兄弟们,3月底了,看到不少26届准备暑期实习的网安小伙伴开始焦虑了!尤其是那些投简历石沉大海,或者面试被反馈"KPI已满"的同学。有球友私信我说:
看到这条私信,我觉得兄弟,你这思路得换一换,不然真要卡死在这个怪圈里了!接下来给你们分析一波,保证让你豁然开朗!
去冲大厂暑期实习?
1. 暑期实习HC远超日常实习
现阶段大厂的人力资源都在押注暑期实习,日常实习HC少得可怜。
大厂现在的策略很明确:把HC重点给到暑期转正上面。拿小米暑期实习的宣传语来划重点:
既然转正比例高,那留给秋招的HC必然少很多。所以,26、27届的兄弟姐妹们必须注意,把找工作时间线往前提!
看看小米的招聘就知道了。
2. 中小厂不敢收高背景学生
很多中小厂(100人以下算小厂,5000人算中厂,1000人也算中小厂)本身岗位就少,而且说实话,看到你985/211的背景,他们反而不太敢收。
为什么?因为中小厂也被"跑"怕了!他们知道高背景的学生大多是拿他们练手,最后还是奔着大厂去的。站在公司角度,发了面试邀请,发了offer,最后人没来,纯属浪费人力成本。
所以背景不错的小伙伴,请直接投大厂,不要浪费时间在中小厂海投上!
网络安面试题库截止目前已更新78篇,近18w字,里面包含了网安的职业规划、面试准备篇幅、学习方向、求职名单、应届生面试题库、应届生笔试题库、国内外安全企业介绍、以及社会背调等。
文末有彩蛋
来看看这下面试题能搞得定不?
题目1. Redis利用方式有哪些?
未授权访问:直接连接Redis,执行命令。 写入SSH公钥:将公钥写入 authorized_keys
,实现免密登录。Webshell写入:通过 CONFIG SET dir
设置Web目录,写入恶意脚本。主从复制RCE:利用 SLAVEOF
命令设置主节点,加载恶意模块执行命令。Windows启动项:写入恶意脚本到启动目录(如 C:Startup
)或注册表。定时任务(Linux):通过 flushall
、set
等操作写入定时任务(/var/spool/cron
)。
题目2. Windows下Redis拿权限(启动项)
写入启动文件夹: CONFIG SET dir "C:Users<用户名>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup"
SET payload "恶意命令"
SAVE注册表启动项: CONFIG SET dir "C:"
SET payload "reg add HKCUSoftwareMicrosoftWindowsCurrentVersionRun /v test /t REG_SZ /d C:payload.exe"
SAVE服务创建:通过 sc
命令创建自启动服务(需管理员权限)。
题目3. SQL注入分类有哪些?
按结果类型: 联合查询注入:通过 UNION
获取数据。报错注入:利用错误回显(如 updatexml()
)。布尔盲注:通过页面真假状态判断结果。 时间盲注:通过延时函数(如 SLEEP()
)判断。按参数类型: 数字型:无需闭合引号(如 id=1 AND 1=1
)。字符型:需闭合引号(如 id='1' AND '1'='1
)。堆叠注入:支持多语句执行(如 ; DROP TABLE users
)。
题目4. SSRF利用方式?
内网服务探测:扫描内网端口(如Redis、MySQL)。 文件读取:通过 file://
协议读取本地文件。协议利用: Gopher:构造HTTP、Redis等协议请求攻击内网服务。 Dict:获取服务信息(如 dict://ip:port/info
)。云元数据:访问 169.254.169.254
获取云主机凭证。FastCGI/RCE:利用PHP-FPM未授权访问执行命令。
题目5. SSRF支持协议有哪些?
常见协议:HTTP/HTTPS、file、ftp、gopher、dict、tftp、ldap。 语言差异: PHP:支持较多(如gopher、ssh2)。 Java:受限于 URLConnection
(默认不支持gopher)。绕过限制:利用DNS重绑定、302跳转、协议缩写(如 0x7f000001
代替IP)。
6. Shiro反序列化原理
RememberMe Cookie:AES加密序列化数据,密钥硬编码(默认 kPH+bIxk5D2deZiIxcaaaA==
)。漏洞利用:若密钥泄露,构造恶意序列化数据(如CommonsBeanutils链),加密后作为Cookie发送,触发反序列化RCE。 依赖库:需目标包含可利用的Gadget链(如commons-collections)。
星球介绍
一个人走的很快,但一群人才能地的更远。吉祥同学学安全这个成立了1年左右,已经有500+的小伙伴了,如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt,戳快加入我们吧。系统性的知识库已经有:+++++++++《AI+网安》
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...