期望薪资3k,面试官笑了但没说话

吉祥知识星球icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247485367&idx=1&sn=837891059c360ad60db7e9ac980a3321&chksm=c0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd

《网安面试指南》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

《Java代码审计》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

《应急响应》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484262&idx=1&sn=8500d284ffa923638199071032877536&chksm=c0e47a3af793f32c1c20dcb55c28942b59cbae12ce7169c63d6229d66238fb39a8094a2c13a1&scene=21#wechat_redirect

《护网资料库》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484307&idx=1&sn=9e8e24e703e877301d43fcef94e36d0e&chksm=c0e47acff793f3d9a868af859fae561999930ebbe01fcea8a1a5eb99fe84d54655c4e661be53&scene=21#wechat_redirect

这两年的就业行情确实一般,这也导致了那些刚出校园还没有社会经验的同学一毕业就惨遭社会的毒打。

第一顿毒打肯定是要从面试开始,社群里有个小伙伴说,他去面试实习,面试官问他期望薪资多少,他说3k左右,面试官话语间透露着笑意。

图片

确实啊,这个小伙伴面的这家企业也算当地比较大的企业,平均薪资应该也在8k左右,而他要3k,显然面试官觉得有些低估自己水平了。

在去面试前除了做技术上的储备,大家还是要做好对自己所面企业的调查,去网上查询一下他们公司一半的薪资的水平,技术氛围,发展方向等等。

。。。

。。。

言归正传,今天来回答一下社群里小伙伴面试过程中经常会被问到的一个技术问题,如何绕过CDN找到真实IP?

如何绕过CDN找到真实的IP地址

回答这个问题要知道这个问题问的是什么?目的是什么?回答了这个问题后面试官会追加问什么?

CDN介绍:

CDN,即内容分发网络(Content Delivery Network),是一种构建在现有网络基础之上的智能虚拟网络。它的主要目的是提高网站内容的加载速度和访问稳定性,同时也能在一定程度上抵御网络攻击(CDN通常会有网络监控和防御的功能),为网站提供安全防护。

CDN的用处:

  1. 跨运营商加速:我们自己的网站常常只属于一个运营商(比如:电信),而加速节点遍布每家运营商,网站不同运营商(比如:联通)的用户访问起来就不会那么慢了。

  2. 缓存加速:很多的静态资源以及一部分页面更新都是比较慢的(比如首页),这个时候CDN就会根据浏览器的max-age和last-modified值以及管理员的预设值来进行缓存,于是很多流量CDN节点就不会每次都来向网站请求,CDN节点可以直接自作主张地将命中的缓存内容返回。

  3. 恶意流量过滤:这是CDN非常重要的一个作用,也是很多网站会用CDN的原因,因为CDN能为我们抵挡攻击大流量攻击、普通的攻击(比如注入等),只有正常流量才会转发给网站。

图片

如何找到真实IP

  1. 查询历史DNS记录
    通过在线工具查询域名的历史DNS记录,可能会找到网站在使用CDN之前的IP地址。常用的查询网站包括ViewDNS、DNSDB和SecurityTrails。

  2. 查找子域名
    许多网站的子域名可能没有使用CDN,可以通过查找这些子域名来获取真实IP。可以使用微步在线、Netcraft(Netcraft(https://netcraft.com/))和VirusTotal(https://viewdns.info/)等工具进行子域名查找。

  3. 利用MX记录
    如果网站的邮件服务器与Web服务器在同一台主机上,可以通过MX记录查找真实IP。可以使用nslookup命令查询MX记录。

  4. 使用SSL证书信息
    检查网站的SSL证书,某些情况下,证书中可能包含真实IP地址。可以使用SSL Labs等在线工具来检查SSL证书。第一步:查看网站的SSL证书,获取指纹;第二步:使用https://crt.sh/查询;第三步:在网站https://censys.io/上用SHA-256的值查询

图片

  1. 多地Ping测试
    使用多地Ping服务检查域名解析的IP地址是否一致。如果返回多个不同的IP地址,通常表明该网站使用了CDN。可以使用Ping.chinaz.com和Ping.aizhan.com等网站进行测试。
    需要注意的是,进行此类操作时务必遵循法律法规和道德规范。有时即使使用上述方法也无法找到真实IP,因为CDN提供商可能会采取一些措施来隐藏源站IP。

  2. 通过邮箱测试

有些网站通常有通过邮箱注册的功能,对这些功能进行抓包,就可以发现里面的真实ip

图片

总之通过不用地区的的ping通过返回的ip不同来判断是否使用了DNS,然后利用邮件、SSL证书等手段来获取真实的IP地址,获取了真实的IP地址后就可以想办法来绕过CDN的防护来对网站进行渗透了。

推荐阅读:

学了这篇面试经,轻松收割网络安全的offer

护网主防资料库、护网设备讲解、护网初中高级别面试

Java代码审计零基础入门到整套代码审计

Web安全:靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞

【护网必备技能】应急响应知识库

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/400472.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

江科大/江协科技 STM32学习笔记P21

文章目录 ADC模数转换器ADC简介逐次逼近型ADCSTM32的ADCADC基本结构输入通道转换模式单次转换,非扫描模式连续转换,非扫描模式单次转换,扫描模式连续转换,扫描模式 触发控制数据对齐转换时间校准硬件电路电位器产生可调电压的电路…

DC-4靶机

扫描IP 端口扫描 目录扫描 访问80端口,发现一个登录界面 爆破密码 hydra -l admin -P rockyou.txt 192.168.254.153 http-post-form "/login.php:username^USER^&password^PASS^:Slogout" -F-l admin:指定用户名为 admin。 -P rockyou.t…

three.js 安装方法、基础简介、创建基础场景

threejs简介 Three.js是一个基于JavaScript编写的开源3D图形库,‌利用WebGL技术在网页上渲染3D图形。‌ 它提供了许多高级功能,‌如几何体、‌纹理、‌光照、‌阴影等,‌使得开发者能够快速创建复杂且逼真的3D场景。‌ threejs提供了丰富的功…

【Linux系列】known_hosts详解

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

通过Go示例理解函数式编程思维

一个孩子要尝试10次、20次才肯接受一种新的食物,我们接受一种新的范式,大概不会比这个简单。-- 郭晓刚 《函数式编程思维》译者 函数式编程(Functional Programming, 简称fp)是一种编程范式,与命令式编程(Imperative Programming)、面向对象编…

【网络ping】无法ping通电脑 服务器失败是什么原因

【网络ping】无法ping通电脑 服务器失败是什么原因 转载: https://www.lsjlt.com/ask/show/show.php?id80772631782 点击此处 查看博文《无法ping通的原因》 一、无法ping 通的原因 网络连接问题:首先需要检查网络连接是否正常。可以尝试通过ping其他…

模型部署 - docker

docker简介 Docker 是一种开源的容器化平台,允许开发者将应用程序及其依赖项打包到一个标准化的单元中,称为“容器”。这些容器可以在任何支持 Docker 的系统上运行,无需担心环境差异。 为什么需要 Docker? 在传统的开发中&…

MySQL 5.7 DDL 与 GH-OST 对比分析

作者:来自 vivo 互联网存储研发团队- Xia Qianyong 本文首先介绍MySQL 5.7 DDL以及GH-OST的原理,然后从效率、空间占用、锁阻塞、binlog日志产生量、主备延时等方面,对比GH-OST和MySQL5.7 DDL的差异。 一、背景介绍 在 MySQL 数据库中&…

MyBatis--XML映射文件

MyBatis–XML映射文件 lombok工具包 为了解决声明实体类的get()和set()函数臃肿的问题,我们使用lombok工具包。 我们看一下lombok工具包为我们提供的注解: XML映射文件 我们需要遵守下面的规则: 首先XML映射文件和Mapper接口包应该在同…

wps怎么找回未保存的文件?分享三个文件恢复方法

在编辑WPS文档时,偶尔会遇到未保存就意外关闭的情况,这不仅令人沮丧,还可能导致重要信息的丢失。但幸运的是,WPS提供了多种途径来帮助用户找回这些未保存的宝贵文件。从利用WPS的自动备份与恢复功能,到检查最近文档列表…

树形结构查找(B树、B+树)

平衡树结构的树高为 O(logn) ,平衡树结构包括两种平衡二叉树结构(分别为 AVL 树和 RBT)以及一种树结构(B-Tree,又称 B 树,它的度大于 2 )。AVL 树和 RBT 适合内部存储的应用,而 B 树…

堆(数据结构)

堆的概念与结构 堆的底层逻辑是一个完全二叉树(或满二叉树)。 堆的分类 大根堆和小根堆 大根堆 所谓大根堆就是每一个父节点都要大于等于子结点 小根堆 所谓小根堆就是每一个父节点都要小于等于子结点 堆的实现 (未完待续 待续......)

力扣高频SQL 50题(基础版)第四十四题之626. 换座位

文章目录 力扣高频SQL 50题(基础版)第四十四题之626. 换座位626. 换座位题目说明思路分析实现过程准备数据实现方式结果截图 力扣高频SQL 50题(基础版)第四十四题之626. 换座位 626. 换座位 题目说明 表: Seat --------------…

【网络】IP-VPN技术概述

目录 引言 核心协议 封装与加密 工作流程 IP-VPN的应用场景 MPLS-VPN 个人主页:东洛的克莱斯韦克-CSDN博客 引言 IP-VPN(Internet Protocol - Virtual Private Network)是一种通过公共网络实现私密、安全通信的技术。它主要依赖于互联网…

力扣系统刷题-树(一)

放松了一周,也一周都没写题了,接下来,我做题的方式可能会更趋向于成体系的学习,今天就先从树的章节开始学起,主要参考的学习资料还是博客,知乎等网上较为系统的教材,涉及到的参考内容我都会进行标注,并以力扣题目作为导向来学习. 一.树 1. 什么是树 根据维基百科的定义:在计…

InfluxDB Studio 下载,时序数据库Windows图形界面操作

下载地址: https://github.com/CymaticLabs/InfluxDBStudio/releases解压缩后,双击 InfluxDBStudio.exe 运行。 参考 windows下 influxDB 操作工具 InfluxDBStudio 吐槽 现在 CSDN 太恶心了,动不动就让订阅或者积分下载资源。诚然&#…

主机组装笔记

参考资源:B站【装机教程】全网最好的装机教程,没有之一,仅供探讨学习 9大部件一览 其中得到固态和机械,是硬盘,存储空间,可以只选固态 CPU,主要有 AMD 和 Intel (AMD,基板的背面布…

nvm的下载和使用(Windows)

NVM(Node Version Manager)是一个用于管理多个Node.js版本的工具,它允许用户在同一台机器上安装和使用多个Node.js版本。 一、NVM的基本功能 多版本支持:NVM允许用户在同一台机器上安装多个Node.js版本,方便处理不同…

docker:在官方停止国内服务的情况下安装使用docker

前言 很烦,前段时间docker官方已经全面停止国内网络访问了,但业务又依赖docker,所以这里只能通过科学的方案来处理这件事: 系统:ubuntu 22.04 desktop 目的:在官方停止国内服务的情况下,安装使用docker 关键技术:科学工具(小猫猫) 安装科学工具 没有安装包的,可以自…

Re常见简单密码

Re常见简单密码 起码没有Crypto专项那么柜物。。。 文章目录 Re常见简单密码1. RC4算法2. TEA算法3. XTEA算法4. XXTEA算法5. DASCTF strangeprograme参考 C语言stdint.h提供如下类型 int8_t 八位有符号整数 uint8_t 八位无符号整数 int16_t int32_t int64_t 64为有符号整数c…