第一天的文章偏向一个前言或是导读的概念。
今年再次挑战iThone的铁人赛,带着比前两年更大的压力,
因为这阵子真的是忙碌到一个蜡烛九头烧,除了工作的事情以外,社群的读书会分享、
在Hitcon Training开课、准备出版Burp Suite的书籍、准备换新工作等...。
但还是强迫自己要参加铁人赛,希望今年有办法努力撑到最後QQ
今年的题目选择了以资安面试为主的主题,
主要大概有几个原因~
- 这个题目可以让我不断学习新东西、新领域,也能反覆省思过去所学的内容,亦可达到分享的效果。
- 前阵子有面试过不少公司,遇到了不少的题目,有的题目让我後续仍然思索了许多,总之还满有趣的,就想说来准备个类似的主题。
- 原本有打算的WEB/CTF/渗透测试相关题目,已经有满多人都有类似的,怕我也发的话,重复性有点高XD
关於这系列文章的一些说明
- 题目真der好难想rrrr,本来想取个有点创意的名称,例如「明天,我要和昨天的你面试」,「我们仍未知道那天面试题目的答案」,不过好像都有点牵强,就中规中矩来个资安面试300题好惹。
- 虽然主题是资安面试300题,300也只是个虚数,就随便估算的数量,主要是不会刚好每天都平均分配10题,像是第一天就没有题目XD,再来就是有的题目会采取题组方式、追问方式,例如甚麽是XSS?那XSS有甚麽类型?XSS要怎麽防御?以上这样也只会算是一题。
- 「重点是题目!不是答案。」 × 3,很重要所以要说三次,这系列的重点在於题目,还有思考!绝对不会是答案,更绝对不是要你把题目跟答案背下来><
- 答案就没有正解,这是上述所说的其中一个重点。许多的题目本来就是没有所谓的最佳解,许多问题在网路上可能都有不同解释与说法,或着更现实来说,同一个技术问题,不同的面试官可能想听到的都是不同的答案。
- 答案会以口语回答方式呈现。这也是我想整理这篇的一个原因,想整理一下如果是我自己,面试我可能会怎麽回答。例如甚麽是XSS?WIKI说明如下*「跨网站指令码是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程序码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端手稿语言。」 *,但是实际上,面谈的时候你真的会讲这种话吗?我自己是不会啦!所以这系列文章的回答,我都会以我自己口语回答的方式呈现
- 不一定有答案,如同前面所提到的,重点还是放在题目与让大家思考,所以不是每个题目都会有答案。
- 有答案的也不一定是方向或相对来说正确的答案,也很欢迎有各种不同想法的人留言分享!
- 题目范围会包含各式领域,从网路到系统、从恶意程序到行动安全、从渗透测试到稽核管理~
那大概就是这样子啦~
最後,祝我自己有办法撑过这30天啦!!!