哔哩哔哩电面

CTF 相关

  • 简述 CTF 攻防赛的流程和一些技巧;

服务器运维

  • 查看当前端口连接的命令有哪些?netstatss 命令的区别和优缺点;
  • Linux 服务器的安全运维操作有哪些?如何保护 SSH?
  • 入侵 Linux 服务器后需要清除哪些日志?
  • 反弹 shell 的常用命令?一般常反弹哪一种 shell?为什么?

渗透测试

  • 介绍渗透测试的流程;
  • 简要介绍自己常用的扫描器和其实现上的特点;
  • 介绍 SQL 注入漏洞成因,如何防范?注入方式有哪些?除了数据库数据,利用方式还有哪些?
  • 如何防范 XSS 漏洞,在前端如何做,在后端如何做,哪里更好,为什么?
  • 介绍 CSRF 漏洞和常用的防护手段;
  • 介绍 SSRF 漏洞,如何深入利用?如何探测非 HTTP 协议?如何防范?

安全运营

  • 如何防范羊毛党(有猫池)?
  • 如果 SRC 上报了一个 XSS 漏洞,payload 已经写入页面,但未给出具体位置,如何快速介入?
  • 发现一个大范围影响的新漏洞,如何快速排查公司资产?
  • 如果你是安全运营的负责人,简要介绍你对安全方面采取的措施;
  • 发现了一个漏洞,你报告给开发人员,但是开发人员不愿意修漏洞,如何沟通?(这是个什么奇怪的问题。。。)