字节跳动 二面记录
忘记录屏了,简单记录下
怎么加入Nu1L的(面试官应该也是CTF出身)
打N1 Junior进子队然后打比赛进主队
有没有什么印象深刻的CTF题
记性不太好,讲了个Handlebars的题,磕磕绊绊的,主要具体利用细节记不太清了
问了项目相关东西,问那个腾讯云智能渗透
大概将上次的又讲了一遍,什么,单Agent和多Agent之类的
如果有一个SSRF场景让你去做一个Agent去测试,你会怎么做
知识库,提示词,预设场景,提炼Skills
如果这个SSRF场景是一个JSON输入,并且你不知道参数该如何让Agent测试
爆破,预设参数,查看前端JS,查找接口调用文档
(这里回答的一般)
研发说有个SSRF已经修了,你如何测试
研发可能不懂DNS重绑定攻击,可以测试下
然后需要审计下代码,看看修复过程
有人提交了关于SSRF的SRC,审核认为不重要,你如何放大攻击面
打内网,例如Redis等。伪协议读文件等
如果这个SSRF在云场景下,你如何攻击
云服务器可以试试访问其他服务器的私网IP,可以打云函数,OSS等只允许内网访问的端口之类的。试试挖密钥,接管云资产
(回答的一般这里,因为云场景做的不多其实)
有没有代码审计,知不知道几个常见的传统白盒审计工具(忘记说的叫啥了),有没有结合AI审计,有没有挖SRC之类的
Web题基本都代码审计,但是不认识传统白盒审计工具。平时用Codex,Calude等审计。挖出过一个开源项目的安全问题
会不会开发,用什么语言
基本Vibe Conding ,平时用Python,NodeJS
有没有开发过什么大的项目
讲了讲之前开发的校队积分管理系统
有没有做防御
默认认为队员不会打(
但是有做基础的XSS,文件上传防御等
这个项目有没有攻击面
被学弟打通过,因为上传了Github并且没有改默认JWT Secret
那Github是如何通知开发者硬编码密钥泄露的,可以猜一下
常用文件名匹配,例如.env,然后对常见密钥做正则,例如sk-,可能使用了自家的Copilot进行确认
评价下自己的技术水平
比不上大佬,但是同龄人中较强
反问环节:
问了下AI对目前安全岗的冲击
主要看使用的人,人越强在AI加持下会更强,AI更多是辅助,真正关键的地方还是需要人介入
问了下对我后续技术栈等有没有什么建议
说是看兴趣,可能未来对二进制比较感兴趣就去研究二进制,逆向什么了
感觉二面非常考验实战能力与思路,几乎全部问题都是预设了某个场景,看你的思路是怎么样的
或许这也是AI冲击下的一个答案吧。当AI越来越强,人类参与感越来越弱,或许人类仅存的优势便是开阔的思路与经验了
这次通知的比较慢,第二天才通知二面过了。不知道三面会面些什么,感觉会更综合啊