记一次面试经历
早上去9点出门去面试,地点离学校也就三个公交站,第一次去怕找不到就早点出门,大概45分到公司。
hr让我坐下等等,到10点了她领了一个男生过来带我,估计是刚毕业不久的,23-25岁之间,他带我去了一间会议室,给了一份笔试题,说半个小时后过来看,我不到15分钟就做完了,有几道web方面不会直接放空,然后他结合试题和我的简历问了一些问题后,提及比赛经历,项目经历,负责的内容,看了试题他很清楚我web方面的几乎没基础(虚,也是事实),密码学部分和缓冲区溢出答得不错(这让我放心了一点点),还问了我熟悉的语言,最近在学的h5,css3,js学习出发点是什么,然后web安全方面我了解太少,但可以把Python工具的一些开发任务交给我来做,问我是否愿意学python?我回答说愿意,本来就有计划接下来要学PYthon的。然后他说让我等等,他得跟他老大沟通一下。
我又坐在沙发上等了一会,其间,有一个挺好看的女生也坐下来,看样子也是来面试的,我觉得玩手机不太好,就主动与她聊了几句,知道她是来面试会计的,从广州过来,工作已三年,过一会儿,男生过来领我去办公室见老大,年龄30-40之间,他先让我自我介绍,然后问起我的职业规划,从事安全行业的出发点是什么,明显专业老练了很多,然后提起CTF,跟前面的男生一样,会问比赛的性质,参赛队伍多少,拿到名次多少,举办方,我负责的模块,团队人数,带队老师,不过,老大还问我知不知道蓝莲花?显然老大对高校网络安全建设和CTF比赛是有了解的,我说认识,bluetotus,结束了话题。其实对名字印象很深,好像跟上交大、姜开达老师,Defcon,百度有关,但不太确定就没有说太多(还是应该说多点的2333),然后是年龄问题,问我是不是跳级了。。。父母是干什么的?哪里人?家里几个兄弟姐妹?怎么查起户口了。。。。估计想弄明白我一个女生从事这个行业的目的把。接着问我对那一门课最感兴趣?我说计算机安全导论,然后说语文,数学,英语这三门课呢?我说数学。回来想想,我应该说三门主科全面发展(理综不好233),语文是我喜欢的科目,高中花的时间不多;英语一直是不费力气分最高的(特别是阅读理解,对此我也不解怎么以前的同学英语花那么多时间还是考不好,得瑟下),而数学是花最多时间的,也感兴趣的)。接着稳网络基础怎么样,我说还行,其实网络没学好2333,一直想恶补。。然后他说你说说常见的端口?脑子里只记得0-1023是公认端口,1024-65535可以随便用,答不出来他又提示比如telnet是23端口,不好意思,我没了解(脑子怎么不好使了),路由追踪命令是什么?Ip和域名的对应关系?呀,明明有印象,却想不起来了。。。摸清我的底,老大说,你说你要从事这个行业,你怎么连网络基础知识都答不上来啊?尴尬。。。。问我还有没有问题?我说没问题了,但是想表达一下,我知道自己的分量,但是愿意学习,愿意一直学习,希望公司能给我一个机会?他说,他明白,毕竟还是学生,不懂也正常,也愿意给我机会,但是还要再沟通一下,周五无论如何都会给我答复。
去年的华鑫,在深圳去的第一家公司,第一次简历发到师姐hr邮箱,去公司时觉得不太适合我,没时间没精力,不了了之,不过师姐也提出简历太简单了,多写点东西,哪怕没东西也可以把大作业什么的写上去。第二次去是快寒假的时候,想实习了,师姐说直接去龙岗,没带简历就去了,被师姐反问,你连简历都没带就想来我们公司啊?你能做什么?尴尬。。。然后说我回去考虑考虑,再发简历给师姐。结果那天,来回三个小时地铁,站足三个小时,头晕目眩,不是想说我娇气(2333),真的好累,外面阳光高照,地铁里对着空调吹,快感冒了,而且这学期忙学习熬夜什么的,整天坐着,抵抗力明显下降了,并且才1500,交通补贴都不够,舍友也劝,别着急,我可以找到更好的。我便回去发信息说不去实习了,回家先。
这家公司不知道算不算我第一次面试呢?
---------------------------------------------分割线--------------------------------------------------------------
先放下今天的笔试题,(靠回忆的),然后一一百度了答案,内容相关的也附上链接,方便以后查看:
1、常见的密码算法:流密码:RC4,分组密码:DES,3DES,公钥密码:RSA
2、对称和非对称的区别:非对称密码体制和传统的对称密码体制相比较,对称密码体制加密的优点是速度快,加密解密所需要的计算量小,而缺点是密钥管理工作量很大;公钥密码体制(即非对称公钥密码体制)加密解密所需要的计算量很大,但是密钥管理工作量很小。
3、CSRF和XSS的区别:
网上的答案各有各说法,小白看了好乱,我翻了翻web前端黑客技术揭秘中XSS,CSRF两章,还是经典的书适合入门,将定义摘抄如下:(在道哥的白帽子讲web安全中xss、csrf都属于客户端脚本安全)
XSS, Cross Site Scripting,即跨站脚本攻击,发生在目标网站中目标用户(强调场景)的浏览器(解释执行)层面上,当用户浏览器渲染整个html文档的过程中出现了不被预期(输入了可控的脚本内容)的脚本指令并执行时,XSS就会发生。
XSS有三类:反射型、存储型、DOM XSS。
CSRF:Cross Site Request Forgery,即跨站请求伪造,两个关键点:跨站点的请求(字面定义的来源是其他站点)、请求是伪造的(不是用户的意愿)。
4、option方法的作用:www.jb51.net/article/44657.htm
5、web应用中会话令牌:会话令牌
6、Ping命令属于什么协议,处于网络模型第几层:ICMP协议,网络层
7、脱壳方法:脱壳
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
(1)、关闭端口或服务。管理员应该知道自己的系统上安装了什么,并且哪些服务正在运行
(2)、安装软件厂商的补丁,漏洞一公布,大的厂商就会及时提供补丁
(3)、在防火墙上过滤特殊的流量,无法阻止内部人员的溢出攻击
(4)、自己检查关键的服务程序,看看是否有可怕的漏洞
(5)、以所需要的最小权限运行软件
9、斐波那契数列编程实现
10、路由追踪命令:tracert
11、IP和域名的对应关系:
通常情况下一个域名同一时刻只能对应一个IP地址。但是在域名服务商那里,你可以把服务器群里面的多个提供相同服务的服务器IP设置一个域名可以轮询。但是同一时刻,一个域名只能解析出一个IP供你使用。这些IP可以轮流着被解析。这些IP其实对应的服务器提供的是同一种的服务。
一个IP可以绑定无数个域名,这个没有限制。
12、常用端口
13、SQL注入
