230323美团应用安全部门一面

之前忘了发,整理了一下美团一面的面试题
ps:一面就寄了QAQ




自我介绍

询问实习经历

为什么接触网络安全?

你们俱乐部是怎么学习分享的?

都挖到过什么漏洞?

重放,并发漏洞的原理?

ssrf怎么利用?

redis拿shell方法?

常见的加密方式?

对称加密和非对称加密比如哪些?

ssrf绕过方法?

dns重绑定怎么修复?

无回显ssrf在内网怎么利用?

sql注入原理?

sql注入修复方案?

预编译是不是可以绝对防止?为什么不能防止?

sql注入怎么扩大战果?

如果给了你一个url参数sql存在报错,那么你怎么判断是否存在注入?

介绍一下domxss?

xss有什么绕过方式?

<xxx='$value'>(这里美团是在牛客上面试的,所以直接给我html代码问我如何绕过)如果单引号被过滤你该怎么绕过?

你最常用的哪个渗透工具?xray呢?

frp原理?

渗透测试思路?

内网有没有实战经验?

你挖src信息搜集有什么诀窍吗?或者说和别人不一样的方式有吗?

代码审计对什么语言比较熟悉?

可不可以写一些脚本?

用python获取一个页面的状态码和前端代码?

如果是一个json回显,你能获取到json data的key值吗?

java有什么安全漏洞?

java多态和继承是什么?

fastjson反序列化原理?

你有关注过最近的什么漏洞吗?

同源策略是什么?跨域是什么?

TCP三次握手说一下?

OSI七层模型说一下?

TCP、HTTP协议分别在哪一层?

除了nmap,还有什么端口扫描器?

http和https的区别?

http有哪些状态码?

image

posted @   LinkPoc  阅读(127)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示