主要针对实际应用场景，问了很多场景题，问内存马查杀，怎么查，怎么杀，护网中遇到过的攻击成功的案例，src挖掘水平越权和垂直越权的区别，如何让测试垂直越权

反序列化原理
项目经验
网络层和平时涉及是哪几层
红队的一个大致流程
给定目标如何渗透
如何在大量目标中快速拿下内网权限
平时复现的漏洞
内网渗透
红队打点
Linux命令
主动被动代理
反弹shell
常见端口
内存马原理
对于安服工作的展望
实习工作时间占比
攻防中担任的角色，应急演练中的角色
xss类型和防护
Linux提权，Windows提权，数据库提权
log4j和weblogic反序列化原理
免杀白加黑原理
SQL注入时间盲注函数，报错注入函数和原理
sql注入绕过
文件上传绕过
文件上传白名单绕过
文件上传.htaccess原理
xxe怎么挖
逻辑漏洞具体怎么挖
内网渗透信息收集
shiro利用链有没有了解
黄金票据白银票据
网站被篡改怎么办
常见中间件日志位置
怎么查看网络连接情况
怎么通过pid号判断应用路径
发现服务器有外连怎么办
路由器和交换机的区别
redis的利用方式
python协程、线程、进程大概讲一下区别/原理
渗透测试流程
有成就感的渗透测试
常用工具
xss原理分类、xss防御方式，分为前端后端
sql注入原理，防护措施、常用函数
ssrf造成的危害、用到的协议
xxe用到的函数
redis未授权
序列化和反序列化，依靠什么机制触发的反序列化漏洞
接触过java反序列化漏洞
有接触过weblogic反序列化吗，触发的恶意类有哪几个
熟悉的业务逻辑漏洞
水平越权和垂直越权的区别，如何让测试垂直越权
app测试经历
写过poc吗
获奖经历(获奖项目的的代码框架是什么样的）
————————————————
10

赞一下(0) 踩一下

通过BOSS
笔试和面试
问的问题基本就是结合简历问的，因为是实习不是很难
录取了最后也是
感觉还行

面试官上来就抓着项目和实习经历问，但是问的不是很深
中间穿插web漏洞类似于xss，csrf等等的问题，以及https建立连接的过程这种问题
还有linux一些基础使用问题，类似于日志目录存在的目录
然后就是经典的挖矿病毒应急响应
然后就是因为简历上面有写流量特征，随便挑了个问了下子
还问了sqlmap注入点这种的问题，基础；
XFF等基础网络知识
奇怪的是反序列化一点没问，难绷；

赞一下(0) 踩一下

笔试以后会有AI面试，但是笔试不清楚过没过，好像是参加笔试都会有AI面试，AI面试问题有五个，笔试问题主要考行测，还有数学题

问在小组任务中，遇到那些意见分歧，最后是怎么解决的；问经历过最难的一件事是什么，最后是怎么解决的

赞一下(0) 踩一下