绿盟安服面经

先是线上笔试，比较喜欢这个考核方式，是实战攻防中一些场景解决，当然也包括基础知识。

一二面试总结，一面60分钟+，二面预45分钟，实90分钟，面试官都很好
1.攻防信息收集思路
2.shiro cookie过长怎么绕过
3.fastjson反序列化代码层原理、不出网利用（除bcel）
4.内存马注册流程，tomcat 6 7 8区别，weblogic内存马
5.shiro绕waf、fastjson绕waf、绕waf思路
6.免杀（cobalt strike流量隐藏、白加黑、基建搭建以及其二开思路）
7.高强度对抗中怎么寻找堡垒机（主机集群的系统也行），zabbix怎么搞
8.vcenter后利用，windows/linux解决
9.记忆深刻的红队
10.sql注入 order by怎么修复（修复建议回答的并不好，望指教）
11.钓鱼
12.应急响应（windows/linux）、只知道web系统被打了，具体应急
13.csrf修复建议
14.为什么要打exchange，exchange和域控的关系
15.反弹shell被拦了怎么办
16.文件上传只关注body的话能挖出来什么漏洞
17.代码审计的流程
18.代码审计框架有哪些，比如说mvc的请求流程，ssh框架什么的
19.未来的发展规划
20.不会weblogic内存马，那如果让你学习你要怎么学习
21.sso挖掘（不会，望指教）
22.fuzz的骚思路，逻辑漏洞的骚思路（骚思路望指教）
23.短信验证码场景渗透
24.app漏洞挖掘你会遇到什么问题
25.js前端加密怎么办
26.高版本jdk打jndi（这个有没有问是不太记得）
27.sqlmap中mysql和mssql的osshell是分别调用的数据库中的什么命令呢，详细说说

还有一些忘记了哈，想起来就会补充。回答上80%+，有些紧张了忘记了（别学我）。建议大佬们在面试前保持好自己的身体状态，二面当天有些感冒，面试过程总咳嗽，或许会影响面试官的印象
#绿盟# #安服#