安恒安全岗实习一面 03.11

#实习面经##安全工程师#
1.自我介绍
2.面试官看我简历上写的都是 Web渗透这块的，问会测APP小程序吗？  
3.SQL注入是怎么形成的？
4.SQL注入有哪几种类型？
5.一般怎么判断这个点是否存在注入？
6.例如一个搜索框有可能存在SQL注入吗？例如像一个OA系统,有一个查询的功能，比如输入一个王，会有王**、王*.......,问这个地方是否会存在SQL注入？
7.SQL注入一般能getshell吗？要怎么弄？用sqlmap的话需要什么条件?比如数据库是MySQL,获得shell需要什么条件？如果有写的权限、知道网站的绝对路径，除了sqlmap还有其它能获得shell的方法吗？
8.在进行SQL注入过程中，如果有WAF的话你会怎么办，不一定是***，例如各种过滤规则，输入敏感字符就不正常显示了，返回404之类的，这种情况应该怎么办?
9.XSS有哪几种类型？
10.XSS有什么危害？
11.如果网站设置了httponly，还能获取cookie吗？如果设置了httponly,有了解过绕过方式吗？
12.XXE漏洞有了解过吗？有什么危害？
13.有挖过SRC吗？
14.CTF有打过吗？
15.编程语言这块都了解过哪些？
16.了解过反序列化漏洞吗？像Java反序列化一些组件漏洞有了解过吗？
17.通用的CMS漏洞有了解过吗？例如什么蓝凌OA、致远OA有听说过吗？
18.扫描器这块AWVS有用过吗？
19.最后反问