标签：面试官 waf hw 流量 面试 sql 经验总结 注入

今天hw单位打电话过来进行一面，小弟我还是第一次进行面试稍显紧张很多问题都没答上来，大佬告诉我还会有二面。
今天把小弟我的面试经历与大佬问的问题总结一下

sql注入

面试官的第一个问题是你有类似的hw经验或者有什么项目经验吗？
我:没有我只做过src
面试官:好，那这样你把你挖src过程中印象深刻的漏洞讲一下

我:有一个漏洞挖到了台湾旅馆的sql注入漏洞但是那个是老板自建的网站所以比较简单，还有一个是上市公司的存储型xss（然后面试官就根据我回答的这两个来进行深入的提问）
面试官:那能不能讲一下你挖sql注入的过程
我:就是先找到注入点比如说用页面的传参来看是否存在sql注入，或者利用-false来看，还存在一些绕waf的姿势等等

绕waf

面试官:那绕waf是怎么绕的
我：我一般都是找到waf的类型然后去互联网上搜索一些绕过方法
面试官：可以举例吗
我：（其实我没绕过）这个不会
面试官：那sql注入有哪几个种类
我：url post cookie注入
面试官：还有吗
我：应该没有了
面试官：盲注没有吗
我：有比如说时间盲注和布尔盲注还有宽字节注入
面试官：可以讲一下宽字节注入的原理吗
我：大概就是网页采用了GB2312编码然后后台接收数据的mysql数据库采用的是utf-8的编码，在转码的过程中比如反斜杆会被编译成其它字符，有可能会把数据库里的语句给闭合我们就可以执行其他的代码

XSS

面试官：可以，那你知道反射性xss和domxss有什么区别吗
我：这个不太懂（我都忘记了）
面试官：那反射性xss和dom型在响应端的流量有什么差别吗
我：不知道

webshell

面试官：那你知道webshell吗
我：知道大概类似caidao这样的吗
面试官：嗯，一句话木马怎么写
我：（这里太紧张了，差点反应不过来）（所以基础一定要打牢）
面试官：蚂剑和caidao的加密方式有什么区别吗
我：不知道

hw突发事件

面试官：那你知道如果在hw中遇到突发事件要怎么办吗
我：拔网线
面试官：一般是这样我们会上报给厂商处理，...（后面就是面试官介绍自己的公司和这次hw的内容，并且告诉我二面的时间，hw主要的工作其实就两个 流量分析！和应急响应！
流量分析就是要观察有没有人在入侵我们的服务器观察数据流量，应急响应我们就是要在检测到异常流量之后要做出什么反应）

待完善......

标签：面试官,waf,hw,流量,面试,sql,经验总结,注入
来源： https://www.cnblogs.com/linzexing/p/16052841.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。