整合一下朋友系列的面试问题总结（安全2020.11.13）

长亭（驻场）：

1.说一下文件包含的原理和产生的条件？
2.上一家为什么离职（必问题）？
3.sqlmap 测试一个post注入点应该怎么测？
3.xss 的种类和原理？怎么测试一个地方有没有xss?
4.xss和csrf的区别？
5.python 常见的一些库？建立http的库有那些？
6.IPS、IDS、WAF怎么部署？
７.假如给你一套蜜罐，你会怎么部署？
８.linux如果被人攻击了怎么发现？查看存放日志的地方？查看日志的命令？查看监听端口的命令是什么？
９.linux你搭建过那些服务器？搭建需要配置什么？
10.说一下三次握手？
11.浏览器访问一个网站经历了什么？例如我要访问bai.com
12.2020护网期间都有那些0day,怎么利用？
13.java和php的反序列漏洞怎么防止？
14.如果一个地方发现有sql注入，你怎么查看他的数据库名，怎么查看表里面的信息？
15.怎么知道一个进程有没有中病毒？

睿和安全（渗透测试）：
1.说一下文件包含？
2.为什么离职这么频繁？你都不知道老板的策略，老板的大局观。
3.说一次你渗透成功的经历？
4.docker容器了解过吗？
5.渗透方面你有什么成绩吗？
6.防火墙的工作原理？专业术语叫什么？

理想咨询（安全服务工程师）：
1.怎么排查病毒？
2.说一下xss产生的原因？
3.docker容器说一下？
4.渗透测试流程？
5.你是怎么学习网络安全的，分享下？

远蓝信息（渗透工程师）
1.讲一下渗透测试的思路？
2.说一下内网怎么渗透？
3.说一下提权的方法有哪些？
4.测试报告你是怎么写的？
5.nessus的工作原理？
6.你复现过什么漏洞？永恒之蓝的原理是什么？
7.用过那些安全工具？msf怎么用？cs怎么用？
8.绕过防火墙的思路？
9.参加过ctf吗？挖过src吗？

长亭安全开发面试内容：
01.Python的多进程和多线程怎么用，什么区别
02.Python爬虫如果返回有问题怎么处理
03.Java反射原理以及可利用点
04.Spring的CVE大都是什么原理，写POC的思路
05.Vue/Webpack等JS框架如何找JS的可利用点
06.Java的反序列化接触过吗，了解底层原理吗
07.如果现在我给你一个RCE，你如何进一步利用
08.Golang的框架了解吗，写过相关项目吗
09.Python的Flask和Django了解吗，写过相关项目吗
10.Docker是什么原理，了解实现原理吗
11.用过哪些安全工具，github上面的知道哪些
12.你是如何学习安全的，参加过CTF等安全相关比赛吗
13.有挖到过存储XSS吗，讲一下思路
14.如果让你写一个反射XSS的漏洞验证脚本，什么思路
15.存储XSS的利用有什么思路吗
16.一个没有回显的漏洞，有什么进一步的思路吗
17.挖过哪些洞讲一下思路
18.接触过反爬虫吗，有哪些应对思路