漏洞? (最近挖的洞就派上用场了)

六、看你打ctf,那你参加过哪些ctf比赛?

七、你对我们这个安全测试的岗位是怎么看的?

八、毕业以后的职业规划

                                          没看够~?欢迎关注!

本文由掌控安全学院 - sbhglqy 投稿

一、自我介绍

不多说

二、你是网络空间安全专业的,那你介绍下网络空间安全这块主要学习的东西?

我:计算机网络、信息隐藏、密码学、内容安全、计算导论等
面试官:那密码学这块你了解过什么东西?
我:比如RSA加解密,椭圆曲线加解密之类的。
面试官:那密码算法按照分类的话主要分为哪几类?
我:对称加密、非对称加密、哈希算法、散列算法。
面试官:那你清楚这块比较安全的加密算法或者hash算法有哪些?
我:我所知道的像md5和RSA是比较安全的。md5是一种不可逆的算法,网站上很多md5的爆破都是通过大量数据进行碰撞得到的,但是想对其进行解密是不可逆的;RSA算法只要保证它的私钥不被别人获取即可,它要求的p和q是两个大素数,想对其进行解密也是比较困难的。
面试官:RSA如果要安全的话,得保证多少位?
我:至少512位,最好是1024位。
面试官:目前哈希算法,散列算法这块的安全算法有哪些?
我:像md5、sha-1、sha-256都是比较安全的。
面试官:对称加密算法知道哪些?
我:DES和AES。
面试官:那相对安全的对称加密算法呢?
我:AES。
面试官:AES分组的话,每组多长比较安全?
我:每组256位比较安全。

三、本科专业是网络工程,在嘉兴海视嘉安智城科技有限公司实习过,你能说下干的工作吗?(没想到问的是本科实习经历,差不多都忘了,仅靠残存的记忆回答)

我们公司最大的一个项目就是将嘉兴所有的摄像头抓拍的违法行为全部连接到一个数字底座上,我平常就是管理这个数字底座,监控流量,对其抓拍的违法行为进行人工审核或者及其审核;其余的就是配置一下公司服务器和防火墙。
面试官:那防火墙这块你是4层防火墙还是7层防火墙?
我:4层的防火墙。
面试官:那防火墙这块采用的是入口还是出口策略?
我:入口策略。
面试官:那你是开放了哪些端口?
我:开放了80、443端口,像内部数据库的,比如3306、6379端口是不对外开放的。
面试官:那你在防火墙上有哪些方面的基础设置需要你去操作配置?
我:一个是不同部分之间的vlan划分,还有一个是异常流量监控,会配置一些脚本去检测攻击源头,及时掐断。

四、有一个渗透测试网站的经历,主要负责哪些,能说说吗?

我的那个项目就是一个博彩网站渗透测试,包括老师在内总共6个人,我负责的就是搭建一个灯塔平台,根据老师所给的赌博网站进行前期的信息收集,判断中间件,服务器,脚本语言,利用AWVS之类的自动化工具检测漏洞,在通过网上搜索相关的漏洞payload进行验证。

五、那你有没有发现什么安全漏洞? (最近挖的洞就派上用场了)

最近发现过ruijie未授权访问和nacos未授权访问。
面试官:那未授权访问你是怎么发现的?
我:未授权访问漏洞是指攻击者通过一些手段绕开应用程序或系统的身份验证和授权机制,获得对未经授权的敏感信息或功能的访问权限。它通常是由于应用程序或系统未正确限制访问权限而导致的。就比如我们请求数据包中会有cookie字段,这是代表你身份的,服务端会对这个字段进行校验来判断你是什么身份。但是有些服务端后端是没做好防御的,让cookie字段重复利用了,没有进行和请求数据的绑定,这就让我们可以自己构造数据进行请求,得到相应的权限。
面试官:那你有没有自己主动发现的漏洞?
我:这个暂时还没有,我都是根据网上爆出来的一些相关漏洞去进行资产收集和验证。

六、看你打ctf,那你参加过哪些ctf比赛?

前两周举办的华为杯网络安全创新大赛、XCTF、强网杯之类的
面试官:ctf比赛中有解决出一些题目吗?
我:我负责的是web和misc,平均一场比赛能够解出4道题目左右。
面试官:那你介绍下ctf比赛中碰到过的题目?
我:web方面比较常见的就是php的pop反序列化链构造还有xml外部实体注入攻击、文件上传漏洞等;misc方面,我负责的是图像隐写、音频隐写、流量分析之类的。像流量分析这块,比较常见的就是键盘流量加密、鼠标流量加密,这些都是可以通过网上的脚本进行解密的。但是比较的困难也有,就是流量解密之后不是你要的flag,流量中还有其他规律。他会用一个小数据的流量包进行分割,让几个大数量流量包一组进行规律探索。(可以参考“华为杯”第二届研究生网络安全创新大赛赛题这篇文章所写的第三题。)
面试官:隐写有哪些方法?
我:频域隐写、时域隐写、盲水印隐写,音频隐写常见的就是把字段藏入音频中,可以用audacity工具进行查看;图像隐写比较常用的工具有stegsolve、steghide、zsteg、silenteye之类的。

七、你对我们这个安全测试的岗位是怎么看的?

安全测试岗位的职责,我的理解是根据项目的需求分析说明书来进行测试,像安全测试,第一个就是web漏洞,把项目部署好后,对其进行渗透测试;或者对其进行源代码审计,从源代码中分析逻辑链,判断存在什么样的漏洞;或者是如果采用了有已知漏洞的中间件,提前进行更新和修改。防止在其部署上线后带来严重的损失。

八、毕业以后的职业规划

这个就自说自呗,开放性问题。

申明:本文所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

                                          没看够~?欢迎关注!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1086731.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

webdriver.Chrome()没反应

webdriver.Chrome()没反应

今天学习爬虫安装selenium之后刚开始webdriver.Chrome()正常 后面运行突然卡在这一步了 百度发现是版本不匹配 我们下载旧版本的chrome Download Google Chrome 95.0.4638.69 for Windows - Filehippo.com 禁用chrome的自动更新 打开文件所在位置 点击Google文件夹 右键up…
阅读更多...
python:从Excel或者CSV中读取因变量与多个自变量,用于训练机器学习回归模型,并输出预测结果

python:从Excel或者CSV中读取因变量与多个自变量,用于训练机器学习回归模型,并输出预测结果

作者:CSDN @ _养乐多_ 本文详细记录了从Excel读取用于训练机器学习模型的数据,包括独立变量和因变量数据,以供用于机器学习模型的训练。这些机器学习模型包括但不限于随机森林回归模型(RF)和支持向量机回归模型(SVM)。随后,我们将测试数据集应用于这些模型,进行预测和…
阅读更多...
PyTorch深度学习实战(20)——从零开始实现Fast R-CNN目标检测

PyTorch深度学习实战(20)——从零开始实现Fast R-CNN目标检测

PyTorch深度学习实战(20)——从零开始实现Fast R-CNN目标检测 0. 前言1. Fast R-CNN1.1 模型架构1.2 R-CNN 与 Fast R-CNN 对比 2. 实现 Fast R-CNN 目标检测2.1 数据处理2.2 模型构建2.4 模型训练与测试 小结系列链接 0. 前言 R-CNN 的主要缺点之一是生…
阅读更多...
研发必会-异步编程利器之CompletableFuture(上)

研发必会-异步编程利器之CompletableFuture(上)

微信公众号访问地址: 近期热推文章: 1、springBoot对接kafka,批量、并发、异步获取消息,并动态、批量插入库表; 2、SpringBoot用线程池ThreadPoolTaskExecutor异步处理百万级数据; 3、基于Redis的Geo实现附近商铺搜索(含源码) 4、基于Redis实现关注、取…
阅读更多...
应用在SMPS中的GaN/氮化镓

应用在SMPS中的GaN/氮化镓

开关模式电源(Switch Mode Power Supply,简称SMPS),又称交换式电源、开关变换器,是一种高频化电能转换装置,是电源供应器的一种。其功能是将一个位准的电压,透过不同形式的架构转换为用户端所需…
阅读更多...
文心一言Plugin实战来了,测试开发旅游攻略助手

文心一言Plugin实战来了,测试开发旅游攻略助手

刚刚过去的8月,百度WAVE SUMMIT 深度学习开发者大会上,重磅发布文心一言的五个原生插件:百度搜索、览卷文档(基于文档的交互)、E 言易图(数据洞察图表生成)、说图解画(基于图片的交互…
阅读更多...
基于Redis+Cookie实现Session共享

基于Redis+Cookie实现Session共享

分布式项目中要实现单点登录(SSO - Single Sign On):对于同一个客户端(例如 Chrome 浏览器),只要登录了一个子站(例如 a.com),则所有子站(b.com、c.com&#…
阅读更多...
uniapp 运行到 app 报错 Cannot read property ‘nodeName‘ of null

uniapp 运行到 app 报错 Cannot read property ‘nodeName‘ of null

uniapp 运行到某一个页面&#xff0c;报错&#xff0c;h5没有问题 Unhandled error during execution of scheduler flush. This is likely a Vue internals bug. Please open an issue at https://new-issue.vuejs.org/?repovuejs/coreat <GuiPagecustomHeadertruecustomF…
阅读更多...
vue3和vue2生命周期​

vue3和vue2生命周期​

vue2生命周期​ 每一个vue实例从创建到销毁的过程&#xff0c;就是这个vue实例的生命周期。在这个过程中&#xff0c;他经历了从开始创建、初始化数据、编译模板、挂载Dom、渲染→更新→渲染、卸载等一系列过程 beforeCreate&#xff1a;是第一个生命周期函数&#xff0c;表示…
阅读更多...
【微服务部署】七、使用Docker安装Nginx并配置免费的SSL证书步骤详解

【微服务部署】七、使用Docker安装Nginx并配置免费的SSL证书步骤详解

SSL&#xff08;Secure Socket Layer&#xff0c;安全套接字层&#xff09;证书是一种数字证书&#xff0c;用于加密网站与访问者之间的数据传输。SSL证书是网站安全和可靠性的重要保证&#xff0c;是建立信任和保护用户隐私的重要手段。其作用可以总结为以下几点&#xff1a; …
阅读更多...
Hadoop3教程(一):Hadoop的定义、组成及全生态概览

Hadoop3教程(一):Hadoop的定义、组成及全生态概览

文章目录 &#xff08;1&#xff09;定义1.1 发展历史1.2 三大发行版本1.3 Hadoop的优势1.4 Hadoop的组成 &#xff08;13&#xff09;HDFS概述&#xff08;14&#xff09;Yarn架构&#xff08;15&#xff09;MapReduce概述&#xff08;16&#xff09; HDFS、YARN、MapReduce三…
阅读更多...
git合并分支-IDEA

git合并分支-IDEA

有1个主分支&#xff0c;我从主分支拉取过来了&#xff0c;数据然后改好了&#xff0c;现在想合并到主分支上&#xff0c;并且将主分支的内容更新到我的分支下。用git怎么操作? 1.将主分支(master)的内容合并到我的分支(master-shi)中 在我的分支下执行 git merge master ID…
阅读更多...
自己一天在家没事就爱折腾

自己一天在家没事就爱折腾

来吃馍馍了&#xff0c;看我自己动手做的花卷&#xff0c;味道一定美极了&#xff0c;哈哈&#xff0c;有没有想吃的呀&#xff01;快来我家&#xff0c;我和你一起分享。
阅读更多...
Vue项目 -- 解决Eslint导致的console报错问题

Vue项目 -- 解决Eslint导致的console报错问题

在利用vue-cli3构建的项目中引入eslint进行语法检查时&#xff0c;使用console.log(‘xxx’)时&#xff0c;控制台抛出了Unexpected console statement (no-console) 异常&#xff0c; 例&#xff1a;一使用console就提示报错 解决办法是&#xff1a; 在 .eslintrc.js 文件中…
阅读更多...
[Error]在Swift项目Build Settings的Preprocessor Macros中定义的宏无效的问题

[Error]在Swift项目Build Settings的Preprocessor Macros中定义的宏无效的问题

问题 如图&#xff0c;在Build Settings -> Preprocessor Macros中添加了ISADEMO1。但在代码中判断无效&#xff0c;还是会输出“isn’t ADemo” #if ISADEMOprint("is ADemo") #elseprint("isnt ADemo") #endif解决 如图&#xff0c;要让Preproces…
阅读更多...
RuntimeError: “LayerNormKernelImpl“ not implemented for ‘Half‘解决方案

RuntimeError: “LayerNormKernelImpl“ not implemented for ‘Half‘解决方案

大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的…
阅读更多...
【AI视野·今日Robot 机器人论文速览 第五十二期】Wed, 11 Oct 2023

【AI视野·今日Robot 机器人论文速览 第五十二期】Wed, 11 Oct 2023

AI视野今日CS.Robotics 机器人学论文速览 Wed, 11 Oct 2023 Totally 31 papers &#x1f449;上期速览✈更多精彩请移步主页 Daily Robotics Papers RoboHive: A Unified Framework for Robot Learning Authors Vikash Kumar, Rutav Shah, Gaoyue Zhou, Vincent Moens, Vittor…
阅读更多...
【广州华锐互动】智轨列车AR互动教学系统

【广州华锐互动】智轨列车AR互动教学系统

智轨列车&#xff0c;也被称为路面电车或拖电车&#xff0c;是一种公共交通工具&#xff0c;它在城市的街头巷尾提供了一种有效、环保的出行方式。智轨列车的概念已经存在了很长时间&#xff0c;但是随着科技的发展&#xff0c;我们现在可以更好地理解和欣赏它。通过使用增强现…
阅读更多...
YOLOv3 | 核心主干网络,特征图解码,多类损失函数详解

YOLOv3 | 核心主干网络,特征图解码,多类损失函数详解

https://zhuanlan.zhihu.com/p/76802514) 文章目录 1. 核心改进1.1主干网络1.2 特征图解码1.2.1 检测框&#xff08;位置&#xff0c;宽高&#xff09;解码1.2.2 检测置信度解码1.2.3 类别解码 1.3 训练损失函数1.3.1 正负样本定义1.3.2 损失函数 1. 核心改进 1.1主干网络 更…
阅读更多...
React学习笔记 001

React学习笔记 001

什么是React 1.发送请求获取数据 处理数据&#xff08;过滤、整理格式等&#xff09; 3.操作DOM呈现页面 react 主要是负责第三部 操作dom 处理页面 数据渲染为HTML视图的开源js库。 好处 避免dom繁琐 组件化 提升复用率 特点 声明式编程&#xff1a; 简单 组件化编程…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023