安全面试题

目前大环境不是很好，本项目旨在收集各位同学的面试题，助力安全行业同学。

2023 年某甲方 SDL 岗面试（薪资区间 20K-40K）

(1) 你 sdl 那块做的好，为什么

(2) 卡点是怎么做的

(3) 这个流程下来，有没有研发那边出现问题

(4) 这块的驱动力，是自己参与还是主导的

(5) 有没有用一些事件来驱动这些事

(6) 你觉得 sdl 过程，如何评价自己的 sdl 做的好不好，向外面的部门比如研发如何量化自己的工作成果，哪些指标比较重要

(7) 除了这些指标，还有没有哪些是你们想落还没有落，想落的，还可以挖掘的

(8) 黑白盒具体是怎么实现的

(9) 减少误报率，兜底具体的逻辑是啥，除了刚才说的正则

(10) order by 为什么会产生误报

(11) 为什么不能用#，原理是什么

(12) 这种场景一般会写过滤函数，函数的逻辑具体是什么

(13) union select 和 union all 有什么区别

(14) union select 原理

(15) 建设过程有用到其他开发语言吗，有做啦一个什么样子的项目，比如扫描器啥的

(16) log4j 利用 rmi 和 ldap 有什么区别，哪个成功率高

(17) fastjson 推动升级遇到的问题

(18) ssrf 和 xxe 哪个危害大

(19) java 反射的原理

(20) 漏洞修复提供给研发，AOP 切面是个啥

(21) python 网络交互多线程携程什么地方可以使用线程，什么地方可以使用携程

(22) hw 你觉得什么样的方式，可以比较高效的拿到靶标

(23) 怎么能够快速的得高分

(24) 假如你所在的公司作为防守方，应该做哪些事情

(25) 比如说钓鱼方式，钓鱼的时候用木马，做到域前置技术

(26) 零信任描述一下