某瑞集团安全技术研发岗位面试

请添加图片描述
本文由掌控安全学院 - sbhglqy 投稿

一、自我介绍

阿吧阿吧,不多说

二、就ctf比赛经历方面提些问题

面试官:ctf打了多久了
我:两三年了。
面试官:得过什么奖项没有
我:本科的时候得过一个校一等奖。
面试官:你这边是有战队吗,是跟实验室的同学还是社会上的
我:本科的时候是有一个战队的,现在基本上都是自己一个人在打,最近在准备第二届华为杯网络安全创新大赛又组了一个战队。
面试官:你的主项是什么
我:web和misc
面试官:web这边漏洞学到哪里了
我:像sql注入、文件上传、xss、xxe、反序列化、一些常见的逻辑漏洞都学过。
面试官:php代码审计有学过吗
我:有学过。
面试官:你最近比赛中php代码审计的题能做出来吗
我:可以,像php代码审计这种题基本上都是利用php的一些特性去绕过,比较常见的就是反序列化漏洞。
面试官:反序列化的流程简单介绍一下
我:反序列化最关键的一个函数就是unserialize,当在代码中看到这个函数就有可能存在反序列化漏洞。这里还需要知道php中的一些魔术方法,比如__wakeup、__invoke之类。因为在执行unserializ反序列化的时候会自动调用__wakeup函数,这时就很容易造成漏洞。现在ctf比赛中比较常见的就是构造pop链来触发反序列化漏洞,一个类中会存在多个函数,我们得先找到能够达到我们目的的那个函数,然后再根据调用链来构造payload。
面试官:misc做了哪些,除了隐写术这边比较初级的,取证方面、内存分析的做过吗
我:取证方面的没有涉及过,做的比较多的还是图像隐写,音频隐写,流量分析之类的。

三、简单讲一下中孚的实习经验

当时做的是一个隐写溯源项目,是我们实验室跟南京中孚那边共同合作的。主要是针对电子文档信息泄露,数据泄密问题,开发涉密文档隐写溯源系统,实现敏感信息泄露追踪溯源技术,解决涉密文档遭到泄密后无法找到泄密源头的难题。我主要负责的是:
(1)文本图像中扰动变形字体的字形匹配算法,带领团队设计制作扰动变形字体10000余字;
(2)版式嵌入隐写模块,主要针对pdf,ofd等版式文件进行信息隐藏嵌入,实现自动化编译脚本和国产化平台环境适配以及后续功能测试,编写版式嵌入模块详细设计说明书。

不管哪里的面试都会提及你的实习经历或者项目经历,所以这两块地方是需要花费时间去准备的。如果碰到不是很清楚的地方,尽量不要讲,以防面试官逮着问。

四、你就职业想从事哪方面的工作

我是想从事漏洞挖掘,渗透测试之类的工作

五、漏洞挖掘有什么经验吗

这里如果挖到过src的话,可以举两个印象比较深刻的给面试官讲讲;如果没挖到过,可以平常多看看别人写的文章转化成自己的。(这块面试官还是很看重的,是技术能力的体现,没挖到过也准备一两个)。

我最近挖到过一个openfire的用户名和密码伪造漏洞,可以直接进入后台;还有一个nacos未授权访问漏洞。(这不就是学院的靶场吗,能说圆即可。)
面试官:那你就是在src上挖过,没有申报过什么漏洞编号之类的吗
我:这个倒还没有过。
面试官:行行,那我这里没什么问题了。

整个面试过程差不多10分钟,国企的面试官和其他的面试官问的侧重点不一样,像国企的面试官还是主要看你的经历和文凭,对技术方面没有问的那么深;但是其他的面试官对技术方面就不会问的这么少了。这是我第一次面试国企,没想到是这样的一个过场,感觉还挺水的,哈哈。不管怎样,平时还是应该多学习总结。

没看够~?欢迎关注!

请添加图片描述
请添加图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/89362.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

华为云云耀云服务器L实例评测 | 实例使用教学之简单使用:通过 Docker 容器化技术在华为云云耀云服务器快速构建网站

华为云云耀云服务器L实例评测 | 实例使用教学之简单使用:通过 Docker 容器化技术在华为云云耀云服务器快速构建网站 介绍华为云云耀云服务器 华为云云耀云服务器 (目前已经全新升级为 华为云云耀云服务器L实例) 华为云云耀云服务器…

JNA封装C/C++动态库在flink内使用记录

概述 因为公司业务需求,需要将一部分原本已经用C/C写好的程序封装到flink内部使用。 操作系统 CentOS 7使用的技术和工具 flink 1.17.1 JDK 19.0.2 JNA 5.12.1 maven 3.9.4技术实现 利用JNA将C/C的程序封装到JAR包里面,然后结合flink依赖&#xff0…

Docker 容器编排

是什么 Docker-Compose是 Docker 官方的开源项目,负责实现对Docker容器集群的快速编排。 Compose 是 Docker 公司推出的一个工具软件,可以管理多个 Docker 容器组成一个应用。你需要定义一个 YAML 格式的配置文件docker-compose.yml,写好多个…

2022年我国研发经费投入突破3万亿元,这说明什么?

2022年中国研发费用投入达30870亿元(人民币),这是第一次超过3万亿元,同比增长10.1%。这一数据既彰显了我国对科技创新的高度重视,也反映了我国经济高质量发展的内在要求。 一、研发经费投入的构成 2022年,我…

8.5 DebuggerPresent

CheckRemoteDebuggerPresent 也是一个微软提供的反调试函数,该函数可以在本地或者远程进程中使用。函数接收两个参数进程句柄和一个指向布尔值的指针。如果指定的进程正在被调试,则函数会把指向布尔值的指针设为 TRUE,否则设为FALSE。 #incl…

用CRM系统协助销售跟踪客户

客户跟踪对销售来说非常重要,销售不及时跟进很容易导致潜在客户流失。那么对于销售来说,该如何做好客户跟踪呢?或许可以使用CRM客户管理系统。下面来说说,CRM系统如何协助销售跟踪客户? 智能联系客户提醒 销售人员通…

【建造者模式】

🏅我是默,一个在CSDN分享笔记的博主。📚📚 🌟在这里,我要推荐给大家我的专栏《20种Java设计模式》。🎯🎯 🚀无论你是编程小白,还是有一定基础的程序员&#x…

在 Esp32 摄像头上实现边缘脉冲 FOMO 物体检测

轻松在 Esp32 相机上运行边缘脉冲 FOMO 物体检测的世界最佳指南。即使您是初学者 介绍 对象检测是检测图像内感兴趣的对象的任务。直到几年前,由于模型的复杂性和要执行的数学运算的数量惊人,这项任务还需要强大的计算机来完成。 然而,由于像Edge Impulse这样的平台,初学者…

【华为OD机试python】数字反转打印【2023 B卷|100分】

【华为OD机试】-真题 !!点这里!! 【华为OD机试】真题考点分类 !!点这里 !! 题目描述: 小华是个很有对数字很敏感的小朋友,他觉得数字的不同排列方式有特殊美感。 某天,小华突发奇想,如果数字多行排列,第一行1个数,第二行2个,第三行3个, 即第n行有n个数字,并且奇数行…

Socks5代理IP是什么?有什么优点及如何使用?

随着网络威胁和数据泄露的数量不断增加,在浏览互联网时保护个人信息并保持匿名变得至关重要。实现此目的的一种有效方法是使用Socks5代理IP。如今Socks5代理被广泛应用于跨境电商/社媒平台、SEO业务、网络抓取等领域,在这篇文章中,我们将讨论…

如何评估一个HR是否专业?看这些标准

HR在遇到优秀的人才时,以往的招聘中,我们总以惯性思维寻找吸引人才的突破口,诸如体现薪酬优厚、突出平台优势甚至提高面试话术等,却忽略了面试官本人的人格魅力,本身就是公司招聘的形象代言,因为优秀的面试…

【Django】 rest_framework接口开发流程及接口功能组成

rest_framework接口开发流程及接口功能组成 使用restframework框架开发接口,方式应该有6、7种,每个人的习惯不同,用的方法也不一样,再次不再一一详述。 我比较常用:ModelSerializerGenericAPIView 原因是用视图函数装饰…

Ajax

一、什么是Ajax <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta http-equiv"X-UA-Compatible" content"IEedge"><meta name"viewport" content"widthdevice-wid…

gitee-快速设置

快速设置— 如果你知道该怎么操作&#xff0c;直接使用下面的地址 HTTPS SSH: gitgitee.com:liuzl33078235/esp-idf.git 我们强烈建议所有的git仓库都有一个README, LICENSE, .gitignore文件 初始化 readme 文件 Git入门&#xff1f;查看 帮助 , Visual Studio / TortoiseG…

mysql实际调优

一般实际调优的情况就不需要去考虑mysql数据库结构或者命名优化那些。做这些优化是大动作&#xff0c;也不是咱们一般人去接触到的。 所以我们针对mysql的调优其实大部分还是针对索引进行优化。 我们刚接触这个表的话可以先查询当前表中所有的索引 使用 SHOW INDEX FROM yo…

Selenium —— 网页frame与多窗口处理!

一、多窗口处理. 1.1、多窗口简介 点击某些链接&#xff0c;会重新打开⼀个窗⼜&#xff0c;对于这种情况&#xff0c;想在新页⾯上操作&#xff0c;就 得先切换窗⼜了。 获取窗⼜的唯⼀标识⽤句柄表⽰&#xff0c;所以只需要切换句柄&#xff0c;就可以在多个页⾯灵 活操作了…

大数据之Kafka

Kafka概述 传统定义&#xff1a;一个分布式的基于发布/订阅模式的消息队列&#xff0c;主要应用于大数据实时处理领域。 最新定义&#xff1a;一个开源的分布式事件流平台&#xff0c;被数千家公司用于高性能数据管道、流分析、数据集成和关键任务应用。最主要的功能是做数据的…

一表总结前端axios传参与后端springboot接收

方法参数形式后端示例注意get,deleteurl中拼接(RestFul风格&#xff09;PathVariable url: /test ‘/’ name ‘/’ age, GetMapping("/test/{name}/{age}") public Result find( PathVariable("name") String name, PathVari…

深耕能源+政务 | 云畅科技入选中国信通院2023低代码无代码产业图谱

由中国信息通信研究院&#xff08;以下简称“中国信通院”&#xff09;、中国通信标准化协会联合主办的2023数字化转型发展大会暨首届数字原生大会于9月13-14日在北京举办&#xff0c;“2023低代码无代码产业图谱”正式发布&#xff01; 01 2023年&#xff0c;中共中央、国务院…

北斗卫星导航系统:引领现代林业发展的先锋

北斗卫星导航系统&#xff1a;引领现代林业发展的先锋 随着人类社会的发展&#xff0c;林业作为生态环境保护和经济发展的重要组成部分&#xff0c;也在不断向前发展。为了更好地管理和保护森林资源&#xff0c;我们必须寻求一种新的方式来提高林业管理的效率。而北斗技术的应用…