(松勤软件测试讯)事情是这样的:上个月松勤软件学院安全班的同学出去面试,其中一个拿到了30k的offer,还有两位同学面试一周都没有拿到最终面试的机会,于是让这位学员把面试过程录音,然后从头到尾分析一下问题。

 

听了录音之后发现,原来是因为:简历和面试中信息不对等的原因,导致他一个offer都没拿到。

 

下面松勤软件测试程老师将出现的问题复原一遍(略有改动)

 

 

程序员:面试官好!

 
面试官:你好!你的一些基本情况我已经看过了,你说你熟悉安全测试,咱们面试直接进入正题吧!

 

程序员:好的!
面试官:嗯,对SQL注入漏洞有一些深入了解是吧?
 
程序员:是的,SQL漏洞的掌握是学习安全测试从入门到高级的一个必备技能,所以平时关注得也比较多。
面试官:入门?~好, 那我就来问问,在web页面的什么位置可以进行SQL注入?

 

程序员:一,HTTP GET 提交中的赋值;二,HTTP POST 提交中的赋值;三,HTTP 头的 Cookie 变量。
面试官:其实在HTTP头的其他位置比如 REFER等也是可能的注入点。按参数类型,说说SQL 注入有几种类型。

 

程序员:数字型,字符型,搜索型。
面试官:按返回结果,说说SQL 注入有几种类型。

 

程序员:回显注入,报错注入,盲注。
面试官:说了这么多注入,它们是什么原因造成的?

 

程序员:是程序开发人员没有注意书写规范,没有对特殊字符进行过滤造成的。
面试官:说一说小马,中马,大马,一句话木马,挖矿木马,加密木马, DoS木马, php木马,java木马,icmp木马,msf木马,bat木马,python木马?

 

程序员:这是背顺口溜吗 ?
面试官:说不出来没关系,说说非对称加密的工作过程和暴力破解的方法 ?

 

程序员:......
面试官:不知道?说一说Linux服务器的防护策略和安全基线。
面试官:这些都不知道,你写什么熟悉啊?
 
程序员:······
面试官:行了,现在已经两点了,天色不早,回家等通知吧!
 
程序员:我写的熟悉又不是精通,你是不是故意整我?
面试官:安全测试都不敢写精通,你敢要25K?
敢要25K!?敢要25K...25K...25K...kkkkkkkk
 
 

你知道你和高薪的距离在哪里吗?

 

Linux知识,防御策略,SQL注入,木马的编写,加密解密等都是安全入门必学知识。同时,仅仅了解一点SQL注入的知识远远无法满足成为一个高级安全测试工程师的标准。

 

要能熟练地利用工具进行漏洞挖掘,充分了解渗透测试流程,掌握安全测试领域方面各种知识,知其然知其所以然,只有这样,在面试的时候,才能游刃有余,测试路上还得不断学习啊!
 

@松勤教育丨以工匠精神,专注IT在线教育(www.songqinnet.com