问题

简短的自我介绍 有没有实习经历(没有) 会杂项,pwn和逆向吗(了解一点杂项和逆向) 熟悉的数据库(mysql) 简单的介绍sql注入产生的原因 mysql读写文件方式 过滤单引号后还能读写文件吗(太久没复习了搞忘了) sql注入的防御方式(就回答了个预编译和模板编译) 除了预编译还有吗 预编译了一定就能防御sql注入吗(不一定,我答错了) : 报错注入的两种类型(太久没遇到种题了,有点模糊的印象) 如何提高盲注的效率(大概意思是这样) 了解哪些数据库 渗透测试经历 信息收集的过程 找到一个功能点如何对其开展渗透测试 xss产生原因 如何防御xss jsonp 劫持有了解过吗(好像是这个问题,没有回答上来) xxe(没答上来,只回答了一下他的用法,还没有学完) 在实验室期间有进行过培训吗 介绍一下csrf csrf防御措施(忘了回答httponly) 介绍一下ssrf 实战或者ctf中有遇到过ssrf吗(没有遇到过，简单的介绍了一下实例) 有过代码审计经验吗 了解的中间件漏洞(了解较少,就回答了个thinkphp反序列化漏洞) 介绍一下文件上传漏洞 实战中有遇到过吗 如何绕过黑白名单(大概是这个意思,记不太清楚了) 如何绕过waf(忘了介绍如何绕过云waf) 了解的语言 有自己搭建过服务器吗 挖过多少漏洞 平时怎么挖洞的 你对内网的了解有多少(之前自我介绍的时候说自己没学过多少内网知识) 有了解过如何建立隧道吗(大意是当你控制了一个边际服务器后,如何建立隧道对内网内其他服务器展开攻击,记不太清楚,对内网的知识不了解) 有自己写过安全相关的工具吗 平时使用的工具有哪些 有使用过burp suite吗(太紧张,没回答这个) 学校放你来实习吗 当服务器被攻击后如何根据日志文件进行溯源(回答的不太好,实操较少) 自主提问环节:略

大概是上面的这些了，想起来了再补充

总结

原本以为是普通的实习面试，没想到是秋招。最近比较忙，没有去挖洞打比赛什么的，知识忘的比较多，面试过程中也比较紧张。不过面试官应该是技术岗的，基础比较扎实，我也学到了许多东西。