当前位置: 首页 > 面试经验 >

面试安全工程师被问的问题,回答的吞吞吐吐的

优质
小牛编辑
94浏览
2024-03-06

面试安全工程师被问的问题,回答的吞吞吐吐的

 本人第一次面试,好多没有答上来,感觉应该过不了,面试问题供大家参考

实习岗位是:安全工程师

面试问题如下:

1.做一下自我介绍:

2.安全技术,主要掌握哪一些技能 一些渗透工具的使用

          比如burpsuite、sqlmap、nmap、nessus、awvs等工具,top10漏洞

3.讲一下你最熟悉的两种漏   

            sql注入和xss,SQL注入的原理和sqlmap的使用以及xss的原理

4.加入说我们一个网站存在sql注入漏洞,在linux服务器上,网站语言是php,后端的数据库是mysql的,MySQL不对外访问。在这些前提下获取这个网站的webshell有哪几条攻击路径?

          写一句话木马用中国蚁剑进行连接

5.同第4问接着问,写shell用到的函数有哪些

          用到 into outfile ,select 一句话木马 into out file 文件名,用sqlmap反弹shell

6.除了用sqlmap反弹shell以外,还有其他的方式获取webshell吗?

           暂时没有了解

7.在学习过程中有没有一次成功的渗透,这次渗透精力让你印象很深刻?

         综合渗透的实验,前期就是信息收集,用nmap扫描开放的端口,开放了80端口,访问该ip,发现是drupal框架,用metasploit搜索drupal漏洞,配置好相关攻击载荷。成功攻击,进入后渗透阶段。查看配置文件,发现存在MySQL数据库,明文获取了用户名和密码,用反弹shell登录MySQL 查看users 获取网站的用户名和密码,发现密码是加密的,我们重新创建一个管理员账户和密码,然后用该账号成功登录。

8.有没有提交过一些 src 提交过一些信息,信息泄露漏洞,文件上传漏洞

9.提交的哪一个src

           教育src

10.参加的广西教育系统攻防演习,是代替学校吗,你们组拿了多少分,总共学校拿了多少分?你打了多少分,你们组打了多少分?你是怎么打到的?

11.网安实训是一个什么项目 那上面是一个靶场环境,让我们用自己的方式获取flag

12.平时用的最多的是哪一款工具?     

             burpsuite,经常抓包,发到各个模块进行尝试,暴力破解,重放模块,加解密模块,抓取返回包

13.讲一下 tcp 的三次握手的过程

             客户端向服务端请求,服务端再返回给客服端.......

14.tcp的连接断开的过程

            四次挥手, 服务器返回一个值给客户端,客户端收到值也会向服务器确认是否断开,就是来回确认的过程.....

15.nmap常用的参数有哪些,每个参数都是什么意思?

           -sV 扫描存活主机的 -o主机操作系统识别

16.nmap总共有几种扫描形式?

           分为全扫描和半扫描,半扫描不容易被发现

17.python的话,我看你简历上面写的比较多,你用python写过的最复杂的程序是什么?

           写了一个病毒木马,实现监控屏幕,获取cmd命令行

18.你常用的python的库有哪些?正则是哪一个库?发起http请求、发起tcp请求是哪一个库?

          不记得

19.操作系统要列出文件下的子路径,用的哪一个库的哪一个函数?

然后是自己问对方的

 对方薪资如何、工作内容、工作地点、实习期间有培训什么的吗、待遇怎么样........

#面试问题##面试经验分享#
 类似资料: