业务安全类面试参考

Question

1、SDLC，项目有部分是 SDLC，从业务需求开始就介入，需求评审、代码审计、安全测试整个流程，安全培训，做把一些东西想要自动化，测试过程，代码审计过程；

2、负责一个业务，安全流程跟进一下，某些类型测试，自动化，推广使用

3、代码审计工具，安全扫描 app-scan，一个需求、活动、要不要上线，设计阶段就有问题，设计阶段提出问题就避免开发阶段返工开发

4、功能测试有没有接触过

5、IPS/WAF、二进制、内网渗透，哪方面更擅长

6、业务安全与二进制跨度挺大，怎么解决这个问题

7、业务安全与需求相关，敏捷开发，跟进需求有没有风险，防止数据泄露相关，风险控制类的东西，业务会上一些活动

8、讲一下工作经历

9、黑链，做哪些工作

10、判断黑链正则，自动化脚本的内容

11、主要语言是什么

12、IPS/WAF 测试效果

13、黑链工作，是负责收集数据

14、漏洞规则库，也是这种类型，写过这方面的正则吗

15、攻击 poc 是自己写的

16、SQL 注入怎么生成有效 poc 产生绕过规则

17、fuzz 负责哪一部分

18、漏洞挖掘，实战经验

19、SRC 授权，漏洞挖掘经验

20、CTF 类型，主要擅长哪方面

21、WEB 这块，业务上的问题 WEB 页面、小程序，API 调用，偏向于 WEB 这块

22、反序列化漏洞

23、Java 能力怎么样

24、WEB-XSS 过滤哪些字符

25、比较熟悉哪一块，WEB 类的

26、伪造 Cookie 怎么弄的

27、文件包含，getshell，场景，常见题目

28、二进制，绕过病毒，杀毒软件

29、分析 EXE、ELF

30、给个新的病毒，分析行为，别人没分析过的

31、分析找到 CC2C 后门的

32、方向规划

33、倾向于手工测试、自动化测试【攻击】

34、burpsuite 用过吗

35、burpsuite 写插件

36、SDLC 不做测试，不做评审，转做大数据方面安全研究，数据方面的安全研究

37、蓝军，WEB、内网渗透

38、利用已有的安全的知识，去实现一系列自动化测试

39、自动化挖掘，SRC

40、离开的原因，薪资

41、有什么问题