用户
搜索

该用户从未签到

i春秋-脚本小子

公众号:掌控安全EDU

Rank: 2

15

主题

30

帖子

263

魔法币
收听
0
粉丝
0
注册时间
2018-8-14
ZKAQ i春秋-脚本小子 公众号:掌控安全EDU 楼主
发表于 2020-10-15 11:02:01 96478
本帖最后由 ZKAQ 于 2020-10-15 07:44 编辑

作者:掌控安全-冰封小天堂

所面试公司:郑州某公司,帮公安打击bc的
薪资待遇:面议

所在城市:郑州

面试职位:渗透测试工程师???

面试过程:
因为第一次面试的公司要了,所以就没继续了,现在因为一些情况,弟弟可能要流离失所,所以赶紧海投一波,一个HR就联系我,要我电话面
一开始,面试官还是让我先自我介绍(这次不想第一次那么紧张了,我就哇啦哇啦跟他受了一些)

我是xxx,xxx学校的xxx年级xxxx专业,个人对安全很感兴趣所以就自己进行了学习和报了相关的培训,参与过src活动,现在主要学web渗透方向,现在正在hw。(以后就可以说有过hw经验了)。

然后想了想没啥好说的就说,就这些了

看你介绍说你会代码审计,会到什么程度,是白盒还是半黑半白,或者黑盒呢
你审计的流程是怎么做的呢?
给你一个cms你能审计出来漏洞吗?
(这里我觉得他问的有问题,代码审计不就是白盒吗,啥时候还有黑盒代码审计了)
cms的话要看它是大型的还是小型的,这样

小型的呢,你要怎么做?
小型的话,白盒审计有两种方法,一个是直接搜索危险函数,然后看那些用户可控,然后对他们进行一个审计,看看是否能完整运行到这里,是否会被阻断,有什么要i去,这种方式最快,还有一种就是通读代码,从头开始,把所有功能点都测试一下,但这种比较耗费时间
灰盒的话,我就会配合代码审计进行,因为他不是有个抓提交请求的工具吗,代码审计的工具里,(这里他一开始问我用什么工具审计,记得不太清了,我就说用es啥来着那个审计)然后我就会检查提交的数据,传输过来啥样,然后检查代码部分是否做了拦截过滤一类的
黑盒的话,那就是单纯的测试了,对各个功能点一直测试

你说你漏洞盒子参与过,是多少名啊?
我是上个月参与的,最后排名时候五十多名(如果当时审核都通过了我能到三十多名左右,就是审核慢的要死垃圾盒子),后来就没参加过了,感觉没啥用 面试官来了句,确实没啥用。。。。。。

随后就是问我挖过那些漏洞
一般我都是挖web方面的漏洞,比如一些越权,sql注入xss等

我们这边主要就是打击bc和传销的,帮公安打击,你有接触过这方面吗?
这个我只看过一些文章打击bc的,但我并没有实际操作过,因为这个不是会触碰法律吗,所以没敢弄过

内网渗透和云渗透了解吗?
内网渗透的话我在靶场做过,但没有再别人那里测试过因为,这一不小心就可能碰到某些不该碰的东西,所以没敢搞过,云渗透这方面还不是很了解

如果给你一个网站你要怎么做
第一步先信息收集,把他的IP,端口,还有中间件什么的,域名注册人等信息都收集起来,列一个表,然后看他看起的端口种有没有常见的危险服务
比如22端口的ssh,我们就可以尝试下爆破弱口令,445可以尝试用永恒之蓝打一下等等 面试官补充道,还有git源码泄露,比如你检测到它是什么cms,可以去github上找,找到源码进行一个审计
这里我提问,如果他们做了二次开发,那我们要找到第一次的源码来审计,看看是否有漏洞吗?
他说也可能直接把二次开发后的源码泄露出来,这个可能要也是有的

最后问了我java中间件你了解哪些
这个我不是很了解,因为我现在感觉自己web方面学的都不是很足,所以想先把web再深入学一学然后在开始王其他的方向进军

你这边情况我了解了,你的技能水平离我们正式的话是有差距的,所以可以当我们的实习生
然后就是扯皮,问我期望待遇,我就说这给要看那边有没有补贴管吃管住不管,这些多方面因素来考虑薪资了,最后就是让我回郑州时候跟他们总监面谈薪资啥的,回去时候联系他们人事

面试结果:过关

面试难度:简单
面试感受:比起第一次面试的自己强得多了,基本也不紧张了也没啥不敢说的,第一次面试时候感觉自己是处在一个仰望的地位,这次是一个对等的地位,公司审核我的时候,我也在考核公司!

最后送上一份甜甜的祝福,希望正在找工作的铁汁们能如愿拿到心属的offer

啊,这。。。。。。。。。。。。
使用道具 举报 回复
ZKAQ i春秋-脚本小子 公众号:掌控安全EDU
板凳
发表于 2020-10-15 15:43:07
冰封小天堂 发表于 2020-10-15 05:12
啊,这。。。。。。。。。。。。

嘿嘿
使用道具 举报 回复

怎么我在掌控的论坛连个金币都没有给
使用道具 举报 回复
发表于 2020-10-15 17:56:09
过来支持下
使用道具 举报 回复
发表于 2020-10-16 09:06:32
感觉像是某点公司的面试,感觉实习生薪资待遇不会太高
使用道具 举报 回复
https://www.ichunqiu.com/train/course/13
考虑一下,i春秋保就业,都是国企央企。
使用道具 举报 回复
ZKAQ i春秋-脚本小子 公众号:掌控安全EDU
7#
发表于 2020-10-19 12:11:06
冰封小天堂 发表于 2020-10-15 09:35
怎么我在掌控的论坛连个金币都没有给

联系下管理员看看。投稿通过就会有金币的哈
使用道具 举报 回复
ZKAQ i春秋-脚本小子 公众号:掌控安全EDU
8#
发表于 2020-10-20 14:40:23
有需要黑客视频教程及配套靶场工具!可加vx:zkaq2222,备注暗号:111,即可
使用道具 举报 回复
发表于 2020-10-22 14:40:41
围观下
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册