闻言，张洋面色稍微好看了一些。

原来是老板啊！这个身份充当面试官肯定没问题，年轻，只能说他有背景。

“你好，李总！”张洋回道。

“张先生，有三年工作经验，在工作中，接触不少系统漏洞吧！”李逸笑着问。

“是的，系统漏洞在硬件、软件、协议具体的实现或系统安全策略上存在的缺陷，这种是很难避免的，”张洋不慌不忙，沉稳地说。

“嗯，方便我问几个技术问题？”李逸笑着问。

“没问题！”张洋毫不怯场。

已经对这份工作不报什么期望，不过已经开始面试了，张洋倒想看看这么年轻就当上老板，能给他出什么样的问题，就当做一次面试演练吧！

“水平越权访问，这种漏洞你遇到过吗？”李逸笑着问

“很常见，越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞，……。”张洋回答道。

“嗯！不错，如果是你，你是会怎么防御水平越权呢！”李逸笑着点头，接着问。

“是有几种防御方法，1，登录凭证要时刻验证，……，2，用户操作要进行对应的权限检查，不能只根据操作参数或链接执行功能，……。”张洋详细地介绍。

李逸点了点头，张洋回答很具体，基础很牢固。

“如果拿到拿到一个待检测的站，你准备做那些动作呢？”李逸接着问。

张洋思考了片刻回复：“要分几个步骤，具体流程是：信息搜集、漏洞挖掘、漏洞利用、权限提升、日志清理、总结报告，做修复方案，……，等等。”

“mysql注入点，用工具对目标站直接写入一句话，需要哪些条件？”

“3389无法连接，有几种情况？”

“如何突破注入时字符被转义？”

“目标站