Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

同程面试题 #21

Open
mylamour opened this issue Apr 17, 2018 · 0 comments

Comments

@mylamour
Copy link
Owner

commented Apr 17, 2018

4月11号来自同程的面试题: neargle 和张维垚
先是根据项目详细询问了webshell检测,然后以及其他的问题。没想到的是问的还问了git的使用,有点意外。

  1. nmap 的扫描方式? 怎么判断服务器信息,哪些常用命令? banner之外呢?

暂时PASS

  1. 扫描服务器(CDN背后)得到的端口一定是一台服务器上的吗?

不知道,这个的话,我今天想想其实可以不在一个目标服务器上的。但一定在当前托管的网站上,要不然lamda服务器,serverless服务器? 仍需深入了解

  1. 如何获取到托管在服务器背后的真实ip.

以前在网上看到说是多地ping,其实POC-T的bingc插件或者根据子域名ip,然后扫描整个子域名的网段,也是能获取的。

  1. 哪些子域名获取方式.

dnsdumpstar, Sublist3r, visualsitemapper,layer子域名挖掘机certstream(https的比较好,缺点是有可能有失效的), nmap的dns-enum脚本也可以, 搜索引擎的site方式。总的来说就是枚举,解析记录,数据库。

  1. DMZ以及办公网络安全知识,如何建设办公室网络安全,内网安全?

不是很清楚,值得深入,但暂时不会关注。

  1. 用过哪些库写爬虫,requests 和phantomjs的区别,应用场景. 常见的反爬虫技术,以及如果绕过反爬虫.
  2. 打过CTF没,挖过0day没,常规的渗透简述

由于之前没有打过CTF,也没挖过0Day, 现在在玩初级的ctf.try(inndy师傅的场子), web的已经不能做了,只能先做其他的了。

  1. Sqlmap的常用方式,你会使用哪些常用的命令以及哪些命令行,等.

  2. 如何进行一次XSS,你的xss检测流程是什么? (Ask my self.一次完备的XSS检测应该是什么样子的?)

对可变量的输入进行测试以及对响应的分析,payload是最方便的

  • 自动化测试和XSS扫描器怎么实现。
  1. CNN为什么能进行文本分类,谈谈你对CNN的了解.
  2. 使用过哪些msf模块,谈谈你对这些模块的使用.
  3. 有无golang的使用经验.
  4. 了解不了解设备指纹.

Todo

可以在同程做的事

  • 身份证识别
  • 验证码识别以及简验,看不见的验证码

验证码识别的话,我只跑过网上简单验证码的识别模型. 简验是非常棒的想法,产品体验应该很不错。要是能有所创新更好。

  • HIDS驭龙的机器学习
  • webshell检测

和驭龙的机器学习一样都是要偏检测方向

Other

  • 如何进行好的自我介绍

以前没有做过准备,觉得随缘就好了。现在看看,还是要准备一下,做一个准备,思考好,可以让别人更了解一下。 触见皆缘(来自今天看到的)

  • battle salary
  • 自我学习能力,兴趣驱动能力.

Backup

爬虫问的不是很深,不过张维垚大佬也说了,问的有点基础了。最终个人感觉技术得到了一定的认可,了解了关于技术,工作,兴趣和生活爱好之类的话题,还对工作方向做了进一步的了解.但是薪资不是很确定(or理想),其实个人依旧是想去的。聊了几个小时,张维垚大佬说如果按照我的两个方向的话,目前团队里缺乏老人带路。渗透向的不在,机器学习的高度只能是爱好与互相交流的水平。占在我的角度考虑,并不是很建议去苏州发展。 从另一方面也许是婉拒。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
1 participant
You can’t perform that action at this time.