中國移動環境/健康/安全工程師（EHS）面試經驗(共6條) 最近更新時間：2023-04-20

網絡安全工程師面試經驗(無錫) - 中國移動

2024-04-10 15:47:42 | 校園招聘

面試過程：

線上面試，有三個技術領導和一個hr，本來說的11點開始面試，等了兩個小時才到我，技術面試旨在評估申請人的專業知識和技能。這可能涉及編程挑戰、技術問題解答或模擬工作場景。面試官會根據職位要求和公司的需求來確定面試內容。

面試官問的面試題：

中國移動網絡安全工程師面試題

信息收集
一般去 seebug、freebuf、吾愛破解、看雪論壇、阿里聚安全、PentesterLab、阿里云先知社區、四葉草安全等
挖洞一般提交給奇安信補天、cnvd、教育漏洞平臺、漏洞銀行、wooyun、漏洞盒子眾測平臺

Log4J漏洞

Log4j漏洞（CVE-2021-44228）是指Apache Log4j軟件中存在的一個嚴重安全漏洞，該漏洞允許攻擊者通過特殊構造的日志信息來執行遠程代碼。該漏洞的原理主要涉及Log4j框架的JNDI遠程代碼執行漏洞，其主要過程如下：

日志信息中的JNDI引用：Log4j框架支持使用${...}語法在日志信息中引用變量。在配置了JNDI（Java命名和目錄接口）數據源的情況下，當日志信息中包含了JNDI引用時，Log4j會嘗試解析該引用。

JNDI遠程代碼執行：攻擊者可以構造特殊的日志信息，將其中的JNDI引用指向一個惡意的RMI（遠程方法調用）服務器。當Log4j解析日志信息中的JNDI引用時，它會嘗試連接到惡意的RMI服務器，從而觸發遠程代碼執行。

利用遠程代碼執行漏洞：一旦成功連接到惡意的RMI服務器，攻擊者可以利用該連接執行任意的Java代碼，包括但不限于命令執行、文件讀取、服務器控制等，從而實現對受影響系統的完全控制。
Sql注入原理
SQL注入利用應用程序對用戶輸入數據的不正確處理，使得攻擊者能夠在數據庫查詢中插入惡意SQL代碼，從而實現非法數據庫操作或獲取敏感信息。為了防止SQL注入攻擊，開發人員可以采用一些有效的防御措施。首先，我們可以使用參數化查詢或預編譯語句等安全的數據庫訪問方法，確保用戶輸入的數據不會被解釋為SQL代碼的一部分，從而有效地防止注入攻擊的發生。其次，對于用戶輸入的數據，我們應該進行嚴格的驗證和過濾，僅接受符合預期格式和內容的輸入。
談談對5g的看法：
5g是第五代移動通信技術，它具有高速率、低時延、大連接等特點，可以為各行各業提供更好的網絡服務和應用體驗。我對5g的看法是：

5g是一種創新的技術，它可以推動社會的進步和經濟的發展，為人們帶來更多的便利和可能性。例如，5g可以支持遠程醫療、自動駕駛、虛擬現實等領域，提高人們的健康、安全和娛樂水平。
5g也是一種挑戰的技術，它需要解決很多的技術難題和生態問題，才能實現廣泛的應用和普及。例如，5g需要更多的頻譜資源、基站建設、設備更新、網絡安全等方面的投入和保障，同時也要考慮5g對環境、社會、文化等方面的影響和責任。
5g還是一種機遇的技術，它可以為各個行業和領域帶來新的商業模式和價值創造，激發更多的創新和競爭力。例如，5g可以促進物聯網、云計算、人工智能等技術的發展和融合，為各類企業和用戶提供更多的服務和選擇。

網絡安全防護有軟件、硬件、本地、云防護，說說它們的各自的利弊

burp suite原理講一下，它為什么能夠實現攻擊呢

burp suite如何解析https流量呢