拿到了字节跳动-互娱研发前端安全部门的校招offer,有位同学让发一下面经
之前记录下来的,不是记得很全,大家参考一下就好😅
(话说目前部门还在招人,有同学要来吗)
—— 字节跳动 ——
**浏览器安全机制(重点,问了很多个)
如何强制浏览器使用https协议 htsl?
之前爆出的github返回证书已过期事件 原因
react native框架中xss
进程、线程区别;浏览器多进程 一个tab一个进程,js渲染-线程
透明证书?
csp中nonce只加载部分内联脚本;解决旧网站的不兼容,上报log日志
promise、settimeout异步调用顺序
JS的异步回调机制
https一定安全吗?有没有办法抓包 -> cdn劫持
如何评估网站安全
如何设计网站加密系统用于加密代码中的敏感信息
返回证书错误的原因(证书已过期、证书中域名与服务器不对应、证书不是权威机构发布的)
csrf如果是post请求如何攻击(隐藏form表单) chrome8.1之后csrf的防御,之前的攻击方法无法携带cookie
csrf防御的token如何设置
x-frame-option
浏览器cookie相关
如何强制浏览器使用https协议 htsl?
之前爆出的github返回证书已过期事件 原因
react native框架中xss
进程、线程区别;浏览器多进程 一个tab一个进程,js渲染-线程
透明证书?
csp中nonce只加载部分内联脚本;解决旧网站的不兼容,上报log日志
promise、settimeout异步调用顺序
JS的异步回调机制
https一定安全吗?有没有办法抓包 -> cdn劫持
如何评估网站安全
如何设计网站加密系统用于加密代码中的敏感信息
返回证书错误的原因(证书已过期、证书中域名与服务器不对应、证书不是权威机构发布的)
csrf如果是post请求如何攻击(隐藏form表单) chrome8.1之后csrf的防御,之前的攻击方法无法携带cookie
csrf防御的token如何设置
x-frame-option
浏览器cookie相关
考了一道算法题,让用JS写😅但是我说JS不是很熟悉,用了c写
—— 奇安信 ——
1. 命令执行如果遇到windows怎么办(比如dns查询域名可以命令执行
ping %USERNAME%.xxx.ceye.io
2. limit 后怎么注入
3. 过滤了select怎么注入
if盲注 但是只能注入当前表
如果可以堆叠注入的话,可以赋值变量为16进制
4. 不知道列名怎么爆字段;查询information_schema表,这个表无权访问怎么办
5. 怎么绕waf
waf - 规则过滤、在沙箱执行语句后过滤返回结果(如果是报错就不返回)、rasp
6. java反序列化漏洞
7. windows PTH、怎么获得域控信息
8. php disablefunction原理
9. sql手工注入判断不同数据库
10. kerbose协议
11. sql注入 识别不同类型数据库
12. https加密 tls1.2 dhcp加密 可以解密吗
13. linux命令执行 空格过滤绕过
14. python变量类型
15. nmap太慢了怎么办
ping %USERNAME%.xxx.ceye.io
2. limit 后怎么注入
3. 过滤了select怎么注入
if盲注 但是只能注入当前表
如果可以堆叠注入的话,可以赋值变量为16进制
4. 不知道列名怎么爆字段;查询information_schema表,这个表无权访问怎么办
5. 怎么绕waf
waf - 规则过滤、在沙箱执行语句后过滤返回结果(如果是报错就不返回)、rasp
6. java反序列化漏洞
7. windows PTH、怎么获得域控信息
8. php disablefunction原理
9. sql手工注入判断不同数据库
10. kerbose协议
11. sql注入 识别不同类型数据库
12. https加密 tls1.2 dhcp加密 可以解密吗
13. linux命令执行 空格过滤绕过
14. python变量类型
15. nmap太慢了怎么办
祝各位同学都成功上岸!!
(发的好像有点晚了骚瑞
(发的好像有点晚了骚瑞
全部评论
(7) 回帖