)
电话面试。岗位为网络安全分析,大致题目如下,大部分是根据你的项目经验来提问的,面试官也很好,不用特别紧张。项目这块就不谈了,自行准备,一定要充分。在此就说一下其他的题目。
1.java反序列化原理和利用
核心原理:首先解释什么是序列化与反序列化——序列化是将Java对象转换为字节流的过程,以便存储或传输;反序列化则是将这些字节流恢复为Java对象的过程。漏洞的根源在于,如果反序列化的数据来源不可信(如用户可控输入),并且应用中引用了存在危险利用链(Gadget Chain)的第三方库(如
Commons-collections),攻击者就可以构造恶意序列化数据,在目标系统上执行任意代码。利用过程:可以提及经典的利用链,例如在
Apache Shiro框架中,由于RememberMe功能使用的AES密钥硬编码或泄露,攻击者可以构造恶意的序列化数据,经过加密编码后作为Cookie发送,服务端在反序列化时触发漏洞。Fastjson的反序列化漏洞则与@type属性自动加载类等机制有关。防御思路:简要说明防御措施,如升级组件版本、使用安全工具(如
SerialKiller)对反序列化过程进行白名单校验、对输入数据进行严格过滤等。
2.xss的类型和区别、防御手段
类型与区别:清晰地说明三种主要类型及其关键区别。
反射型XSS:恶意脚本来自本次HTTP请求(如URL参数),服务器将其直接返回给浏览器执行。需要诱骗用户点击链接才能触发。
存储型XSS:恶意脚本被存储在服务器上(如数据库),当其他用户访问正常页面时,脚本从服务器加载并执行,危害更大。
DOM型XSS:漏洞的成因和利用完全发生在浏览器端,恶意脚本通过修改页面的DOM树来执行,不经过服务器。
防御手段:可以从以下几个方面阐述:
对用户输入进行过滤和转义:对
<,>等特殊字符进行HTML编码。设置CSP(内容安全策略)头:告诉浏览器只允许加载指定来源的脚本等资源。
使用HttpOnly Cookie:即使发生XSS,也能防止JavaScript窃取用户的Cookie信息
3.有没有搭建过靶场练习
如果搭建过,可以简要说明你使用的环境(例如用DVWA、Vulnhub等搭建过程)以及主要用途(如复现漏洞、练习工具)。如果没有独立搭建过,可以重点谈论你经常使用的在线靶场或平台(例如PentesterLab、Hack The Box、OverTheWire等),并说明你如何利用这些平台进行练习,同样能体现你的动手能力。
4.给你一个登录页面,说一下你的渗透思路
信息收集:首先识别网站使用的技术栈(CMS、中间件、框架等),寻找是否存在已知漏洞或默认凭据。
功能测试:
弱口令爆破:尝试常见用户名/密码(admin/admin等)或使用工具(如Hydra)进行自动化尝试。
SQL注入:在用户名和密码框尝试经典payload(
' or 1=1 --),并使用SQLMap等工具进行深入测试。密码重置/找回逻辑漏洞:测试验证码可被绕过、Token可预测、邮箱可被篡改等。
验证码漏洞:检查验证码是否可识别、可重复使用或前端绕过。
其他攻击面:检查是否存在文件上传漏洞、敏感的源码或配置文件泄露等。
社会工程学:如果场景允许,可以提及对目标进行钓鱼等社工手段的可行性。
5.有写过智能体吗?会写提示词吗?
如果写过智能体:可以简要介绍你开发智能体的目标、使用的技术栈(如LangChain、LLaMA Index等)和达到的效果。
如果没写过:不必慌张,可以重点展示你对提示词工程(Prompt Engineering) 的理解。可以举例说明你如何通过设计清晰的角色、任务、步骤和约束条件(Few-shot Learning,Chain of Thought等),来引导大模型更好地完成特定安全任务,例如漏洞描述生成、日志分析、安全报告撰写等。
6.了解哪些大模型?
这个问题相对开放,本人是举了自己毕设的例子。请结合实际情况说明即可。
7.有什么想要问的
自行发挥即可
博主也是差点OC了,但是没关系,后面还有机会,祝自己也祝大家求职顺利,offer拿到手软。
)
)
)
)
)