记人生中的第一次面试

前言：

    大家好鸭，很久不见啦~

    前段时间一直在准备面试，大大小小的面试，也体验了几次，所以这次来分享一下面试的经历。

    一开始你和面试官都不认识，对叭，怎么能让面试官快速的认识你呢，了解你，并且对你感兴趣呢？你的自我介绍一定一定一定要准备充分，除了一些你的基本信息之外，要重点突出你的经历，参过那些项目，做过那些东西，学到了什么，说的时候一定要表现出你对这个行业的热爱，你对工作的热情。让面试官感受到！

    其实，对于刚上车的伙伴们来说，面试官对于一个实习生要求其实重点看的是实习生的应变能力、学习能力和对工作的态度~

技术面试：

1、一个登录的页面会存在那些安全问题？

弱口令，爆破，SQL注入，敏感信息泄露

2.对那种编程语言最熟悉?

这个因为我们也就最近学过python，虽然在必修课的时候学过些java，c++但自我感觉还不到能说出口的地步。。

3.用python做过那些事情？

好在上个月还用python编写了一个 简单的poc，

4.编写poc常用的库？

re（正则请求库），request（网络请求库）

5.暴力破解应该怎样防范？

限制登录次数，增加多重认证

6.验证码有哪些绕过的方式？

绕过验证码。跳过验证码直接访问需要的页面内容。

请求头中自带验证码。有些网站的验证码会在前台 js 校验服务器生成的验证码会在请求头中。可以获取请求头，并把验证码解析出来。

session不刷新。有的网站验证码验证成功后，直接获取请求资源。（忘记了刷新 cookie 对应的验证码）可以预先设定一个 cookie和验证码。利用这个漏洞访问网站。对于多线程无法控制以及有些网站验证码定期不访问失效问题。可以添加一个定时访问程序来 解决

利用第三方插件。对于有些网站验证码比较简单。只含阿拉伯数字和英文字母。可以用第三 方的插件来识别。例如：tess4j、tesseract

有些网站的验证码是从库中随机取出一个来的。对于这类静态的验证码。可以自己建立一个验证码静态库。自己建立好图片和验证码答的链接。采用map的映射方法就可以进行识别。

7.在windows里查看当前目录的命令?

dir

8.在linux查看当前命令？

pwd

9.查看当前文件的信息和权限

ls -al

10.ctf当中负责的部分？

11.自己是否独立做出ctf的题？

12.自己未来的规划？

项目管理面试：

1.后期发展规划

2.准备在什么时候做出职能的变化。

3.为客户做安全服务的价值，是如何体现的，帮客户解决什么问题

4.实习的时候会做到渗透测试、代码审计

初级–漏洞扫描

中级–独立渗透测试能力

高级–代码审计项目

主要依赖实习生的规划

还是那句话，你有多少的能力，赚多少的钱

人永远无法赚到认知外的钱