面试问题

最近面试了几家互联网公司，发现他们的问题大同小异。发现陌陌的面试官最牛，能把他所有提出的问题进行解答，佩服至深。不定期修改。

1、SQL注入 group by、order by等语句绕过预编译原理，方法。

2、SQL语句预编译原理

3、SQL注入防御手段   

3、SSRF的场景与原理、防御手段

4、XSS防御手段，根据不同解析场景的防御手段（可参考宜人贷src文章）

5、XSS富文本防御策略（白名单过滤标签）

6、owaspapi等开源过滤库

7、绕过WAF常用方法（sqlmap tamper脚本使用经验）

8、比较得意的渗透经历

9、OWASP Top 10 的描述，理解

10、反序列化原理、除升级外防御方法

11、Struts2漏洞原理、除升级外防御方法

12、TCP协议原理

13、Fortify规则修改、自定义（白盒审计面试内容）

14、常用的后门、如何进行检测

15、应急处理方法（互联网公司注重防御方案、应急响应，思路和乙方不太一样）

以上问题是比较有代表性的，且经常问的，面试安全岗位的同学面试前要搞清楚，如果有其他意见，集思广益。每次面试不仅是工作互选，也是很棒的学习、交流机会。听说呆子不开口去了蚂蚁金服，真想飞去杭州去面试听听段子~~~