奇安信

说说当时市hw

java反序列化了解吗

不了解

那就是给你一个poc你也不会用是吧

(操,早知道先当一个脚本小子)

fastjson

不会

shiro

不会

结果:寄

不知道哪个中介

怎么流量分析

wireshark

wireshark怎么查找webshell

按特征查吧,危险函数什么的

结果:寄

国誉网安

看到一个登录框想到什么漏洞

sql注入,xss,log4j

xss绕过方法

说一下csrf

说一下ssrf

sql注入有哪些

报错注入的函数

sql注入写shell需要满足的条件

中了挖矿病毒该怎么办

结果:寄

说实话,这我百思不得其解,问的的都不难,基本每个问题我都回答出来了,而且我个人觉得答得挺好的,面试官也不错,每个回答完后会都满意的说一声ok,结果这居然歇逼了,百思不得其解

不知道哪个中介

说一下市hw

说一下文件上传漏洞

说一下ssrf

owasp top10

log4j特征

我回答的是有jndi,ldap

有什么想问我的

结果:通过

说是给我推到启明星辰,但是到现在都没消息。。。

不知道哪个中介

msf如何抓取密码

不会

ssrf打redis用哪个端口

当时脑子抽了,说3389,然后面试官又重复了一遍,我说redis不是3389吗,( 我tm想抽死自己,一紧张就开始瞎几把乱说)

fastjson

不会

shiro

不会

结果:寄

属于是一问三不知了,这要是过了天理难容

天融信

讲一下市hw

owasp top10

有没有用过安全设备

安全狗

那说说sql注入怎么绕安全狗

反序列化漏洞

java的反序列化不会

那PHP的反序列化会的是吧?说一下相关的魔法函数

这些魔法函数会造成什么漏洞

webshell流量特征

结果:通过

总结

今年人特别多,特别卷,可能一两百个人里挑几个初级,不会java安全基本gg

(我真是服了,我就当个蓝队初级,看看设备,封封ip不就完了吗,尼玛面试各种java安全相关,面你大爷)