二零二四年、四月二十五日、大雨、360渗透测试面经
下午下大暴雨,下了课赶紧溜进桑梓办公室草草准备面试,但是又准备不下去就fofa搬了会砖 五点半腾讯会议上边准时开始,面试官在工位上直接面试。每一个技术面HR都是百忙之中抽身来面试的,很少会有HR搞些谜语人问题来测试这测试那的。 HR几乎没问无聊的八股,趁着开头自我介绍的两分钟,他把简历过了一遍,然后几乎是照着简历一行一行地问。
自我介绍完,就直奔项目和实习经历;我得老实说简历上面的经历我几乎都夸大地吹着写的。例如我第一点写道“搜集安全咨询、重大安全事件、爆出漏洞”,即便如此也就罢了,我还手贱写了“搜集重大漏洞POC”,HR直接问我近期的重大POC我写了哪些,一来就露馅了。草草说了个不痛不痒的cms Nday和一些老掉牙的漏洞。
HR逐行拷打简历,又问道基线检查我是如何做的,用了哪些工具。我肯定不可能直接告诉他我只是负责校验脚本手动分级的文工,只是夸大着说了一些编写验证和加固脚本的经历应付过去。 下一个问题是渗透测试,问我有没有独立完成过渗透测试,我不敢说是,只好说是三四个实习生一起做然后打包报告;又问了挖过的一些比较负责的逻辑洞。我把这辈子能想到的最复杂的情形都枚举了一下,把一个平平无常的交易支付金额修改描述了一下,还描述得十分混乱,给人一种不是自己挖的感觉(确实是
最要命的是我简历里面还提到了代码审计。直接被问到代码审计常用的工具。哈哈我的乖乖,代码审计不就是读代码吗,我会个锤子工具。我只好把我看开源cms的经历搬出来,就讲了看过一个博客类cms的项目,把里面的接口大致分析了一下,看了看有没有信息泄露和SQL注入漏洞之类的(其实本没看这么深,我甚至想在后端代码找前端JS加密的思路,笑嘻了 最后两个是docker搭建靶场,问了打过哪些靶场,常用的渗透测试工具,我脑子抽了连这些个工具都要说不出来了,胡乱说了两三个常见得批爆的工具,没有任何令人深刻的回答。。。 有趣的是,HR听到我七月才能入职的时候似乎有些惊喜。我想,这大抵是给他拒绝我一个绝佳的机会了,不必戳穿大三实习生脆弱的心灵,告诉他们时间不合适,便是最大的仁慈了。
我还得再在网宿沉淀一下,多熟悉熟悉工具,和一些常见的渗透思路。把脑子打开。再扩大技术栈,学一学软件逆向,js逆向和小程序、安卓逆向吧。至少在六月之前,不要再想着暑假实习的事了。切勿好高骛远,务必脚踏实地。