昆明网站建设代理,网站域名备案转接入手续,教我做网站,合理规划网站目录
一、自我介绍
二、你是网络空间安全专业的#xff0c;那你介绍下网络空间安全这块主要学习的东西#xff1f;
三、本科专业是网络工程#xff0c;在嘉兴海视嘉安智城科技有限公司实习过#xff0c;你能说下干的工作吗#xff1f;#xff08;没想到问的是本科实习…
目录
一、自我介绍
二、你是网络空间安全专业的那你介绍下网络空间安全这块主要学习的东西
三、本科专业是网络工程在嘉兴海视嘉安智城科技有限公司实习过你能说下干的工作吗没想到问的是本科实习经历差不多都忘了仅靠残存的记忆回答
四、有一个渗透测试网站的经历主要负责哪些能说说吗
五、那你有没有发现什么安全漏洞 最近挖的洞就派上用场了
六、看你打ctf那你参加过哪些ctf比赛
七、你对我们这个安全测试的岗位是怎么看的
八、毕业以后的职业规划 没看够~欢迎关注 本文由掌控安全学院 - sbhglqy 投稿 一、自我介绍
不多说
二、你是网络空间安全专业的那你介绍下网络空间安全这块主要学习的东西
我计算机网络、信息隐藏、密码学、内容安全、计算导论等 面试官那密码学这块你了解过什么东西 我比如RSA加解密椭圆曲线加解密之类的。 面试官那密码算法按照分类的话主要分为哪几类 我对称加密、非对称加密、哈希算法、散列算法。 面试官那你清楚这块比较安全的加密算法或者hash算法有哪些 我我所知道的像md5和RSA是比较安全的。md5是一种不可逆的算法网站上很多md5的爆破都是通过大量数据进行碰撞得到的但是想对其进行解密是不可逆的RSA算法只要保证它的私钥不被别人获取即可它要求的p和q是两个大素数想对其进行解密也是比较困难的。 面试官RSA如果要安全的话得保证多少位 我至少512位最好是1024位。 面试官目前哈希算法散列算法这块的安全算法有哪些 我像md5、sha-1、sha-256都是比较安全的。 面试官对称加密算法知道哪些 我DES和AES。 面试官那相对安全的对称加密算法呢 我AES。 面试官AES分组的话每组多长比较安全 我每组256位比较安全。
三、本科专业是网络工程在嘉兴海视嘉安智城科技有限公司实习过你能说下干的工作吗没想到问的是本科实习经历差不多都忘了仅靠残存的记忆回答
我们公司最大的一个项目就是将嘉兴所有的摄像头抓拍的违法行为全部连接到一个数字底座上我平常就是管理这个数字底座监控流量对其抓拍的违法行为进行人工审核或者及其审核其余的就是配置一下公司服务器和防火墙。 面试官那防火墙这块你是4层防火墙还是7层防火墙 我4层的防火墙。 面试官那防火墙这块采用的是入口还是出口策略 我入口策略。 面试官那你是开放了哪些端口 我开放了80、443端口像内部数据库的比如3306、6379端口是不对外开放的。 面试官那你在防火墙上有哪些方面的基础设置需要你去操作配置 我一个是不同部分之间的vlan划分还有一个是异常流量监控会配置一些脚本去检测攻击源头及时掐断。
四、有一个渗透测试网站的经历主要负责哪些能说说吗
我的那个项目就是一个博彩网站渗透测试包括老师在内总共6个人我负责的就是搭建一个灯塔平台根据老师所给的赌博网站进行前期的信息收集判断中间件服务器脚本语言利用AWVS之类的自动化工具检测漏洞在通过网上搜索相关的漏洞payload进行验证。
五、那你有没有发现什么安全漏洞 最近挖的洞就派上用场了
最近发现过ruijie未授权访问和nacos未授权访问。 面试官那未授权访问你是怎么发现的 我未授权访问漏洞是指攻击者通过一些手段绕开应用程序或系统的身份验证和授权机制获得对未经授权的敏感信息或功能的访问权限。它通常是由于应用程序或系统未正确限制访问权限而导致的。就比如我们请求数据包中会有cookie字段这是代表你身份的服务端会对这个字段进行校验来判断你是什么身份。但是有些服务端后端是没做好防御的让cookie字段重复利用了没有进行和请求数据的绑定这就让我们可以自己构造数据进行请求得到相应的权限。 面试官那你有没有自己主动发现的漏洞 我这个暂时还没有我都是根据网上爆出来的一些相关漏洞去进行资产收集和验证。
六、看你打ctf那你参加过哪些ctf比赛
前两周举办的华为杯网络安全创新大赛、XCTF、强网杯之类的 面试官ctf比赛中有解决出一些题目吗 我我负责的是web和misc平均一场比赛能够解出4道题目左右。 面试官那你介绍下ctf比赛中碰到过的题目 我web方面比较常见的就是php的pop反序列化链构造还有xml外部实体注入攻击、文件上传漏洞等misc方面我负责的是图像隐写、音频隐写、流量分析之类的。像流量分析这块比较常见的就是键盘流量加密、鼠标流量加密这些都是可以通过网上的脚本进行解密的。但是比较的困难也有就是流量解密之后不是你要的flag流量中还有其他规律。他会用一个小数据的流量包进行分割让几个大数量流量包一组进行规律探索。可以参考“华为杯”第二届研究生网络安全创新大赛赛题这篇文章所写的第三题。 面试官隐写有哪些方法 我频域隐写、时域隐写、盲水印隐写音频隐写常见的就是把字段藏入音频中可以用audacity工具进行查看图像隐写比较常用的工具有stegsolve、steghide、zsteg、silenteye之类的。
七、你对我们这个安全测试的岗位是怎么看的
安全测试岗位的职责我的理解是根据项目的需求分析说明书来进行测试像安全测试第一个就是web漏洞把项目部署好后对其进行渗透测试或者对其进行源代码审计从源代码中分析逻辑链判断存在什么样的漏洞或者是如果采用了有已知漏洞的中间件提前进行更新和修改。防止在其部署上线后带来严重的损失。
八、毕业以后的职业规划
这个就自说自呗开放性问题。 申明本文所分享内容仅用于网络安全技术讨论切勿用于违法途径所有渗透都需获取授权违者后果自行承担与本号及作者无关请谨记守法. 没看够~欢迎关注
