WEB安全工程师、WEB渗透测试面试总结

工作几年后,再次面试,与开始的面试不一样了,刚毕业的时候面试好多都是笔试,然后问问就好了,那时几乎接触不到BAT的面试邀请,如果接到或许早就懂面试之道了。之前的面试中,有一次刻苦铭心的记忆,了解,熟悉,精通这六个字差别很大很大。几乎在每个招聘要求中都会提到这六个字其中的两个,要求了解的话,不是听说过这个东西,而是用过这个东西,除非是实习生,要求不会很高。要求熟练的话,要是熟练运用了,不论普通的运用,还是高级的运用,都要熟练运用,不然问到一个点,都没听说,没用过,就尴尬了。要求精通的话,是在每个细节上必须都有独特的见解,当熟悉运用的时候,知道思路,不会的话可以抽象的解析说出来,而要求精通的话,不可以抽象的说出来,必须明确的说出来。于是之后面试过程中,了解,熟悉,精通的每一项我都会仔细去看,如果存在模糊的点,就不浪费彼此的时间了。
工作有经验了后,这次面试了3,4家公司,发现一个共同的特点,至少要两面,一般第一面是技术面,或者是管理面,两者的顺序有时会有变化,一般技术有时间,先是技术优先面试的,面试通过后才会有做管理的去面试你。有的还会有HR环节,有的直接跳过,如果组织机构比较负责的话,面试次数还会多最多的是五轮,这次面过最多的是三轮,第一轮技术面,第二轮CEO面,第三轮人事经理面,也遇到过一个公司,技术和管理一起面,面完当时给结果。总之不管是几轮,离不开技术和情商,第二个所谓的情商,主要是看解决问题的能力,会了技术后,当遇到一个不懂的问题会去怎么解决,这一点确实很重要,有的人几小时就可以解决,有的人可能要花上10几倍的时间了。效率很重要,情商一般都是管理层在面试的,而问的问题几乎的都是统一的,最经典的一个问题是:谈下你工作中印象最深刻的一次经历。第一次面试的时候,自己啥都没想,脑子沾糨糊了,说没有啥,直接挂掉了,其实不是没有,是有很多,只是当时不在状态,作为不懂技术的管理层,问这个是在考察你的经历,是否有独立解决问题的思路和能力,要知道成长为一个有经验的技术,必须要经历过无数深刻的问题,才能茁壮成长起来。我说没啥,说明情商好低,有的人或许只会一点点,会把这一点点扩大化,顺利通过情商面试的考验,还有其他一系列的问题都是围绕情商相关的,这关情商面很重要,一不小心就跌倒了。很多做技术的都情商低,高学历,高背景,在管理看来这点不会看的特别重,可以拟补一下情商,普通孩子可就不行了,要给你设立这道门槛,不过聪明的孩子,再设也木有用。除了情商面,在技术面的时候,或者情商面的时候,人家管理懂技术,会问你一个你比较熟悉的技术点,开始会大概问几个问题,看你的广度,后来会拿一个技术点去考你,问为什么是A?你说因为B,然后会问为什么因为B?你说因为C,继续问你为什么因为C,你说因为D。。。无限下去,有多深,问到你多深。最好的表现是回答到最后,回答到最后技术面试官都无法定夺答案的正确性,哈哈。
通过最近一段时间的面试,觉得分为技术面和情商面,必须要准备的有:
1.一项非常深入的技术点,甚至深入的网上查不到相关资料;(当然这是在有一定广度技术的基础上,不然在广度的问题层面就通不过,不会问你深入的问题)
2.一个刻苦铭心的项目经历,或者是多个,这个是给情商面试官准备的,别小看了情商面试官,情商面试官是最高级的,就好像武侠剧里修炼的无招胜有招的境界了,要注意每一个环节,每一句话的背后都有一把刀,任何时候都要小心。
参加过360攻防实验室的面试、打了2次电话,在第二次电话,被我拒绝了,因为已经和另一家公司确定入职了,在360和BAT这类公司准备太多木有用,考察技术只是基础,看你的知识层面,这点并不是特别重要,基本的都会好了,重要的是会面你逻辑和算法,这两个必须过关,要么就是技术研究的很深比较前沿的技术了。

用户信息泄漏漏洞新姿势利用技巧

金融行业用户信息蛮值钱的,获取的方式有多种方式sql注入,xss跨站,命令执行,未授权接口查询等等,今天遇到一个未授权接口查询的漏洞,有验证码,是前端刷新的验证码,后端效验,这种把前端的请求给丢弃好了。是在注册页面上,当用户已经注册了会提示用户存在,用户不存在的时候会发验证码,验证手机号。绕过验证码后,就可以知道那些手机号注册了,那些手机号没有注册。虽然是一个简单的信息泄漏问题,都有那些危害,怎么利用,作为白帽子研究的就少了,灰帽子的方式会有多种多样,这里总结了以下几种利用方式。
1.在黑产中,不需要知道用户密码,只知道了手机号就可以了,还可以通过其他接口查到手机号码主人的名字和身份证信息等,把资料更加精准化,提高资料质量,如果资料库较大的话,可以卖一份不错的价格,一份信息泄漏,直接可以转化为商业价值。
2.还有一些可能不是金融行业,其他行业,单纯知道了手机号意义不大的,要知道账户里面的资料才会比较有价值,这时有一种不太靠谱的做法,收集自己的社工库资源,可能自己的不够强大,需要网上买一些,要先验证部分的有效性,很容易被骗哦。然后利用社工库去写个脚本撞库,之所以所这种方式不太靠谱,是因为成本太大,而最后结果未必是很理想的。
3.接着2继续新姿势利用,可以直接钓鱼,先做一个伪页面,或者直接扒站,把想要的账户,密码都记录下来,以防万一网址被封,用短域名把url转换一下,给对方发到手机号上或者邮箱中,要客户主动把信息送过来不是更靠谱。哪怕金融的有支付密码,也可以搞定。其他行业就更不用说了。