基本上不怎么写博客，一般都会在本地。打ctf也打了大大小小不少比赛，现在马上就要毕业了，2020年的春节很不好过，考研没考上，只能工作了呗。2020年的肺炎，也是让全国人民很受伤害，还是希望大家都能安好。

面试了好几家公司，有大的安全公司，也有一些小的吧。虽然并不是所有的公司都拿到offer。但是对于渗透岗位的面试多多少少有一些心得，这里分享一下面试技术官提问的一些问题吧。

问题1.内网渗透的流程以及心得。

对于没有接触过内网这一块儿的在校生，还是多看一些大佬写的文章，多多少少能学到一些东西。平时大ctf对于基础的知识锻炼比较多，但是跟内网渗透打交道的很少。

问题2.常见的OWASP top10 漏洞

问题3.xss三种类型漏洞的原理以及区别和预防方法

问题4.xss 、csrf、ssrf三种漏洞的原理以及区别和预防方法

问题5.远程命令执行以及远程代码执行的原理以及区别和预防方法

问题6.web站点渗透的流程以及自己的心得

问题7.信息搜集的方式或者说途径有哪些

问题8.src的挖掘经验，这个很重要，最重要的是有自己的一些骚姿势

问题9.linux的命令操作（这个小公司可能问的有）

问题10.xxE漏洞原理以及预防方法

问题11.sql注入类型以及sql注入各种类型的产生原理以及预防方法

问题12.sql注入绕过waf的姿势

问题13.文件上传绕过waf

问题14.mysql提权相关知识

问题15.一些比较危害严重已经修复的一些cve漏洞的原理以及修补方式

问题16.复现过哪些cve漏洞

问题17.针对java语言的站点渗透的思路

问题18.java网站爆出的哪些漏洞以及修复方式，structs框架以及spring框架

问题19.渗透工具的使用相关问题

问题20.代码审计（java和php）

问题21.python爬虫绕过反爬机制的姿势，以及python的框架和一些库的作用

暂时想到这么多吧，反正对于网安来说，很注重实战水平，希望对一些小伙伴有所帮助。