(松勤软件测试讯)事情是这样的:上个月松勤软件学院安全班的同学出去面试,其中一个拿到了30k的offer,还有两位同学面试一周都没有拿到最终面试的机会,于是让这位学员把面试过程录音,然后从头到尾分析一下问题。
听了录音之后发现,原来是因为:简历和面试中信息不对等的原因,导致他一个offer都没拿到。
下面松勤软件测试程老师将出现的问题复原一遍(略有改动)
程序员:面试官好!
面试官:你好!你的一些基本情况我已经看过了,你说你熟悉安全测试,咱们面试直接进入正题吧!
程序员:是的,SQL漏洞的掌握是学习安全测试从入门到高级的一个必备技能,所以平时关注得也比较多。
面试官:入门?~好, 那我就来问问,在web页面的什么位置可以进行SQL注入?
程序员:一,HTTP GET 提交中的赋值;二,HTTP POST 提交中的赋值;三,HTTP 头的 Cookie 变量。
面试官:其实在HTTP头的其他位置比如 REFER等也是可能的注入点。按参数类型,说说SQL 注入有几种类型。
程序员:是程序开发人员没有注意书写规范,没有对特殊字符进行过滤造成的。
面试官:说一说小马,中马,大马,一句话木马,挖矿木马,加密木马, DoS木马, php木马,java木马,icmp木马,msf木马,bat木马,python木马?
面试官:说不出来没关系,说说非对称加密的工作过程和暴力破解的方法 ?
面试官:不知道?说一说Linux服务器的防护策略和安全基线。
面试官:行了,现在已经两点了,天色不早,回家等通知吧!
敢要25K!?敢要25K...25K...25K...kkkkkkkk
Linux知识,防御策略,SQL注入,木马的编写,加密解密等都是安全入门必学知识。同时,仅仅了解一点SQL注入的知识远远无法满足成为一个高级安全测试工程师的标准。
要能熟练地利用工具进行漏洞挖掘,充分了解渗透测试流程,掌握安全测试领域方面各种知识,知其然知其所以然,只有这样,在面试的时候,才能游刃有余,测试路上还得不断学习啊!