金x软件有限公司安全测试岗位面试

目录

一、自我介绍

二、你是网络空间安全专业的,那你介绍下网络空间安全这块主要学习的东西?

三、本科专业是网络工程,在嘉兴海视嘉安智城科技有限公司实习过,你能说下干的工作吗?(没想到问的是本科实习经历,差不多都忘了,仅靠残存的记忆回答)

四、有一个渗透测试网站的经历,主要负责哪些,能说说吗?

五、那你有没有发现什么安全漏洞? (最近挖的洞就派上用场了)

六、看你打ctf,那你参加过哪些ctf比赛?

七、你对我们这个安全测试的岗位是怎么看的?

八、毕业以后的职业规划

                                          没看够~?欢迎关注!

本文由掌控安全学院 - sbhglqy 投稿

一、自我介绍

不多说

二、你是网络空间安全专业的,那你介绍下网络空间安全这块主要学习的东西?

我:计算机网络、信息隐藏、密码学、内容安全、计算导论等
面试官:那密码学这块你了解过什么东西?
我:比如RSA加解密,椭圆曲线加解密之类的。
面试官:那密码算法按照分类的话主要分为哪几类?
我:对称加密、非对称加密、哈希算法、散列算法。
面试官:那你清楚这块比较安全的加密算法或者hash算法有哪些?
我:我所知道的像md5和RSA是比较安全的。md5是一种不可逆的算法,网站上很多md5的爆破都是通过大量数据进行碰撞得到的,但是想对其进行解密是不可逆的;RSA算法只要保证它的私钥不被别人获取即可,它要求的p和q是两个大素数,想对其进行解密也是比较困难的。
面试官:RSA如果要安全的话,得保证多少位?
我:至少512位,最好是1024位。
面试官:目前哈希算法,散列算法这块的安全算法有哪些?
我:像md5、sha-1、sha-256都是比较安全的。
面试官:对称加密算法知道哪些?
我:DES和AES。
面试官:那相对安全的对称加密算法呢?
我:AES。
面试官:AES分组的话,每组多长比较安全?
我:每组256位比较安全。

三、本科专业是网络工程,在嘉兴海视嘉安智城科技有限公司实习过,你能说下干的工作吗?(没想到问的是本科实习经历,差不多都忘了,仅靠残存的记忆回答)

我们公司最大的一个项目就是将嘉兴所有的摄像头抓拍的违法行为全部连接到一个数字底座上,我平常就是管理这个数字底座,监控流量,对其抓拍的违法行为进行人工审核或者及其审核;其余的就是配置一下公司服务器和防火墙。
面试官:那防火墙这块你是4层防火墙还是7层防火墙?
我:4层的防火墙。
面试官:那防火墙这块采用的是入口还是出口策略?
我:入口策略。
面试官:那你是开放了哪些端口?
我:开放了80、443端口,像内部数据库的,比如3306、6379端口是不对外开放的。
面试官:那你在防火墙上有哪些方面的基础设置需要你去操作配置?
我:一个是不同部分之间的vlan划分,还有一个是异常流量监控,会配置一些脚本去检测攻击源头,及时掐断。

四、有一个渗透测试网站的经历,主要负责哪些,能说说吗?

我的那个项目就是一个博彩网站渗透测试,包括老师在内总共6个人,我负责的就是搭建一个灯塔平台,根据老师所给的赌博网站进行前期的信息收集,判断中间件,服务器,脚本语言,利用AWVS之类的自动化工具检测漏洞,在通过网上搜索相关的漏洞payload进行验证。

五、那你有没有发现什么安全漏洞? (最近挖的洞就派上用场了)

最近发现过ruijie未授权访问和nacos未授权访问。
面试官:那未授权访问你是怎么发现的?
我:未授权访问漏洞是指攻击者通过一些手段绕开应用程序或系统的身份验证和授权机制,获得对未经授权的敏感信息或功能的访问权限。它通常是由于应用程序或系统未正确限制访问权限而导致的。就比如我们请求数据包中会有cookie字段,这是代表你身份的,服务端会对这个字段进行校验来判断你是什么身份。但是有些服务端后端是没做好防御的,让cookie字段重复利用了,没有进行和请求数据的绑定,这就让我们可以自己构造数据进行请求,得到相应的权限。
面试官:那你有没有自己主动发现的漏洞?
我:这个暂时还没有,我都是根据网上爆出来的一些相关漏洞去进行资产收集和验证。

六、看你打ctf,那你参加过哪些ctf比赛?

前两周举办的华为杯网络安全创新大赛、XCTF、强网杯之类的
面试官:ctf比赛中有解决出一些题目吗?
我:我负责的是web和misc,平均一场比赛能够解出4道题目左右。
面试官:那你介绍下ctf比赛中碰到过的题目?
我:web方面比较常见的就是php的pop反序列化链构造还有xml外部实体注入攻击、文件上传漏洞等;misc方面,我负责的是图像隐写、音频隐写、流量分析之类的。像流量分析这块,比较常见的就是键盘流量加密、鼠标流量加密,这些都是可以通过网上的脚本进行解密的。但是比较的困难也有,就是流量解密之后不是你要的flag,流量中还有其他规律。他会用一个小数据的流量包进行分割,让几个大数量流量包一组进行规律探索。(可以参考“华为杯”第二届研究生网络安全创新大赛赛题这篇文章所写的第三题。)
面试官:隐写有哪些方法?
我:频域隐写、时域隐写、盲水印隐写,音频隐写常见的就是把字段藏入音频中,可以用audacity工具进行查看;图像隐写比较常用的工具有stegsolve、steghide、zsteg、silenteye之类的。

七、你对我们这个安全测试的岗位是怎么看的?

安全测试岗位的职责,我的理解是根据项目的需求分析说明书来进行测试,像安全测试,第一个就是web漏洞,把项目部署好后,对其进行渗透测试;或者对其进行源代码审计,从源代码中分析逻辑链,判断存在什么样的漏洞;或者是如果采用了有已知漏洞的中间件,提前进行更新和修改。防止在其部署上线后带来严重的损失。

八、毕业以后的职业规划

这个就自说自呗,开放性问题。

申明:本文所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

                                          没看够~?欢迎关注!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/107574.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

第一个Spring程序

第一个Spring程序

目录 一、怎么创建Spring项目 1.1 使用maven创建Spring项目 1.2 导入Spring相关依赖 二、Spring的配置文件 三、使用Spring配置文件创建类对象 3.1 Spring核心api 3.2 Spring程序开发 一、怎么创建Spring项目 1.1 使用maven创建Spring项目 在创建新项目的时候使用maven去创建…
阅读更多...
DDoS检测防御实现方案

DDoS检测防御实现方案

流量采集模式 通过分光器将流量直接镜像到攻击检测器,收包采用DPDK库。 当前整机流量、源IP信息、连接数 、连接内容(五元组等)的信息汇聚 当发生告警时采样原始数据包, 采用固定采样算法 基于检测对象的TCP syn ack psh ack established的个数、流量…
阅读更多...
系统架构师备考倒计时19天(每日知识点)

系统架构师备考倒计时19天(每日知识点)

软件架构评估(ATAM) 在SAAM的基础上发展起来的,主要针对性能、实用性、安全性和可修改性,在系统开发之前,对这些质量属性进行评价和折中。ATAM方法的主要活动领域包括: 第一阶段 场景和需求收集 收集场景…
阅读更多...
NLP算法面经 | 腾讯 VS 美团

NLP算法面经 | 腾讯 VS 美团

作者 | 曾同学 编辑 | NewBeeNLP 面试锦囊之面经分享系列,持续更新中 后台回复『面试』加入讨论组交流噢 lz从3月初脚因打球扭伤了开始,投递简历,接二连三的面试鞭尸又面试,昨天才终于上岸了,分享经验~ 腾讯PCG看点&…
阅读更多...
动态规划-买卖股票系列

动态规划-买卖股票系列

121.买卖股票的最佳时机 Python: class Solution(object):def maxProfit(self, prices):""":type prices: List[int]:rtype: int"""if len(prices)0:return 0dplen(prices)*[0]minpriceint(prices[0])for i in range (1,len(prices)):minprice…
阅读更多...
element plus 的图片上传组件回显

element plus 的图片上传组件回显

element图片回显是通过修改file-list属性的url属性实现的。 <!-- 图片上传 --><el-form-item label"景区图片" prop"s_img"><el-uploadlist-type"picture-card":action"网址":on-change"handleChange":befor…
阅读更多...
【Python-Django】基于TF-IDF算法的医疗推荐系统复现过程

【Python-Django】基于TF-IDF算法的医疗推荐系统复现过程

复现步骤 step1&#xff1a; 修改原templates路径&#xff0c;删除&#xff0c;将setting.py中的路径置空 step2&#xff1a; 注册app python manage.py startapp [app名称]在app目录下创建static和templates目录 step3&#xff1a; 将项目中的资源文化进行拷贝 step4&#…
阅读更多...
新能源电池试验中准确模拟高空环境大气压力的解决方案

新能源电池试验中准确模拟高空环境大气压力的解决方案

摘要&#xff1a;针对目前新能源电池热失控和特性研究以及生产中缺乏变环境压力准确模拟装置、错误控制方法造成环境压力控制极不稳定以及氢燃料电池中氢气所带来的易燃易爆问题&#xff0c;本文提出了相应的解决方案。方案的关键一是采用了低漏率电控针阀作为下游控制调节阀实…
阅读更多...
《省级国土空间规划编制技术规程》国家标准(GB/T 43214-2023)原文下载

《省级国土空间规划编制技术规程》国家标准(GB/T 43214-2023)原文下载

《省级国土空间规划编制技术规程》国家标准&#xff08;GB/T 43214-2023&#xff0c;以下简称《规程》&#xff09;&#xff0c;将于2024年1月1日起实施&#xff0c;该《规程》由市场监管总局&#xff08;国家标准委&#xff09;9月7日批准发布。 《规程》由自然资源部组织编制…
阅读更多...
Steam将强制执行短信验证以遏制肆虐的恶意更新

Steam将强制执行短信验证以遏制肆虐的恶意更新

为应对最近爆发的恶意更新&#xff0c;著名游戏平台Steam出品方Valve近日发布公告称&#xff0c;将为Steam 上发布游戏的开发者实施额外的安全措施&#xff0c;包括基于短信的确认码。 游戏及软件开发商在 Steam 平台上分发其产品需要用到Steamworks&#xff0c;它支持DRM&…
阅读更多...
GEO生信数据挖掘(九)WGCNA分析

GEO生信数据挖掘(九)WGCNA分析

第六节&#xff0c;我们使用结核病基因数据&#xff0c;做了一个数据预处理的实操案例。例子中结核类型&#xff0c;包括结核&#xff0c;潜隐进展&#xff0c;对照和潜隐&#xff0c;四个类别。第七节延续上个数据&#xff0c;进行了差异分析。 第八节对差异基因进行富集分析。…
阅读更多...
LeetCode 260. 只出现一次的数字 III:异或

LeetCode 260. 只出现一次的数字 III:异或

【LetMeFly】260.只出现一次的数字 III 力扣题目链接&#xff1a;https://leetcode.cn/problems/single-number-iii/ 给你一个整数数组 nums&#xff0c;其中恰好有两个元素只出现一次&#xff0c;其余所有元素均出现两次。 找出只出现一次的那两个元素。你可以按 任意顺序 返…
阅读更多...
数据分析案例-基于snownlp模型的MatePad11产品用户评论情感分析(文末送书)

数据分析案例-基于snownlp模型的MatePad11产品用户评论情感分析(文末送书)

&#x1f935;‍♂️ 个人主页&#xff1a;艾派森的个人主页 ✍&#x1f3fb;作者简介&#xff1a;Python学习者 &#x1f40b; 希望大家多多支持&#xff0c;我们一起进步&#xff01;&#x1f604; 如果文章对你有帮助的话&#xff0c; 欢迎评论 &#x1f4ac;点赞&#x1f4…
阅读更多...
Android 内容提供者和内容观察者:数据共享和实时更新的完美组合

Android 内容提供者和内容观察者:数据共享和实时更新的完美组合

任务要求 一个作为ContentProvider提供联系人数据另一个作为Observer监听联系人数据的变化&#xff1a; 1、创建ContactProvider项目&#xff1b; 2、在ContactProvider项目中用Sqlite数据库实现联系人的读写功能&#xff1b; 3、在ContactProvider项目中通过ContentProvid…
阅读更多...
深度学习-卷积神经网络

深度学习-卷积神经网络

文章目录 应用卷积神经网络卷积处理分类问题 应用 图片分类图片检索图片分割图片风格迁移姿态估计OCR等 卷积神经网络 核概念计算机视觉中处理图片的核大小是通过经验得来的&#xff0c;而深度学习中的权重大小是自己学习出的。卷积VS神经网络&#xff1a;一个是局部观察一个…
阅读更多...
Go-Python-Java-C-LeetCode高分解法-第十周合集

Go-Python-Java-C-LeetCode高分解法-第十周合集

前言 本题解Go语言部分基于 LeetCode-Go 其他部分基于本人实践学习 个人题解GitHub连接&#xff1a;LeetCode-Go-Python-Java-C 欢迎订阅CSDN专栏&#xff0c;每日一题&#xff0c;和博主一起进步 LeetCode专栏 我搜集到了50道精选题&#xff0c;适合速成概览大部分常用算法 突…
阅读更多...
【基于windows desktop上的docker配置nacos,并采用宿主机访问】

【基于windows desktop上的docker配置nacos,并采用宿主机访问】

1、拉取镜像&#xff08;以下命令全部基于powershell&#xff09; docker pull nacos/nacos-server2、启动容器 docker run -d -e PREFER_HOST_MODEhostname -e MODEstandalone -e JVM_XMS256m -e JVM_XMX256m -e JVM_XMN128m -p 8848:8848 --name nacos --restartalways nac…
阅读更多...
【2】c++11新特性(稳定性和兼容性)—>超长整型 long long

【2】c++11新特性(稳定性和兼容性)—>超长整型 long long

c11标准要求long long整型可以在不同的平台上有不同的长度&#xff0c;但是至少64位&#xff0c;long long整型有两种&#xff1a; 有符号long long&#xff1a;–对应类型的数值可以使用LL或者ll后缀 long long num1 123456789LL; long long num2 123456789ll;无符号unsign…
阅读更多...
LeetCode 376. 摆动序列

LeetCode 376. 摆动序列

最长递增子序列 题目链接: 376. 摆动序列 题目描述: 如果连续数字之间的差严格地在正数和负数之间交替&#xff0c;则数字序列称为 **摆动序列 。**第一个差&#xff08;如果存在的话&#xff09;可能是正数或负数。仅有一个元素或者含两个不等元素的序列也视作摆动序列。 例如…
阅读更多...
ArcGIS笔记8_测量得到的距离单位不是米?一经度一纬度换算为多少米?

ArcGIS笔记8_测量得到的距离单位不是米?一经度一纬度换算为多少米?

本文目录 前言Step 1 遇到测量结果以度为单位的情况Step 2 简单的笨办法转换为以米为单位Step 3 拓展&#xff1a;一经度一纬度换算为多少米 前言 有时我们会遇到这种情况&#xff0c;想在ArcGIS中使用测量工具测量一下某一段距离&#xff0c;但显示的测量结果却是某某度&…
阅读更多...
最新文章

Copyright @ 2022~2023