投递简历后一天左右hr会打电话通知面试时间，和钉钉会议号，进行面试的面试官应该是负责业务的师傅，问的问题由浅到深，基本都是跟据简历上写的内容进行提问，后面会出一点扩展题，让你说说思路，最后会根据表现和你聊聊有什么问题，该往什么方向发展

自我介绍
打过什么ctf，在队伍中负责什么角色，做什么
护网中有什么收获，挖到什么洞
sql注入的原理，你是怎么做的，有没有getshell
如何防护sql注入，有哪几种方式
xss的原理，如何防护xss
了解反序列化吗，了解java反序列化流程吗
了解安全产品吗，ids，ips，waf
说说如何加固系统
如果给你一个内网服务器集群环境，你该如何布防？
了解企业网络拓扑吗，说说都有哪些部分
如果让你对企业网络进行布防，说说如何做防护
waf，ids之类的设备该放到哪个位置，网络中该防御哪个方向的流量
后期考虑发展的方向

赞一下(0) 踩一下

后半段hr就好像给我一种他有点对我失去兴趣了的感觉，而且薪资期望一开始还没问我，问我还有什么问题时我问了“贵公司的晋升机制是怎样的，我如果有幸进入贵公司该如何提升自己从而得到晋升？”这个问题后他才问我你的薪资期望是多少（不知道是故意的还是真忘了），而且无法用迂回战术不明确说具体金额，非要你表示具体金额是多少，我就从网上搜集到的信息中选了较为偏低的薪资，并再次强调身为一个应届生并不看重薪资，能学到技术得到历练就很开心

1、自我介绍；
2、sql注入的判断方法、如何注入、有哪些防御措施；
3、简单说一下xss的类型、各自的区别与攻击方式、和防御措施；如果是你，怎么很好的利用xss；
4、说明一下csrf与ssrf的区别所在；
5、渗透测试的基本步骤；
6、简单阐述一下你的项目；

赞一下(1) 踩一下

面试官嗯挺好的，是通过腾讯会议进行远程面试的，会根据你的自我介绍结合简历还有他们的实际工作内容来进行面试，并且也会耐心的讲解这个岗位进去以后是一个怎么样的安排之类的

讲一下 Fastjson 反序列化，具体是为什么以及怎么利用的？
讲一下 SQL 注入，成因是什么，怎么进行防御？
SQL 注入的时候像是后端有你说的那个防御，怎么进行饶过？
假设现在你在 K8S 的一个机器里面，怎么进行下一步的横向，在云安全里面
如果你现在在就是说 K8S 的 docker 里面，像是 curl 这类命令都用不了，怎么进行信息收集？

赞一下(0) 踩一下