面試記錄
全程錄了音,所以問題會很詳細地記錄。
這也是我第一次面試。由於不太可能去杭州實習,所以大概率不會有二面。
本來就是抱着試一試的心態,想知道一下自己的水平到底是什麼樣子,想經歷一下面試的場面,爲之後秋招攢一些經驗。
(莫名有點害怕重新聽一遍錄音的)
記錄
- 自我介紹。
- 你主要是學的
Web
安全對吧?那你簡單描述一下XSS
。 XSS
主要包括哪幾種類型?這幾種類型的分類標準是同一種嘛?- 防禦
XSS
一般有哪些做法? SQL
注意除了預編譯之外還有什麼防護的策略?- 我看你還做過網站賬戶安全的東西,那你聊一下網站的賬戶安全體系,比如密碼存儲,傳輸驗證等等。
- 你剛剛說到密碼存儲用到的算法你接觸的是什麼?(我用過
MD5
。還有哪些?SHA256
。密碼只用這些處理就可以了嗎?他可能會出現什麼問題?可能會被碰撞,可以加一個salt
) - 那傳輸過程中要考慮用什麼方式?(用
https
) - 那你瞭解
https
嗎?大概分爲哪兩步?
10.數字加密的算法有哪些?(RSA
) RSA
是個什麼樣的加密算法?(非對稱)- 非對稱加密裏面除了
RSA
裏面還有哪些?(Diffie Helmen
。那你瞭解嗎?不是很清楚。設計這個協議的目的是什麼?這個好像答錯了) RSA
這種加密算法有什麼弊端嗎?(我答了RSA
基於質數分解,如果出現量子計算的話可能快速分解質數,然後就把面試官引向了問我量子計算???震驚)- 量子計算的原理是什麼呢?它爲什麼能區別於傳統計算機?爲什麼算力更強呢?
- 回到剛剛的問題,我其實是想問
RSA
相對對稱加密的優缺點?對稱加密、非對稱加密一般用在什麼場景? (答了一半吧??半路百度了一下,結果邊看網頁編答題,更答不上來了) - 那你說一下數字簽名技術,描述一下流程。
- 你自己有沒有做過一些滲透測試?(大概說了一下我少的可憐的經歷,就一兩句)
- 你有沒有研究過語言的漏洞?比如
x86
、php
等等。(我說php
的一些漏洞做題的過程中有見到過。然後面試官就沒有再問了) CSRF
你有沒有了解過?(大概說了一下過程,就結束了)- 你瞭解反序列化的漏洞嗎?(說了兩個有點印象的,明明我昨天還專門想到來着,感覺答的不是很好,不具體,但是面試官也沒有再多問)
- 你說一下固件的一些相關措施?讓你設計的話你怎麼去設計這個系統?(然後我說我沒有做過固件)
- 然後發給了我一道題,反轉字符串。(我還以爲是考算法題。我就直接
[::-1]
,面試官說也行吧😂) - 你學過哪些安全的課程?(我其實記得我上了哪些課,但我也沒好好上,我怕我說了之後,他問我我不知道的東西…好像實在有些尷尬,我就說了
Web
追蹤,果然…) - 那你描述一下瀏覽器指紋?(關於瀏覽器指紋的這一段答的稀裏糊塗吧。再聽錄音感覺面試官有點失望呀😂😂)
- 瀏覽器指紋還有哪些特性?除了唯一性這種?(需要較長時間不變。又問那怎麼保持這種穩定性?指紋這些有一個數學原理在裏面,是什麼?)
- 然後面試官問我有沒有什麼想問他的。
- 最後又確認了一下是不是隻能在北京實習?吧啦吧啦又聊了幾句。
總共面了38分鐘吧。面試官還是挺好的,語氣基本沒啥變化😂😂,處變不驚的感覺。自己答的感覺吧,反正面完還是挺開心的,再聽一遍覺得也還可以,沒有 然後然後 的,還算連貫。然後就是覺得自己知道東西還是太一知半解了,(不過想想總比一句也答不上來好點😶)。
這次面試讓我知道,哦,原來我也不算是特別辣雞。
答案
XSS
分類?(我就按我的理解寫了)- 反射型、存儲型、
DOM
型 - 反射型:可能需要攻擊者構造一個惡意
url
,受害者點擊這個url
之後,會執行url
中攜帶的惡意代碼 - 存儲型:攻擊者注入的
JS
代碼會被存儲到服務器中,每當有用戶訪問被攻擊頁面,服務器讀取注入的惡意代碼,經瀏覽器解析執行。訪問該頁面的每個用戶都會被攻擊。 DOM
型:通過非法輸入來閉合對應的html
標籤,給某一標籤增加一些屬性,比如說通過單引號閉合,給a
標籤增加onclick
事件。不涉及服務器
- 反射型、存儲型、
XSS
防禦措施?(之前沒有整理過,這個問題感覺就是那種覺得很簡單,但問我,我還真就說不上來)(從《白帽子講Web
安全抄下來的》)httponly
。xss
主要是爲了拿到受害者的cookie
,使用httponly
標記某一cookie
,可以禁止JS
訪問該cookie
- 輸入檢查。對特殊字符進行過濾或者編碼
- 輸出編碼
- 處理富文本時,通過白名單,禁止一些危險的標籤
sql
注入防禦措施?- 預編譯
- 轉義
- 過濾
Diffie Hellmen
是一個密鑰交換協議!!所以它設計的目的就是用來交換密鑰的!!讓雙方在完全缺乏對方私有信息的前提條件下,通過不安全的信道達成一個共享的密鑰。(面試時候有點反應過來了,但是最後也沒說…emm…🙃我到底瞎答了些啥??)貼一個當時公鑰密碼學課的報告吧,感覺自己當時整理的還是挺好的。
- 對稱加密、非對稱加密的優缺點:
- 對稱加密:簡單快捷,密鑰較短,且破譯困難。如果用戶一旦多的話,管理密鑰也是一種困難。不方便直接溝通的兩個用戶之間怎麼確定密鑰也需要考慮,這其中就會有密鑰泄露的風險,以及存在更換密鑰的需求。
- 非對稱加密:加解密比對稱加密耗時。但是比對稱加密更加安全。
- 量子計算原理?(這個就當科普大概瞭解一下吧)
量子比特可以製備在兩個邏輯態0和1的相干疊加態,換句話講,它可以同時存儲0和1。考慮一個N個物理比特的存儲器,若它是經典存儲器,則它只能存儲2^N個可能數據當中的任一個,若它是量子存儲器,則它可以同時存儲2^N個數,而且隨着N的增加,其存儲信息的能力將指數上升,例如,一個250量子比特的存儲器(由250個原子構成)可能存儲的數達2^250,比現有已知的宇宙中全部原子數目還要多。
由於數學操作可以同時對存儲器中全部的數據進行,因此,量子計算機在實施一次的運算中可以同時對2^N個輸入數進行數學運算。其效果相當於經典計算機要重複實施2^N次操作,或者採用2^N個不同處理器實行並行操作。可見,量子計算機可以節省大量的運算資源(如時間、記憶單元等)。
https://blog.csdn.net/zz709196484/article/details/78337387
- 瀏覽器指紋的相關問題我放棄了…