最新大厂安全岗面试题合集(一)

1、 字节跳动-渗透测试实习生

字节直接找朋友内推的效率很高，当天上午投简历，下午就约了面试，裸面挺痛苦的建议复习一下再去

自我介绍

渗透的流程

信息收集如何处理子域名爆破的泛解析问题

如何绕过CDN查找真实ip

phpinfo你会关注哪些信息

有没有了解过权限维持

说一个你感觉不错的漏洞，展开讲讲

输出到href的XSS如何防御

samesite防御CSRF的原理

CSRF防御

json格式的CSRF如何防御

浏览器解析顺序和解码顺序

过滤逗号的SQL注入如何绕过

过滤limit后的逗号如何绕过

fastjson相关漏洞

说一个你知道的python相关的漏洞（SSTI原理，利用过程,payload相关的东西）开放性问答

2、阿里云安全实习

自我介绍

看你简历上说擅长java、php代码审计，也没有类似的经历能够分享一下，比如说独自审的一套代

码或者开源项目，从中发现的一些比较高危的问题

在审项目的时候，比如一个web网站，简单说说思路

简单描述一下什么是水平越权，什么是垂直越权，我要发现这两类漏洞，那我代码审计要注意什么地方

解释一下ssrf

怎么防御ssrf，场景：http://ip/?url=image.jpg

常见的内网段有哪些，他们的掩码是什么

教育系统攻防演练，分享一个渗透的例子

除了学校，有没有试过渗透别的