a 面試官：你先進行一個簡單的自我介紹吧

b 我：我叫 來自東華理工大學網絡工程專業，今天要面試的崗位是貴公司的實習安全運維工程師
首先我是一個性格樂觀向上的人，待人友善，能快速融入一個新的環境。
在校期間，我學習了TCP/IP，計算機網絡，高級路由交換，網絡安全等科目，
熟悉了TCP/IP協議棧，ARP,OSPF,DHCP等數通知識。

而且我具有一個較強的自學能力，大一期間自學華為設備命令，參加ICT大賽，大二上學期自學misc和web知識，參加CTF校內選拔賽，拿到二等獎
大二下學期參加紅盾杯大賽，自學matlab和編寫論文知識成功帶領隊伍沖進8強賽，大三上學期和理院的同學組隊參加美國大學生數學建模競賽獲得
S獎。

各人興趣愛好，唱歌和跳舞，大學期間加入舞蹈社團，參加過校元旦晚會和院元旦晚會的演出，臺下最多觀眾出席超過1000人。

以上就是我的個人介紹，希望面試官能給我一個機會加入貴公司。

a 面試官：數通的知識就不面了，先介紹一下XSS

b 我： XSS分為三種形式，反射型，存儲型，和dom型，
反射型是將js代碼向URL框或者文本框輸入惡意代碼，讓代碼插入到服務器上，服務器回應后插入的js代碼執行導致彈框出現。
存儲型是將js代碼注入到留言板中，js代碼被前端執行導致js代碼儲存到數據庫，用戶訪問數據庫時js代碼被調用導致彈框出現
dom型就是查看瀏覽器js代碼，看是否存在可調用的dom函數，可以嘗試注入圖片碼，導致瀏覽器彈框

a 面試官 ：介紹一下CSRF 和 SSRF

b 我： CSRF是跨站偽造請求攻擊，用戶不小心點擊了黑客的惡意連接，導致客戶在不知情的情況下訪問了存在該漏洞的網站中，導致出現惡意行為

SSRF是服務器請求偽造攻擊，惡意用戶通過存在SSRF漏洞的服務器訪問服務器內部資源，或者去訪問其他服務器進行惡意行為攻擊。

a 面試官：如何對他們進行防范

b 我：CSRF利用了用戶的身份訪問服務器，我們可以對它發送的http包referer字段，添加Token字段，添加自定義驗證（二次認證，短信驗證等等）
SSRF利用了服務器沒有對用戶輸入內容進行嚴格過濾和審查，沒有對用戶權限進行限制導致服務器被惡意使用，防御方法：
1.輸入驗證與過濾
2.限制網絡訪問權限
3.使用安全的網絡庫等等

a 面試官：介紹一下SQL注入，對他們分類一下

b 我： 首先按字符類型分類：數值型和字符型
按類型分類：聯合注入，盲注，報錯注入，二次注入，寬字符注入，盲注又分為布爾盲注和時間盲注
http注入：referer字段注入，XFF字段注入，cookie字段注入，user-agent字段注入等等
繞waf注入：內斂注釋注入，二次編碼注入，異常響應頭注入，雙寫cookie繞過等等

a 面試官：會不會應急響應的知識

b 我： 首先我會
斷網：條件允許優先斷網，防止黑客進一步操作或者刪除痕跡

取證：通過分析登陸日志、網站日志、服務日志、尋找黑客ip,查看黑客進行的操作。

備份：備份服務器文件，對比入侵前后產生變化的文件。

查漏：通過上述步驟尋找到業務薄弱點，修補漏洞

殺毒：清除黑客留下的后門，webshell，管理賬號

溯源：溯源黑客ip地址，入侵手段等

記錄：歸檔，預防

a 面試官：回答的非常有條理，思路也清晰，會不會查找服務器是否存在后門

b 我：Linux系統的話直接先top一下看一看有沒有什么異常連接和異常的cpu消耗資源的進程
通過工具鎖定異常進程號然后查看他的目錄在哪里
或者通過fand查找異常程序
window系統的話用netstat命令查看進程狀態，然后查看系統日志，查看注冊表是否被修改過，查看是否存在影子用戶等等

a 面試官：會不會安全加固，比如xss漏洞的安全加固，和服務器類的安全加固

b 我：xss加固就是前后端代碼實體化，對前端輸入的代碼進行轉義，對惡意函數惡意標簽等等進行過濾，或者白名單
服務器加固就是關閉不用的服務端口，定期更新服務器系統，定期掃漏，裝waf，ids，ips，流量清洗設備等等。

a 面試官：會不會Linux

b 我：會，大學期間學習網絡安全，基本都是用kali機，基本的命令比如top，cd，ls，su，df，fdisk等等
基本的操作：下載軟件，解壓軟件，換源，提權都會

a 面試官：安全的知識問完了，數通接觸過什么產品嗎，有沒有了解過綠盟的防火墻

b 我：數通的話，操作過華為，思科，華三的設備，沒有了解過綠盟的防火墻，了解過其他的防火墻，比如山石網科的防火墻，天融信的防火墻，sata防火墻

a 面試官：有沒有了解過綠盟的大佬，比如誰誰誰，誰誰誰（忘記名字了）

b 我：我非常憧憬這些大佬，想努力成為他們，如果貴公司能給我實習的機會，我會查漏補缺，努力加強自己，為公司做貢獻

a 面試官：對駐場有沒有什么意見

b 我：沒有意見，去駐廠可以見識別的風景，加強自己的見識，拓寬自己的視野

a 面試官：來公司實習，可能不只有滲透測試，可能還要打雜，你愿意嗎

b 我：愿意，說實話，我們來實習，沒有給公司創造明顯的價值，公司能收留我，對我來說就是一種恩賜
打雜其實也是一種學習，可以增長我們的知識面，所以沒有什么不情愿的

a 面試官：你這個態度還是非常端正的，那你對我們公司有什么想問的嗎

b 我：我想問一下加入貴公司能去參加紅藍對抗嗎，或者做一些大型滲透項目

a 面試官：這個肯定是有的，不過打紅藍對抗肯定是要你有一定的技術能力，剛剛進公司肯定是先進行基礎的學習，完善自己，如果表現非常好的話
肯定是有大佬帶隊，去參加一些護網項目，滲透項目等等

b 我：謝謝面試官，進入貴公司我肯定會努力學習完善自己，讓自己能力被表現出來，您還有什么要問我的嗎

a 面試官：差不多了，基本都沒問題，可以去叫下一個同學了。

綠盟科技安全服務工程師面試題

介紹一下SQL注入，對他們分類一下
介紹一下CSRF 和 SSRF
會不會應急響應的知識
回答的非常有條理，思路也清晰，會不會查找服務器是否存在后門

贊一下(0) 踩一下 查看面試題參考答案>>

后半段hr就好像給我一種他有點對我失去興趣了的感覺，而且薪資期望一開始還沒問我，問我還有什么問題時我問了“貴公司的晉升機制是怎樣的，我如果有幸進入貴公司該如何提升自己從而得到晉升？”這個問題后他才問我你的薪資期望是多少（不知道是故意的還是真忘了），而且無法用迂回戰術不明確說具體金額，非要你表示具體金額是多少，我就從網上搜集到的信息中選了較為偏低的薪資，并再次強調身為一個應屆生并不看重薪資，能學到技術得到歷練就很開心

綠盟科技安全運營工程師面試題

1、自我介紹；
2、sql注入的判斷方法、如何注入、有哪些防御措施；
3、簡單說一下xss的類型、各自的區別與攻擊方式、和防御措施；如果是你，怎么很好的利用xss；
4、說明一下csrf與ssrf的區別所在；
5、滲透測試的基本步驟；
6、簡單闡述一下你的項目；

贊一下(1) 踩一下 查看面試題參考答案>>

第一面為技術面和人事面混合，技術問題問的多一點，明顯感覺面試官是大佬，知識儲備很多。雖然問的都比較基礎，但是涉及的內容很廣；人事面就一些常見的問題，職業規劃、什么時候可以實習、意向工作點，以及比較重要的是實習經驗、項目經驗、以及比賽經驗。

綠盟科技安全服務工程師面試題

1、ARP是幾層協議？
2、ARP方面的攻擊名字叫什么？
3、ARP欺騙的基本原理？
4、owaps top10是什么？
5、SQL注入的分類？
6、時間盲注是屬于布爾型的還是屬于什么？
7、同時有時間盲注和布爾型盲注，哪個時間效率比較高？
8、報錯注入的限制條件是什么？
9、常用的報錯函數有哪些？
10、union注入怎么報出列數的字段（order by 還有呢）
11、mysql在注入的時候有什么特性？

16、你有打過CTF筆試嗎？有成績嗎
17、Apache有什么漏洞，IIS有什么漏洞（文件上傳相關的）？
18、說一下http和https的區別
19、滲透測試流程？
20、痕跡清理你會從什么方面下手？
21、Linux系統下有哪些日志文件，位置在哪里？
22、有沒有管理經驗？
23、這個職位你都管理一下什么呢？
24、有沒有安全相關的證書呢？
25、你用過哪些滲透測試工具？

30、個人的發展計劃？
31、對于安全服務職業的本身有什么見解？
32、滲透測試與滲透測試報告哪個更重要？為什么？
33、現在有200的主機，掃描組3000個漏洞，你覺得的poc去驗證現實嗎？為什么
34、最早什么時候能去實習？
35、三方什么時候能拿？

26、burp可以設置二級代理，怎么設置？
27、socks5代理和http代理的區別？
28、socks5代理和socks4代理的區別？
12、mssql數據庫可不可以執行系統命令？用哪個函數
13、一般情況下，我們怎么判斷他存在XXE？為什么說使用XML語言、在哪里使用？我們看到數據包怎么看一定沒有XXE或者說可能有XXE？
14、excle表格中有可能存在XXE？為什么？
15、excle表格轉換為txt文檔，他的頭部是什么? PK是什么格式的文檔

贊一下(27) 踩一下 查看面試題參考答案>>

通過內推參加的校園招聘，首先面試官很隨和，自己太緊張了，導致思路有些混亂。
進入視頻會議后，首先與面熟管確認通話是否正常，然后就直接開始了。
先是讓 自我介紹， 然后提問一系列問題， 在面試官問完后，會詢問你是否有什么問題。
解答一下然后結束。 整體過程大概30min.

綠盟科技安全服務工程師面試題

自我介紹
Linux系統為什么比windows安全
文件上傳的含義
文件上傳哪些繞過方法
場景 給一個登錄框，可以進行哪些操作
文件包含漏洞原理
滲透測試基本流程
用過哪些端口掃描工具， Nmap掃描，假如ping不可達，使用什么命令
在學習社團主要干什么
編程語言掌握程度
比賽中，負責什么
練習過哪些靶場
你有什么問題
哪兒人

贊一下(0) 踩一下 查看面試題參考答案>>