第十一章 面試與應聘(2/2)
走進來一個年輕小伙子,手裡還拿著他的簡歷。
靠,這是面試官?這麼年輕!
畢業了嗎?
年紀擺著那裡,技術水平肯定也高不到哪裡去,讓一個技術水平不行的人充當面試官,這家公司的底蘊可想而知。
張洋恨不得立即轉身就走,不過,出於禮貌,他還是忍住了。
「你好,張先生,我這家公司的老闆-李逸。」李逸從張洋臉色察覺到了什麼,笑了笑,自我介紹道。
聞言,張洋面色稍微好看了一些。
原來是老闆啊!這個身份充當面試官肯定沒問題,年輕,只能說他有背景。
「你好,李總!」張洋回道。
「張先生,有三年工作經驗,在工作中,接觸不少系統漏洞吧!」李逸笑著問。
「是的,系統漏洞在硬體、軟體、協議具體的實現或系統安全策略上存在的缺陷,這種是很難避免的,」張洋不慌不忙,沉穩地說。
「嗯,方便我問幾個技術問題?」李逸笑著問。
「沒問題!」張洋毫不怯場。
已經對這份工作不報什麼期望,不過已經開始面試了,張洋倒想看看這麼年輕就當上老闆,能給他出什麼樣的問題,就當做一次面試演練吧!
「水平越權訪問,這種漏洞你遇到過嗎?」李逸笑著問
「很常見,越權訪問是一種「基於數據的訪問控制」設計缺陷引起的漏洞,……。」張洋回答道。
「嗯!不錯,如果是你,你是會怎麼防禦水平越權呢!」李逸笑著點頭,接著問。
「是有幾種防禦方法,1,登錄憑證要時刻驗證,……,2,用戶操作要進行對應的權限檢查,不能只根據操作參數或連結執行功能,……。」張洋詳細地介紹。
李逸點了點頭,張洋回答很具體,基礎很牢固。
「如果拿到拿到一個待檢測的站,你準備做那些動作呢?」李逸接著問。
張洋思考了片刻回覆:「要分幾個步驟,具體流程是:信息搜集、漏洞挖掘、漏洞利用、權限提升、日誌清理、總結報告,做修複方案,……,等等。」
「mysql注入點,用工具對目標站直接寫入一句話,需要哪些條件?」
「3389無法連接,有幾種情況?」
「如何突破注入時字符被轉義?」
「目標站禁止註冊用戶,找回密碼處隨便輸入用戶名提示:「此用戶不存在」,你覺得這裡能怎麼利用?」
……
很快,李逸提出一個接一個的問題,張洋神色漸漸變得認真起來,回答的速度越來越慢。
對方的提問,都是一些非常基礎,卻有包羅萬象,知識面極廣,
有一些他回答不上來的問題,對放順口就給出詳細的答案。
從他隨口提出的問題,以及快速給出的標準答案,各種技術問題,信手拈來,張洋已然明白,自己看走眼了,眼前這個年紀比自己還小几歲的老闆,在系統安全方面的知識水平高出自己一個層次。