230323美团应用安全部门一面
之前忘了发,整理了一下美团一面的面试题
ps:一面就寄了QAQ
自我介绍
询问实习经历
为什么接触网络安全?
你们俱乐部是怎么学习分享的?
都挖到过什么漏洞?
重放,并发漏洞的原理?
ssrf怎么利用?
redis拿shell方法?
常见的加密方式?
对称加密和非对称加密比如哪些?
ssrf绕过方法?
dns重绑定怎么修复?
无回显ssrf在内网怎么利用?
sql注入原理?
sql注入修复方案?
预编译是不是可以绝对防止?为什么不能防止?
sql注入怎么扩大战果?
如果给了你一个url参数sql存在报错,那么你怎么判断是否存在注入?
介绍一下domxss?
xss有什么绕过方式?
<xxx='$value'>(这里美团是在牛客上面试的,所以直接给我html代码问我如何绕过)如果单引号被过滤你该怎么绕过?
你最常用的哪个渗透工具?xray呢?
frp原理?
渗透测试思路?
内网有没有实战经验?
你挖src信息搜集有什么诀窍吗?或者说和别人不一样的方式有吗?
代码审计对什么语言比较熟悉?
可不可以写一些脚本?
用python获取一个页面的状态码和前端代码?
如果是一个json回显,你能获取到json data的key值吗?
java有什么安全漏洞?
java多态和继承是什么?
fastjson反序列化原理?
你有关注过最近的什么漏洞吗?
同源策略是什么?跨域是什么?
TCP三次握手说一下?
OSI七层模型说一下?
TCP、HTTP协议分别在哪一层?
除了nmap,还有什么端口扫描器?
http和https的区别?
http有哪些状态码?
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步