230323美团应用安全部门一面

之前忘了发,整理了一下美团一面的面试题
ps:一面就寄了QAQ




自我介绍

询问实习经历

为什么接触网络安全?

你们俱乐部是怎么学习分享的?

都挖到过什么漏洞?

重放,并发漏洞的原理?

ssrf怎么利用?

redis拿shell方法?

常见的加密方式?

对称加密和非对称加密比如哪些?

ssrf绕过方法?

dns重绑定怎么修复?

无回显ssrf在内网怎么利用?

sql注入原理?

sql注入修复方案?

预编译是不是可以绝对防止?为什么不能防止?

sql注入怎么扩大战果?

如果给了你一个url参数sql存在报错,那么你怎么判断是否存在注入?

介绍一下domxss?

xss有什么绕过方式?

<xxx='$value'>(这里美团是在牛客上面试的,所以直接给我html代码问我如何绕过)如果单引号被过滤你该怎么绕过?

你最常用的哪个渗透工具?xray呢?

frp原理?

渗透测试思路?

内网有没有实战经验?

你挖src信息搜集有什么诀窍吗?或者说和别人不一样的方式有吗?

代码审计对什么语言比较熟悉?

可不可以写一些脚本?

用python获取一个页面的状态码和前端代码?

如果是一个json回显,你能获取到json data的key值吗?

java有什么安全漏洞?

java多态和继承是什么?

fastjson反序列化原理?

你有关注过最近的什么漏洞吗?

同源策略是什么?跨域是什么?

TCP三次握手说一下?

OSI七层模型说一下?

TCP、HTTP协议分别在哪一层?

除了nmap,还有什么端口扫描器?

http和https的区别?

http有哪些状态码?

image

posted @   LinkPoc  阅读(128)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· DeepSeek火爆全网,官网宕机?本地部署一个随便玩「LLM探索」
· 开发者新选择:用DeepSeek实现Cursor级智能编程的免费方案
· Tinyfox 发生重大改版
· 独立开发经验谈:如何通过 Docker 让潜在客户快速体验你的系统
· 小米CR6606,CR6608,CR6609 启用SSH和刷入OpenWRT 23.05.5
点击右上角即可分享
微信分享提示