奇安信HVV面试（新鲜出炉）

30分钟以前刚结束的一次HVV面试。

时间30分钟：

1、OWASP top 10 了解吗？说说。

2、说说SQL注入，类型，报错注入的函数，防御措施有哪些？工具说说，常用命令，有没有实际挖掘经验，具体说说？

3、文件上传漏洞说说？常用的webshell说说。流量特征分析过吗，具体说一下。冰蝎的加密方式说说。

4、文件包含用到的协议？文件包含伪协议有了解吗？

5、发现了一个文件下载的点，一般会如何利用呢？Windows和Linux分别说说。

6、XSS说说类型，区别，利用方式和防御。

7、绕WAF有经验吗？说说绕过哪几个，方法。文件上传绕waf的经验说说。

8、判断注入点的方法，具体说说。发现注入以后的思路。

9、中间件常见的有哪些，分别有哪些漏洞，说是默认端口。

10、说说常见的框架，有哪些漏洞，最新漏洞的影响范围。了解最新的漏洞吗，说说。有复现过哪些？记得哪记得的特征。

11、SSRF漏洞说说？有挖掘过吗？了解redies？端口？常见漏洞？

12、常见的Windows和Linux系统的命令说说。

13、做过日志分析吗，说说经验。存放位置，日志信息，重点关注的地方是什么？

14、手工查杀的经验说说。比如一台服务器中了挖矿病毒，有啥特征，你的排查思路。

15、有护网经验吗？

16、有挖掘SRC经验吗？有证书吗？

17、护网时间能保证吗？你有什么问题？