中科全安 - - 渗透实习生 - - 一面

你如何看待加班现象？

        （本人当然不想加班，哎，下面是百度的标准答案）

        针对加班的这个问题，如果是紧急工作安排需要的话，我一定听从公司的安排。但是我个人并不会刻意的为了加班而加班，因为只有高效能的产出结果才是对工作最好的回馈。我更希望通过不断提高自己的工作能力和效率，在规定的时间内完成任务，然后适当的放松一下，保证有充足的精力让我更高效地完成工作。

        如果是由于我的个人原因经常出现加班的情况，我会去反思是不是我在工作上出现了什么问题，并在平时的工作中改变和提升个人能力，争取全力以赴，通过提高自己的工作能力和工作效率，减少加班的情况。    

csrf和ssrf的区别    

        跨站请求伪造、服务器端请求伪造的主要区别在于攻击目标和攻击方式。

        CSRF攻击目标是用户，通过伪造用户请求达到攻击目标；而SSRF攻击目标是服务器，攻击者试图让服务器发起恶意请求。

        CSRF攻击通过欺骗用户浏览器实现，利用用户的身份凭证；SSRF攻击则通过构造服务器端请求来实现，攻击者试图迫使服务器发起恶意请求。

什么是同源策略

（这个是我嘴欠了，上面那条少说点，就没有这个问题了）

        同源策略是一种浏览器安全策略，设计用于阻止一个网页从一个源（域、协议和端口的组合）获取到另一个源的敏感数据。 用于防护xss 或csrf攻击

同源策略的规则要求：

1. 协议相同： 页面发起请求的协议必须与目标URL的协议相同（http和https不同）。
2. 域名相同： 页面发起请求的域名必须与目标URL的域名相同。
3. 端口相同： 页面发起请求的端口号必须与目标URL的端口号相同。

1143端口和3306端口

1443   SQL     3306  MySQL

下面附一些常用的，

21      FTP                23      telnet             25     SMTP            109   POP3

1521 Oracle             6379  Redis            8080  tomcat        

常见的业务逻辑漏洞

        这块儿我不太清楚 ，大概有账户权限绕过、支付漏洞、物流漏洞、数据篡改、密码重置和账户恢复之类的。

cookie和session的区别        

        两者都是管理用户状态的机制，cookie存储在客户端，易于查看和修改，且cookie的数量和大小有限制，理论上一个域名下所有cookie总大小不能超4KB，通常用于存储小量的用户信息、用户首选项、跟踪用户行为等。。session存储在服务器上，用户无法查看和修改，理论上没有大小数量限制，实际受制于服务器资源和配置，通常用于存储较大量、对安全性要求较高的用户信息，如用户身份验证信息。