安全运营面试经验 - 共12条真实安全运营面试经验分享

绿盟科技有限公司 - 安全运营

面试时间：2023面试职位：安全运营分享时间：2024-04

面试经历：: 面试过程还是比较融洽的，最开始叫我自我介绍，然后会针对简历上的描述对我提问，题目的难度也还好，最开始是一些比较基础的计算机网络的题目，到后面也会有一些难度稍微大一点的，比如java框架型漏洞，然后问了我log4j是怎么挖的，基本都是争对我简历来抽我回答问题。
面试官提的问题：: 1.1、什么是SQL注入攻击？如何防止SQL注入攻击？ SQL注入攻击是指攻击者通过向Web应用程序的输入框中插入恶意SQL语句来执行未经授权的操作。防止SQL注入攻击的方法包括使用参数化查询和输入验证，以及避免使用动态SQL语句。 1.2、什么是跨站点脚本攻击（XSS）？如何防止XSS攻击？跨站点脚本攻击是指攻击者通过向Web应用程序的输入框中插入恶意脚本来窃取用户数据或执行未经授权的操作。防止XSS攻击的方法包括对输入数据进行验证和转义、使用内容安全策略（CSP）以及限制Cookie的范围。 1.3、什么是跨站请求伪造（CSRF）攻击？如何防止CSRF攻击？跨站请求伪造攻击是指攻击者利用用户已经通过身份验证的会话执行未经授权的操作。防止CSRF攻击的方法包括使用同步令牌和使用双重身份验证。 1.4、什么是点击劫持攻击？如何防止点击劫持攻击？点击劫持攻击是指攻击者通过将恶意网站嵌入到合法网站的透明层中来欺骗用户进行操作。防止点击劫持攻击的方法包括使用X-Frame-Options HTTP头和使用JavaScript框架来防止页面的嵌入。 1.5、什么是会话劫持攻击？如何防止会话劫持攻击？会话劫持攻击是指攻击者通过获取用户的会话ID来冒充该用户。防止会话劫持攻击的方法包括使用安全的Cookie（如HttpOnly和Secure标志）和使用双重身份验证。 1.6、什么是文件包含漏洞？如何防止文件包含漏洞？文件包含漏洞是指攻击者通过向Web应用程序中的文件包含函数提供恶意文件名来执行未经授权的操作。防止文件包含漏洞的方法包括限制包含文件的目录、使用白名单来验证文件名、以及使用安全的文件包含函数。 1.7、什么是缓冲区溢出攻击？如何防止缓冲区溢出攻击？缓冲区溢出攻击是指攻击者通过向程序中的缓冲区输入数据中输入超出缓冲区大小的数据来修改程序的执行流程。防止缓冲区溢出攻击的方法包括使用堆栈保护器和数据执行保护。 1.8、什么是端口扫描？如何防止端口扫描？端口扫描是指攻击者通过扫描网络上的计算机来查找开放的端口，从而找到可以攻击的目标。防止端口扫描的方法包括使用网络防火墙、隐藏不需要开放的端口、和使用入侵检测系统（IDS）和入侵防御系统（IPS）来监控和防御攻击。 1.9、什么是中间人攻击？如何防止中间人攻击？中间人攻击是指攻击者在用户与服务器之间插入自己的计算机，从而窃取数据或执行未经授权的操作。防止中间人攻击的方法包括使用HTTPS协议、使用数字证书验证、和使用公钥基础设施（PKI）。 1.10、什么是密码破解攻击？如何防止密码破解攻击？密码破解攻击是指攻击者通过暴力猜测密码来访问受保护的资源。防止密码破解攻击的方法包括使用强密码策略、使用多因素身份验证、和使用密码哈希函数来加密存储密码。

有用(0) 面试感觉：一般面试难度：难度一般应聘途径：内部推荐

旷视 - 安全运营

面试时间：2021面试职位：安全运营分享时间：2023-11

面试经历：: 见了主管很简单的进行了一些围绕简历的问题一对一的面试之后和hr做了待遇面谈很快就结束了不太难就是后期反馈来的比较慢负责招人的hr 不太专业总是有些口癖嗯嗯啊啊的观感不太好
面试官提的问题：: 在学校有什么活动
之前的研究有什么成果
最快什么时候入职
可以接受离京工作吗最后问题上有些出入因为问的是能否接受一年内派遣到马来进行短期工作然后返回北京但是需要频繁驻扎马来所以询问是否能接受离京工作

有用(0) 面试感觉：一般面试难度：很简单应聘途径：内部推荐

绿盟科技 - 安全运营

面试时间：2023面试职位：安全运营分享时间：2023-10

面试经历：: 投简历后直接短信通知面试，线上选择面试时间，然后准时参加面试即可，面试官人挺好的，虽然我说的结结巴巴但还是被他引导着说了很多
面试官提的问题：: 1.sql注入，各种注入方式的利用
2.xss，问的比较深，包括各个类型的区别和利用等
3.csrf，包括原理，利用方式
4.ssrf，如何利用漏洞探测内网资源等

有用(0) 面试难度：难度一般应聘途径：网上申请