渗透测试工程师面试问题小记

最近春招准备面试，特开此博客记录从毕业到现在的一些安服渗透测试面试问题，也希望可以帮到一些同样在准备面试的表哥们（按问题频率由高到低排列）

 

　　WEB渗透：

1. 挖到过你认为最有意思，或危害最大的一个漏洞
2. 说一下你平常测试的渗透思路
3. 要是给你一个只有登录界面的后台管理系统，你有什么思路
4. SQL注入的分类，以及绕过waf有什么思路　　

　　

　　应急响应：

1. 简述一下你的应急思路，要是web端出现问题，该如何去排查
2. DDOS攻击接触过嘛，CC攻击呢，该如何防御

 

　　代码审计

1. 做过代码审计吗，要是交给你一个网站前后端全部的代码（JAVA站点），你该如何去审计

 

　　内网渗透

1. 平时后渗透接触的多吗，如何查找域控服务器，通过一个webshell到拿下域控服务器，你的思路是什么，正向代理反向代理了解吗