当前位置: 首页 > news >正文

安恒面经(电话面试)

电话面试。岗位为网络安全分析,大致题目如下,大部分是根据你的项目经验来提问的,面试官也很好,不用特别紧张。项目这块就不谈了,自行准备,一定要充分。在此就说一下其他的题目。

1.java反序列化原理和利用

  • 核心原理:首先解释什么是序列化与反序列化——序列化是将Java对象转换为字节流的过程,以便存储或传输;反序列化则是将这些字节流恢复为Java对象的过程。漏洞的根源在于,如果反序列化的数据来源不可信(如用户可控输入),并且应用中引用了存在危险利用链(Gadget Chain)的第三方库(如Commons-collections),攻击者就可以构造恶意序列化数据,在目标系统上执行任意代码。

  • 利用过程:可以提及经典的利用链,例如在Apache Shiro框架中,由于RememberMe功能使用的AES密钥硬编码或泄露,攻击者可以构造恶意的序列化数据,经过加密编码后作为Cookie发送,服务端在反序列化时触发漏洞。Fastjson的反序列化漏洞则与@type属性自动加载类等机制有关。

  • 防御思路:简要说明防御措施,如升级组件版本、使用安全工具(如SerialKiller)对反序列化过程进行白名单校验、对输入数据进行严格过滤等。

2.xss的类型和区别、防御手段

  • 类型与区别:清晰地说明三种主要类型及其关键区别。

    • 反射型XSS:恶意脚本来自本次HTTP请求(如URL参数),服务器将其直接返回给浏览器执行。需要诱骗用户点击链接才能触发。

    • 存储型XSS:恶意脚本被存储在服务器上(如数据库),当其他用户访问正常页面时,脚本从服务器加载并执行,危害更大。

    • DOM型XSS:漏洞的成因和利用完全发生在浏览器端,恶意脚本通过修改页面的DOM树来执行,不经过服务器。

  • 防御手段:可以从以下几个方面阐述:

    • 对用户输入进行过滤和转义:对<,>等特殊字符进行HTML编码。

    • 设置CSP(内容安全策略)头:告诉浏览器只允许加载指定来源的脚本等资源。

    • 使用HttpOnly Cookie:即使发生XSS,也能防止JavaScript窃取用户的Cookie信息

3.有没有搭建过靶场练习

如果搭建过,可以简要说明你使用的环境(例如用DVWA、Vulnhub等搭建过程)以及主要用途(如复现漏洞、练习工具)。如果没有独立搭建过,可以重点谈论你经常使用的在线靶场或平台(例如PentesterLab、Hack The Box、OverTheWire等),并说明你如何利用这些平台进行练习,同样能体现你的动手能力。

4.给你一个登录页面,说一下你的渗透思路

  • 信息收集:首先识别网站使用的技术栈(CMS、中间件、框架等),寻找是否存在已知漏洞或默认凭据。

  • 功能测试

    • 弱口令爆破:尝试常见用户名/密码(admin/admin等)或使用工具(如Hydra)进行自动化尝试。

    • SQL注入:在用户名和密码框尝试经典payload(' or 1=1 --),并使用SQLMap等工具进行深入测试。

    • 密码重置/找回逻辑漏洞:测试验证码可被绕过、Token可预测、邮箱可被篡改等。

    • 验证码漏洞:检查验证码是否可识别、可重复使用或前端绕过。

  • 其他攻击面:检查是否存在文件上传漏洞、敏感的源码或配置文件泄露等。

  • 社会工程学:如果场景允许,可以提及对目标进行钓鱼等社工手段的可行性。

5.有写过智能体吗?会写提示词吗?

  • 如果写过智能体:可以简要介绍你开发智能体的目标、使用的技术栈(如LangChain、LLaMA Index等)和达到的效果。

  • 如果没写过:不必慌张,可以重点展示你对提示词工程(Prompt Engineering)​ 的理解。可以举例说明你如何通过设计清晰的角色、任务、步骤和约束条件(Few-shot Learning,Chain of Thought等),来引导大模型更好地完成特定安全任务,例如漏洞描述生成、日志分析、安全报告撰写等。

6.了解哪些大模型?

这个问题相对开放,本人是举了自己毕设的例子。请结合实际情况说明即可。

7.有什么想要问的

自行发挥即可

博主也是差点OC了,但是没关系,后面还有机会,祝自己也祝大家求职顺利,offer拿到手软。

http://www.cnnetsun.cn/news/115598.html

相关文章:

  • 基于51单片机的血糖步数测量仪
  • Linux C/C++ 学习日记(51):内存池
  • AAAI25|基于神经共形控制的时间序列预测模型
  • CATCH:ICLR 2025 最值得关注的时间序列异常检测新框架
  • 开发到生产全链路:Docker containerd Kubernetes 运行时全景指南
  • 文件包含漏洞终极指南
  • #扫雷游戏
  • Java计算机毕设之基于springboot+vue的高校学院校内订餐系统的设计与实现基于JAVA的学院校内订餐系统的实现(完整前后端代码+说明文档+LW,调试定制等)
  • 小程序计算机毕设之基于微信跑腿小程序的设计与实现基于springboot+微信小程序的跑腿小程序的设计与实现(完整前后端代码+说明文档+LW,调试定制等)
  • 小程序计算机毕设之基于springboot+微信小程序的餐厅预约系统设计与实现基于微信小程序的餐厅预约系统设计与实现(完整前后端代码+说明文档+LW,调试定制等)
  • torch报错:ibtorch_cpu.so: cannot enable executable stack as shared object requires: Invalid argument
  • 计算机小程序毕设实战-基于springboot+微信小程序的餐厅预约系统设计与实现基于SpringBoot的在线点餐系统微信小程序【完整源码+LW+部署说明+演示视频,全bao一条龙等】
  • 【课程设计/毕业设计】基于微信小程序跑腿平台的设计与实现代码基于springboot+微信小程序的跑腿小程序的设计与实现【附源码、数据库、万字文档】
  • jquery的基本使用(2)
  • HTML5结合Vue3实现超大文件分片上传的加密传输方案?
  • 基于增量动力分析方法IDA求解易损性曲线的Matlab代码探秘
  • mysql面试题整理
  • 瞄准科技特长生!3 大核心编程考级赛事(CTL/YCL/GESP)深度对比
  • day38打卡
  • JavaEE进阶——SpringBoot日志从入门到精通
  • 结构体简单题
  • 时间序列回归预测:LSTM、CNN - LSTM、PSO - CNN - LSTM、GAPSO - CNN - LSTM大比拼
  • 飞轮储能系统的建模与 MATLAB 仿真:永磁同步电机作为飞轮驱动电机
  • 车间进度总卡壳?生产小工单的3个必备功能,90%企业都用错了
  • 如何用 ShedLock 让 Spring Boot 的定时任务在多实例环境下只执行一次
  • 基于MPC的永磁同步电机非线性终端滑模控制仿真研究
  • ISSA - CNN - BiLSTM多输入单输出回归的Python实现与改进
  • Q学习(Q-learning)路径规划算法实战
  • ANSYS/LS - dyna防爆涂层砂浆砖框架结构爆破荷载损伤响应案例探索
  • 基于TOA/FOA的无源定位方法MATLAB仿真探索