那些年走过的信安面试路
作者:互联网
zhukaiang7 FreeBuf
前言
唬得住面试官50K,唬不住5K。
公司一个银行外包项目,通知我明天跨省去面试,低调混了这么久,正好拿出时间分享下一些常规经验吧。
第一步:岗位需求
一般我们平时看到的招聘需求都是直接复制粘贴的,面试官说不定都没仔细看过,甚至是某些HR从乱七八糟的网页上贴上直接骗人来公司面试给他增加绩效的。
比如下图中的要求:
我画圈圈的这句话,JAVA程序,然后后面给了一堆PHP程序的例子,这招聘要求一点都不走心。
不扯其他的了,回到重点。
这次给到我邮件的需求是:
目前总需求约为2人。要求学历二本及以上,计算机相关专业,有2年以上信息安全实战经验;熟悉常见网络***手段和验证方法,熟悉常见的web漏洞,并能深入了解漏洞原理,熟练使用各种web安全测试工具,了解一种以上的数据库(包括但不限于Oracle、Mysql、Sql Server或DB2数据库),熟练掌握PL/SQL,执行力强,善于沟通与合作,有优良的服务意识,身体健康。
大致一扫,除去花里胡哨的东西,要求非常简单,大致判断此次面试为公费旅游。
第二步:分析需求
需求2个人,那么我一个人的话,就有200%的机会面试过关。(没毛病)
挖洞经验全靠吹,比如 补天平台TOP300,漏洞盒子TOP100,SRC年度前三,众测排名前列。
这是炫耀自己平时挖洞的战果。
一定要加上自己是某知名安全团队的核心成员,如果害怕唬不住,我们不能像helen一样说自己是中国匿名者负责人吹牛逼,不过可以说自己是XXX安全团队创始人,让他查去吧。(反正他也查不到)
这是告诉对面我们是有团队支撑的,我不是一个人。
学历方面的话,还在上学的同学们要好好准备高考,因为很多单位,尤其是国企和事业单位之类的,学历还是挺关键的,已经毕业的同学,可以相办法考个大专,然后再找机会专转本。
这是展示自己学历。
有证书的话可以再把自己拥有的证书列出来,比如CNVD原创漏洞,CVE编号,cisp,ccie,cissp,pmp等等,英语四级证书还有驾驶证就别写出来了。切记!
这是加分项。
随便审计一个没人抢的源码,CVE就随便拿了。
以上是自我介绍的时候说的
第三步:常见的web漏洞
常见的web漏洞,你要是问面试官,估计他也不一定能清晰的表达出来,这里我推荐《OWASP Top 10 2017》
推荐可以看下这个PDF:http://www.owasp.org.cn/owasp-project/2017-owasp-top-10/。
里面详细介绍了漏洞原理及漏洞的修复方法。最好背出来,刚毕业那会面试***实习生,有位面试官,让我默写OWASP TOP 10_2013
心里有一种日了狗的感觉,因为真的没有去记过。
说起常见漏洞,要是加深提问,可能会难倒很多人。
比如:
问:XSS , 分几类,分别是哪几类。
答:3类,反射型,存储型,DOM型。
再问:反射型和DOM型有什么区别?
答:???
再再问:可能我描述不清,那我具体点,反射型和DOM型他们跟服务器有交互吗?
答:有?没有?
这就是基础不牢靠的原因,面对这种情况,我们有两种解决方法:
1. 好好学习基础,下次联想到我们输入反射型XSS Payload时,有WAF拦截提示的时候,我们就知道反射型跟服务器是有交互的。
2. 套路的话,答非所问,面试官问我们这个问题,主要考察的是对XSS的认知,所以我们不能因为不知道就瞎说,甚至回答不懂,我们要把自己对3种XSS类型的理解清楚的陈述给面试官,尽管你回答不出来,那么这个问题也不会让你扣分太多,因为面试官从你的对话中判断出你对XSS真的还是了解的,只是没有特别精通罢了。
基础真的涉及太多太多东西,划重点,千万不能回答不知道。想办法扯到自己精通的方向。自行发挥
附上我以前发的一个精短的面试总结:
阅读量超过1W,还算比较热门,就是因为这里重点梳理的非常明确,给接下来的面试者提供了面试准备的方向。
第四步:各种web安全测试工具
有些人可能真的只讲自己用的,比如burpsuite,sqlmap,awvs,讲完就不说话了。
这个时候面试官往往会不太满意。
其实这个是吹牛P的好机会,虽然问的是web安全测试工具,但是我们拓展讲,那就是安全***工具了。
我大致分这几个类:
第一类:扫描类
Nmap,Awvs,Appscan,Netsparker,Burpsuite 也直接说自己在github上有自己写的开源扫描工具。展现了自己的开发实力,重点加分项,因为有时候可以把你当开发用。
第二类:注入类
sqlmap,其他我就不说了
第三类:抓包类
Burpsuite,Fiddler
第四类:爆破类
msf,九头蛇(hydra)
第五类:内网***类
nc(瑞士军刀),mimikatz,hashdump, msf, powershell
说的越多越好,反正面试官也听不清,你说的越多,让人感觉越牛P。
第五步:数据库的了解
其实每个数据库都有自己的优缺点,这里笔者直接梳理几个容易记的。
1. Oracle:安全性高,价格昂贵,支持多用户大数据的处理
2. Mysql: 所有公司最常见的数据库,中小公司的最爱,甚至淘宝都用的是mysql分布式数据库
常见针对mysql的提问,会问到mysql的手工注入
一定要知道mysql 5.0以上才有information_schema,我们可以直接从该表读出数据库的用户名密码,5.0以下不可以直接爆库,爆表,5.0以下是多用户单操作,5.0以上是多用户多操作。
一些常用的手工注入函数理解见:https://txf7.xyz/2017/06/01/sqlt盲注/。
问的深入点,可以问:
mysql注入点,用工具对目标站直接写入一句话,需要哪些条件?
如图所示:
一般我们只回答:
网站绝对路径,root可写权限
多答出2点,你就赢了,虽然在实战中,第三点和第四点是废话。面试官不知道你在讲什么,但是又会觉得你讲的很有道理的样子。
3. Sql Server:只支持windwos,操作简单,安全性及性能都不咋地。
4. DB2:操作简单,同时提供GUI和命令行,能在所有主流平台上运行(包括windows)。最适于海量数据。
这一般,我们直接选择最简单的mysql讲就行了。
第六步:简历
先给大家看个上次有个大佬收到的简历:
这份简历拿到手,我只能会心一笑。
简历非常重要,是面试官看人的第一印象,就像我们约妹子一样,第一眼的印象决定了后面你与他的进展速度。
这就是人们常说的第一印象很重要。
也收到过写的尚可的简历:
第七步:后言
安全行业,要常常关注我们行业的消息,因为一不小心,你就有可能赚到几十万的QB。
当然这貌似薅羊毛薅的有点过分了,也告诉我们关注安全动态的重要性,往往一个0DAY变成1DAY之后还能为你在漏洞平台刷到不少钱。
*本文作者:zhukaiang7,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
标签:web,面试官,漏洞,信安,数据库,面试,走过,mysql 来源: https://blog.51cto.com/u_15127601/2756951