奇安信

说说当时市hw

java反序列化了解吗

不了解

那就是给你一个poc你也不会用是吧

（操，早知道先当一个脚本小子）

fastjson

不会

shiro

不会

结果：寄

不知道哪个中介

怎么流量分析

wireshark

wireshark怎么查找webshell

按特征查吧，危险函数什么的

结果：寄

国誉网安

看到一个登录框想到什么漏洞

sql注入，xss，log4j

xss绕过方法

说一下csrf

说一下ssrf

sql注入有哪些

报错注入的函数

sql注入写shell需要满足的条件

中了挖矿病毒该怎么办

结果：寄

说实话，这我百思不得其解，问的的都不难，基本每个问题我都回答出来了，而且我个人觉得答得挺好的，面试官也不错，每个回答完后会都满意的说一声ok，结果这居然歇逼了，百思不得其解

不知道哪个中介

说一下市hw

说一下文件上传漏洞

说一下ssrf

owasp top10

log4j特征

我回答的是有jndi，ldap

有什么想问我的

结果：通过

说是给我推到启明星辰，但是到现在都没消息。。。

不知道哪个中介

msf如何抓取密码

不会

ssrf打redis用哪个端口

当时脑子抽了，说3389，然后面试官又重复了一遍，我说redis不是3389吗，( 我tm想抽死自己，一紧张就开始瞎几把乱说)

fastjson

不会

shiro

不会

结果：寄

属于是一问三不知了，这要是过了天理难容

天融信

讲一下市hw

owasp top10

有没有用过安全设备

安全狗

那说说sql注入怎么绕安全狗

反序列化漏洞

java的反序列化不会

那PHP的反序列化会的是吧？说一下相关的魔法函数

这些魔法函数会造成什么漏洞

webshell流量特征

结果：通过

总结

今年人特别多，特别卷，可能一两百个人里挑几个初级，不会java安全基本gg

（我真是服了，我就当个蓝队初级，看看设备，封封ip不就完了吗，尼玛面试各种java安全相关，面你大爷）