第11章 面試與應聘(第2/2 頁)

覺到了什麼，笑了笑，自我介紹道。

聞言，張洋麵色稍微好看了一些。

原來是老闆啊！這個身份充當面試官肯定沒問題，年輕，只能說他有背景。

“你好，李總！”張洋回道。

“張先生，有三年工作經驗，在工作中，接觸不少系統漏洞吧！”李逸笑著問。

“是的，系統漏洞在硬體、軟體、協議具體的實現或系統安全策略上存在的缺陷，這種是很難避免的，”張洋不慌不忙，沉穩地說。

“嗯，方便我問幾個技術問題？”李逸笑著問。

“沒問題！”張洋毫不怯場。

已經對這份工作不報什麼期望，不過已經開始面試了，張洋倒想看看這麼年輕就當上老闆，能給他出什麼樣的問題，就當做一次面試演練吧！

“水平越權訪問，這種漏洞你遇到過嗎？”李逸笑著問

“很常見，越權訪問是一種“基於資料的訪問控制”設計缺陷引起的漏洞，……。”張洋回答道。

“嗯！不錯，如果是你，你是會怎麼防禦水平越權呢！”李逸笑著點頭，接著問。

“是有幾種防禦方法，1，登入憑證要時刻驗證，……，2，使用者操作要進行對應的許可權檢查，不能只根據操作引數或連結執行功能，……。”張洋詳細地介紹。

李逸點了點頭，張洋回答很具體，基礎很牢固。

“如果拿到拿到一個待檢測的站，你準備做那些動作呢？”李逸接著問。

張洋思考了片刻回覆：“要分幾個步驟，具體流程是：資訊蒐集、漏洞挖掘、漏洞利用、許可權提升、日誌清理、總結報告，做修復方案，……，等等。”

“mysql注入點，用工具對目標站直接寫入一句話，需要哪些條件？”

“3389無法連線，有幾種情況？”

“如何突破注入時字元被轉義？”

“目標站禁止註冊使用者，找回密碼處隨便輸入使用者名稱提示：“此使用者不存在”，你覺得這裡能怎麼利用？”

……

很快，李逸提出一個接一個的問題，張洋神色漸漸變得認真起來，回答的速度越來越慢。

對方的提問，都是一些非常基礎，卻有包羅永珍，知識面極廣，

有一些他回答不上來的問題，對方順口就給出詳細的答案。

從他隨口提出的問題，以及快速給出的標準答案，各種技術問題，信手拈來，張洋已然明白，自己看走眼了，眼前這個年紀比自己還小几歲的老闆，在系統安全方面的知識水平高出自己一個層次。