我的.
第一次面試就面試了綠盟的安全服務(wù)工程師，自己準(zhǔn)備的不夠好、本身也比較菜、沒有面試經(jīng)驗這些原因才導(dǎo)致沒有能夠走的更遠(yuǎn)吧。但面試官是非常友好的，也對我努力的方向、應(yīng)該做的事作出了明確的指導(dǎo)，對我后面的面試幫助是非常大的。
面試大概有五十分鐘吧。

綠盟科技安全服務(wù)工程師面試題

1、簡歷上寫了編程語言有python、C語言、JAVA，掌握的情況是怎么樣的呢？
python比較熟悉吧，C語言、JAVA都是上過課之后就沒有怎么用了。
2、簡歷上寫的有實習(xí)經(jīng)歷，大概是做什么呢？
回答了其他公司安服實習(xí)做的事情的細(xì)節(jié)。
3、你是有護(hù)網(wǎng)經(jīng)歷的是吧，說一下護(hù)網(wǎng)的情況吧。
說了下大概情況、細(xì)節(jié)。
4、你對攻擊溯源了解多少？
這里答得還行吧，主要說了下護(hù)網(wǎng)的攻擊溯源。
5、這個網(wǎng)鼎杯，你是負(fù)責(zé)哪個方面的？
6、你做過CTF題嗎，做了多少？
7、你對內(nèi)網(wǎng)滲透了解多少？

贊一下(1) 踩一下 查看面試題參考答案>>

a 面試官：你先進(jìn)行一個簡單的自我介紹吧

b 我：我叫 來自東華理工大學(xué)網(wǎng)絡(luò)工程專業(yè)，今天要面試的崗位是貴公司的實習(xí)安全運維工程師
首先我是一個性格樂觀向上的人，待人友善，能快速融入一個新的環(huán)境。
在校期間，我學(xué)習(xí)了TCP/IP，計算機(jī)網(wǎng)絡(luò)，高級路由交換，網(wǎng)絡(luò)安全等科目，
熟悉了TCP/IP協(xié)議棧，ARP,OSPF,DHCP等數(shù)通知識。

而且我具有一個較強(qiáng)的自學(xué)能力，大一期間自學(xué)華為設(shè)備命令，參加ICT大賽，大二上學(xué)期自學(xué)misc和web知識，參加CTF校內(nèi)選拔賽，拿到二等獎
大二下學(xué)期參加紅盾杯大賽，自學(xué)matlab和編寫論文知識成功帶領(lǐng)隊伍沖進(jìn)8強(qiáng)賽，大三上學(xué)期和理院的同學(xué)組隊參加美國大學(xué)生數(shù)學(xué)建模競賽獲得
S獎。

各人興趣愛好，唱歌和跳舞，大學(xué)期間加入舞蹈社團(tuán)，參加過校元旦晚會和院元旦晚會的演出，臺下最多觀眾出席超過1000人。

以上就是我的個人介紹，希望面試官能給我一個機(jī)會加入貴公司。

a 面試官：數(shù)通的知識就不面了，先介紹一下XSS

b 我： XSS分為三種形式，反射型，存儲型，和dom型，
反射型是將js代碼向URL框或者文本框輸入惡意代碼，讓代碼插入到服務(wù)器上，服務(wù)器回應(yīng)后插入的js代碼執(zhí)行導(dǎo)致彈框出現(xiàn)。
存儲型是將js代碼注入到留言板中，js代碼被前端執(zhí)行導(dǎo)致js代碼儲存到數(shù)據(jù)庫，用戶訪問數(shù)據(jù)庫時js代碼被調(diào)用導(dǎo)致彈框出現(xiàn)
dom型就是查看瀏覽器js代碼，看是否存在可調(diào)用的dom函數(shù)，可以嘗試注入圖片碼，導(dǎo)致瀏覽器彈框

a 面試官 ：介紹一下CSRF 和 SSRF

b 我： CSRF是跨站偽造請求攻擊，用戶不小心點擊了黑客的惡意連接，導(dǎo)致客戶在不知情的情況下訪問了存在該漏洞的網(wǎng)站中，導(dǎo)致出現(xiàn)惡意行為

SSRF是服務(wù)器請求偽造攻擊，惡意用戶通過存在SSRF漏洞的服務(wù)器訪問服務(wù)器內(nèi)部資源，或者去訪問其他服務(wù)器進(jìn)行惡意行為攻擊。

a 面試官：如何對他們進(jìn)行防范

b 我：CSRF利用了用戶的身份訪問服務(wù)器，我們可以對它發(fā)送的http包referer字段，添加Token字段，添加自定義驗證（二次認(rèn)證，短信驗證等等）
SSRF利用了服務(wù)器沒有對用戶輸入內(nèi)容進(jìn)行嚴(yán)格過濾和審查，沒有對用戶權(quán)限進(jìn)行限制導(dǎo)致服務(wù)器被惡意使用，防御方法：
1.輸入驗證與過濾
2.限制網(wǎng)絡(luò)訪問權(quán)限
3.使用安全的網(wǎng)絡(luò)庫等等

a 面試官：介紹一下SQL注入，對他們分類一下

b 我： 首先按字符類型分類：數(shù)值型和字符型
按類型分類：聯(lián)合注入，盲注，報錯注入，二次注入，寬字符注入，盲注又分為布爾盲注和時間盲注
http注入：referer字段注入，XFF字段注入，cookie字段注入，user-agent字段注入等等
繞waf注入：內(nèi)斂注釋注入，二次編碼注入，異常響應(yīng)頭注入，雙寫cookie繞過等等

a 面試官：會不會應(yīng)急響應(yīng)的知識

b 我： 首先我會
斷網(wǎng)：條件允許優(yōu)先斷網(wǎng)，防止黑客進(jìn)一步操作或者刪除痕跡

取證：通過分析登陸日志、網(wǎng)站日志、服務(wù)日志、尋找黑客ip,查看黑客進(jìn)行的操作。

備份：備份服務(wù)器文件，對比入侵前后產(chǎn)生變化的文件。

查漏：通過上述步驟尋找到業(yè)務(wù)薄弱點，修補(bǔ)漏洞

殺毒：清除黑客留下的后門，webshell，管理賬號

溯源：溯源黑客ip地址，入侵手段等

記錄：歸檔，預(yù)防

a 面試官：回答的非常有條理，思路也清晰，會不會查找服務(wù)器是否存在后門

b 我：Linux系統(tǒng)的話直接先top一下看一看有沒有什么異常連接和異常的cpu消耗資源的進(jìn)程
通過工具鎖定異常進(jìn)程號然后查看他的目錄在哪里
或者通過fand查找異常程序
window系統(tǒng)的話用netstat命令查看進(jìn)程狀態(tài)，然后查看系統(tǒng)日志，查看注冊表是否被修改過，查看是否存在影子用戶等等

a 面試官：會不會安全加固，比如xss漏洞的安全加固，和服務(wù)器類的安全加固

b 我：xss加固就是前后端代碼實體化，對前端輸入的代碼進(jìn)行轉(zhuǎn)義，對惡意函數(shù)惡意標(biāo)簽等等進(jìn)行過濾，或者白名單
服務(wù)器加固就是關(guān)閉不用的服務(wù)端口，定期更新服務(wù)器系統(tǒng)，定期掃漏，裝waf，ids，ips，流量清洗設(shè)備等等。

a 面試官：會不會Linux

b 我：會，大學(xué)期間學(xué)習(xí)網(wǎng)絡(luò)安全，基本都是用kali機(jī)，基本的命令比如top，cd，ls，su，df，fdisk等等
基本的操作：下載軟件，解壓軟件，換源，提權(quán)都會

a 面試官：安全的知識問完了，數(shù)通接觸過什么產(chǎn)品嗎，有沒有了解過綠盟的防火墻

b 我：數(shù)通的話，操作過華為，思科，華三的設(shè)備，沒有了解過綠盟的防火墻，了解過其他的防火墻，比如山石網(wǎng)科的防火墻，天融信的防火墻，sata防火墻

a 面試官：有沒有了解過綠盟的大佬，比如誰誰誰，誰誰誰（忘記名字了）

b 我：我非常憧憬這些大佬，想努力成為他們，如果貴公司能給我實習(xí)的機(jī)會，我會查漏補(bǔ)缺，努力加強(qiáng)自己，為公司做貢獻(xiàn)

a 面試官：對駐場有沒有什么意見

b 我：沒有意見，去駐廠可以見識別的風(fēng)景，加強(qiáng)自己的見識，拓寬自己的視野

a 面試官：來公司實習(xí)，可能不只有滲透測試，可能還要打雜，你愿意嗎

b 我：愿意，說實話，我們來實習(xí)，沒有給公司創(chuàng)造明顯的價值，公司能收留我，對我來說就是一種恩賜
打雜其實也是一種學(xué)習(xí)，可以增長我們的知識面，所以沒有什么不情愿的

a 面試官：你這個態(tài)度還是非常端正的，那你對我們公司有什么想問的嗎

b 我：我想問一下加入貴公司能去參加紅藍(lán)對抗嗎，或者做一些大型滲透項目

a 面試官：這個肯定是有的，不過打紅藍(lán)對抗肯定是要你有一定的技術(shù)能力，剛剛進(jìn)公司肯定是先進(jìn)行基礎(chǔ)的學(xué)習(xí)，完善自己，如果表現(xiàn)非常好的話
肯定是有大佬帶隊，去參加一些護(hù)網(wǎng)項目，滲透項目等等

b 我：謝謝面試官，進(jìn)入貴公司我肯定會努力學(xué)習(xí)完善自己，讓自己能力被表現(xiàn)出來，您還有什么要問我的嗎

a 面試官：差不多了，基本都沒問題，可以去叫下一個同學(xué)了。

綠盟科技安全服務(wù)工程師面試題

介紹一下SQL注入，對他們分類一下
介紹一下CSRF 和 SSRF
會不會應(yīng)急響應(yīng)的知識
回答的非常有條理，思路也清晰，會不會查找服務(wù)器是否存在后門

贊一下(1) 踩一下 查看面試題參考答案>>

一面應(yīng)該是HR面，不問技術(shù)，主要考察語言表達(dá)與邏輯能力，對個人做全面了解。面試結(jié)尾給出反饋，因為目前要對看到的，能用的人做 排序 ，目前離售前要求差了些，后期不推進(jìn)了。評價是比較內(nèi)斂，表達(dá)溝通能力差了些。另外整個面試讓她覺得我挺緊張，建議我多參加一些活動，學(xué)校的包容性很強(qiáng)，客戶的包容性不強(qiáng)，目前情況做售前，會有很大壓力。面試官說我的優(yōu)勢在技術(shù)方面，建議先找技術(shù)相關(guān)的工作比較好，問了我意愿base地，會幫我做安全 技術(shù)支持 崗位的推薦。

綠盟科技售前/后工程師面試題

1、自我介紹，開始的時候緊張忘記說自己的實習(xí)經(jīng)歷了，被問后補(bǔ)充，說完后仍我補(bǔ)充有無內(nèi)容，隨后說了了崗位理解，自己覺得的工作內(nèi)容，網(wǎng)絡(luò)安全前景與個人對行業(yè)的看法。

2、你的性格偏向是怎么樣的？

3、秋招崗位這么多，有沒有投其他崗位，為什么選售前？你是怎么規(guī)劃職業(yè)發(fā)展的？

4、售前面對客戶比較多，你會不會面對客戶宣講時會緊張，發(fā)生這種情況該怎么辦呢？

5、關(guān)于技能證書和比賽問題提問

6、講一講你的優(yōu)勢和劣勢？評價下自己

7、你的劣勢你是什么時候發(fā)現(xiàn)的，什么時候想改變的，目前與過去相比怎么樣？

8、你有什么想問的

贊一下(2) 踩一下 查看面試題參考答案>>

后半段hr就好像給我一種他有點對我失去興趣了的感覺，而且薪資期望一開始還沒問我，問我還有什么問題時我問了“貴公司的晉升機(jī)制是怎樣的，我如果有幸進(jìn)入貴公司該如何提升自己從而得到晉升？”這個問題后他才問我你的薪資期望是多少（不知道是故意的還是真忘了），而且無法用迂回戰(zhàn)術(shù)不明確說具體金額，非要你表示具體金額是多少，我就從網(wǎng)上搜集到的信息中選了較為偏低的薪資，并再次強(qiáng)調(diào)身為一個應(yīng)屆生并不看重薪資，能學(xué)到技術(shù)得到歷練就很開心

綠盟科技安全運營工程師面試題

1、自我介紹；
2、sql注入的判斷方法、如何注入、有哪些防御措施；
3、簡單說一下xss的類型、各自的區(qū)別與攻擊方式、和防御措施；如果是你，怎么很好的利用xss；
4、說明一下csrf與ssrf的區(qū)別所在；
5、滲透測試的基本步驟；
6、簡單闡述一下你的項目；

贊一下(1) 踩一下 查看面試題參考答案>>

面試官感覺說話比較親切，給人的壓力不會很大。然后我是一面，應(yīng)該是hr面的，技術(shù)方面問的比較籠統(tǒng)，都是一些思路什么的，難度不大，其他的問題也比較好回答。

綠盟科技安全服務(wù)師實習(xí)生面試題

1.自我介紹
2.有沒有技術(shù)文章或博客
3.現(xiàn)在給你一個一級域名和三個賬號，你的測試思路是什么樣的
4.如果客戶提出一個你不會的問題，你怎么回答
5.如果現(xiàn)在通過文件上傳我們拿到了一個權(quán)限，進(jìn)行內(nèi)外滲透的思路是什么
6.你更青睞什么樣的工作，安服，滲透還是數(shù)安等等
7.講一下xss和xxe還有csrf
8.對于app滲透有沒有了解，思路是什么樣的
9.現(xiàn)在有一個登錄框，你的測試思路是什么樣的
10.對于未授權(quán)頁面和js的測試思路

贊一下(0) 踩一下 查看面試題參考答案>>

先進(jìn)行自我介紹，面官問些技術(shù)問題，不太難，基礎(chǔ)性的，會根據(jù)你以往的工作問一些針對性的問題

綠盟科技信息安全工程師面試題

1.自我介紹；
2.簡述一下sql注入；
3.說下xss；
4.說一下cookie與session的區(qū)別；
5.了解密碼學(xué)嗎？有哪幾種模式

贊一下(0) 踩一下 查看面試題參考答案>>