安全崗春招面經總結

五一過後，春招就差不多結束了，今年的春招面過的小夥伴懂的都懂，銅三鐵四orz，在沒有大的技術突破之前網際網路就業環境只會一年不如一年。然後因為我自己更想要留在川渝這邊工作，覺得北上廣深的生活節奏太快不適合自己這種慢性子的人，所以大部分也都面的是川渝的公司，360 oc之後就停止面試其他公司了，面經按照面試時間來排序

除了一些個別的問題，總體來說面試不難，提的問題也都是針對你面試的崗位和簡歷反覆問，如果要說對於後面想要面安全崗的學弟學妹的建議，當然是在大學的時候好好學安全，因為很多基礎性問題不是突擊能補上來的，當然如果能拿一些證照或者有SRC排名就更好了，常問的問題可以準備一些，面試官的一些話術如下:

• 大學裡面打CTF印象最深刻的題目是什麼
• 挖過最有意思的漏洞是啥
• 安全相關的專案經歷
• 實習的時候做過的事
• 最近比較火的漏洞有了解過嗎
• OWASP TOP 10,免殺提權,內網滲透的基礎知識
• 說一下XXX漏洞的原理以及繞過還有防禦
• ...

憶享科技面試 北京滲透崗

一面

• 自我介紹
• CNVD是挖掘的通殺漏洞還是事件型漏洞
• CNVD通殺漏洞一般是怎麼挖掘的，挖掘的哪些型別的漏洞
• EDUSRC比較有意思的漏洞挖掘過程
• 暑假實習期間主要做的事情
• 大二HW藍隊期間的裝置是哪家的
• 如何區分告警資訊為誤報還是真實攻擊
• CSRF和SSRF的簡介和區別
• SSRF繞過
• XSS繞過
• SQL隱碼攻擊繞過
• 檔案上傳繞過
• 00截斷的原理
• 內網滲透
• 自己安全開發一般用什麼語言
• python爬蟲問題：為什麼有的時候瀏覽器能夠正常訪問的頁面，在爬蟲中訪問不了
• python多執行緒輸出應該怎麼操作
• SQL隱碼攻擊寫shell需要什麼條件
• java反序列化
• weblogic tomcat漏洞
• 反問環節

懸鏡安全 成都安全開發

感謝璐姐

一面

• 自我介紹
• 因為看到你有做掃描器的經驗，簡單介紹一下吧（這一部分扯了很長時間）
• 說一下資訊蒐集這部分是怎麼做的（因為很多地方都是爬蟲爬取資訊，以前爬蟲用過正則，xpath和beautifulsoup，簡單說了一下xpath，資訊蒐集先簡單說了一下資訊蒐集的內容，然後主要講的就是子域名蒐集的思路）
• 掃描器是怎麼檢測注入的
• 掃描器是怎麼檢測XSS漏洞的
• 有看你做紅藍隊的經歷，說一下有意思的挖漏洞的經歷
• 看到有教育行業HW的經歷，講一下當時做紅隊的經歷
• 看到有在HW藍隊的經歷，講一下經歷（講了一下實習的經歷+藍隊的經歷，以及挖掘到的一些漏洞）
• 面試官可能覺得問的差不多了，就說那我再問幾個簡單的問題吧~~（我說：感覺要變難了hhh）
• SSRF漏洞簡介 利用 和防禦
• 問了一下內網相關的問題
• 一句話木馬免殺繞過相關問題，簡單講了一下繞D盾和安全狗，這兩個比較死，很容易過
• 然後換了個面試官，應該是部門主管？（因為我前面面試的過程中提到了我來之前查了一下懸鏡安全是做IAST 灰盒掃描這一塊的，然後覺得這對我自己來說也會是一個挑戰）這裡部門主管跟我介紹了一下我來之後成都分部這邊要做的事情，也介紹了一下灰盒掃描和準備做後滲透方面的內容
• END

下午2:30面的，晚上通知一面過了，下週一線下二面

二面

（寫的時候距離時間有點久，有些問題記不清了

• 簡單交流了一下
• 自我介紹
• 掃描器的漏洞檢測部分
• AWD攻防平臺的介紹
• SQL隱碼攻擊的檢測
• 一些通用漏洞的檢測的經歷
• fofa被禁用了之後用什麼（上一個問題通用檢測裡面聊到基本的檢測指令碼寫好之後可以用fofa進行批量的匯出，又說到前兩天fofa因為合規問題被拉入工信部黑名單的事情 。回答鍾馗之眼，撒旦，谷歌語法。）
• 紅藍隊的經歷
• 為什麼說python的多執行緒是偽多執行緒（這裡我簡單說了一下因為即便存在多個CPU，在python程式中也只會有一個執行緒同時被執行，其原因是存在GIL 全域性解釋性鎖）
• 為什麼不將這個偽多執行緒問題修改掉（其實這裡我感覺有點答偏了，從python底層的垃圾回收機制說的，因為python主要使用引用計數來進行垃圾回收，即建立物件裡面的ref，當引用銷燬的時候ref-1，ref=0時記憶體釋放，如果是真正的多執行緒的話，很可能會出現ref為負數的情況，造成程式的崩潰和出錯）
• 對懸鏡安全的瞭解（這裡我屬於有備而來了，面試之前谷歌了一下公司的相關資訊）
• 什麼時候能來公司實習（其實之前跟HR溝通的時候，HR說的是校招，畢業之後去，這時候部門leader說可以年後可以先來實習，也就是大四下）
• 問了一下我的畢業設計相關問題
• 有面其他公司或者其他offer嗎？
• 反問：
  • 公司規模（因為感覺成都分部這邊人比較少）
  • 大家平時在哪裡吃飯（中午很早就被我媽趕出門去面試了，所以在面試地點下面溜達了很久，感覺周圍沒啥吃的）
  • 公司的掃描器是自研的還是基於pocsuite的或其他掃描器的
  • ...

回去的路上HR通知二面過了，第二天晚上8點三面

三面 公司CEO

• 自我介紹
• 瞭解懸鏡安全嗎
• 講一講灰盒掃描吧
• 說一下動態汙點追蹤
• 瞭解RASP嗎（這個我確實不瞭解 懸鏡自研:雲鯊RASP-自適應威脅免疫平臺）
• 多久能入職？可以先來實習
• 反問：
  • 公司對新人會有培訓嗎
  • 為什麼終面會是CEO而不是HR
  • ...

中安網星面試 紅隊攻防開發

朋友內推的 ?

一面 上午11:00

開始的時候我的網路不好，騰訊會議換成了電話面試

• 自我介紹
• 看到有寫掃描器的經歷，說一下掃描器的搭載POC的部分
• 說一下SQL隱碼攻擊的檢測
• 說一下時間盲注的時候如何判斷的
• 說一下布林注入的檢測
• 說一下頁面相似度演算法
• 為什麼不把sqlmap這種工具內建到掃描器裡面
• 自己的職業規劃是什麼？想做哪方面的
• SSRF漏洞簡介
• 給一個場景，一般怎麼用SSRF打內網
• SSRF的繞過的一些問題
• 審計過一些CMS嗎
• 說一下是怎麼審計的
• PHP的反序列化了解過嗎
• 說一下PHP的魔術方法
• 反問環節
  • 公司主要做的是內網滲透這方面嗎
  • 如果有機會來公司的話我會做哪方面的內容
  • 公司的規模

效率很快，馬上就約了下午面試

二面 下午2:30

公司CTO

• 說一下你平時遇到的SQL隱碼攻擊的防禦手段
• 如果你做一個防禦的話會怎麼做
• 如果在使用者輸入的SQL語句在沙盒裡面執行，應該怎麼放置在系統裡面
• 有過SQL隱碼攻擊的經歷嗎
• like後的注入應該怎麼注入
• 說一下SQL隱碼攻擊寫shell
• phpmyadmin怎麼getshell
• XXE瞭解過嗎？回答在現實中沒有遇到，一般在CTF裡面看到
• SSRF瞭解過嗎？簡單說一下SSRF
• 你覺得寫掃描器以及POC對自己有什麼意義或者價值
• 拿到一個shell之後你會怎麼提權
• XSS漏洞瞭解過嗎？有哪些利用方式
• 還有幾個我忘記了
• 反問環節
  • 公司今年大概會招多少人
  • ...

HR

HR打電話過來聊了一下薪資，簡單說了一下公司的各方面福利，約了第二天中午三面

三面

• 自我介紹
• 內網滲透中的Kerberos協議
• MySQL,redis，oracle埠
• 知道某個網站的CMS時有什麼用
• SSRF的防禦
• java的反序列化
• 反問環節
  • 為什麼會出來創業
  • 如果有機會來公司的話我會做哪方面的內容

重慶綠盟面試 紅隊攻防開發

一面

打了兩個電話我沒接到，我是傻逼

重新約了一個上午面試

• 你想做的方向
• 說一下你平時是怎麼進行程式碼審計的
• 看到你有審計過thinkphp，說一下tp3快取漏洞裡面的木馬名稱是怎麼來的
• php的危險函式
• phpinfo你會關注的資訊
• 本地檔案包含漏洞如何拿到shell +
• 本地檔案包含時你會比較關注哪些敏感資訊
• 說一下最近比較火的漏洞
• 說一下php裡面的常用的偽協議 +
• 說一下XXE +
• 掃描器你是做的哪一部分
• 簡單介紹一下掃描器（說到這個我就不困了
• 現在是沒有維護還是在重構
• 掃描器是主動掃描還是被動掃描
• 說一下通用漏洞的檢測，SQL隱碼攻擊
• 說一下布林注入的檢測
• 說一下simhash演算法 +
• 說一下時間盲注的檢測
• 看過sqlmap這方面的原始碼嗎
• 掃描器的檢測引擎是怎麼寫的
• 說一下頁面URL的爬取
• 反問
  • 重慶綠盟的規模和人數
  • 安全開發部門使用的語言

有的問題忘記了，將就看

二面

在約定的時間前一晚提前面試了

• 職業規劃
• base城市
• 面試官介紹了一下部門和安全開發相關的內容
• 薪資方面的內容
• 反問

三面

• 在前面的面試裡面瞭解過這個崗位是做啥的嗎
• 是怎麼了解到綠盟以及怎麼投的簡歷
• 內推你的朋友做的是什麼崗位
• 平時都挖些什麼漏洞
• 介紹一下你的掃描器
• 可以檢測log4j2漏洞嗎
• 說一下指紋識別以及指紋庫
• 看你寫過爬蟲，說一下這方面的
• 反問

北京微步線上 安全開發

jweny師傅yyds

一面

網路不好，騰訊會議換成了電話面試

• 面試官先對自己和部門進行了介紹
• 自我介紹
• 你覺得一個好的掃描器應該具備哪些功能
• 出於什麼樣的原因去寫掃描器
• 說一下360的POC收集計劃
• 說一下你平時是怎麼批量利用漏洞的
• 一個好的POC應該具備哪些特徵
• 掃描器是自己封裝的核心嗎，還是封裝的pocsuite3
• 對於基於pocsuite3和yaml檔案的poc的看法，你覺得哪種更好
• 用過Docker嗎，是在什麼場景下進行
• 用過vulhub嗎
• 說一下對於無回顯漏洞怎麼檢測
• 說一下對於不出網漏洞怎麼檢測
• 多久能來實習
• 是想來單純實習還是想轉正的那種，轉正那種需要轉正答辯
• 還有什麼問題嗎
  • 公司安全部門的規模
  • 安全研發這方面用的語言
  • 我來主要做的工作
  • ...

二面 第二天晚七點

應該是部門主管，面試之前說翻了一遍我的部落格

• 說一下你覺得自己的三個比較擅長的點（回答：安全開發，滲透測試，程式碼審計）
• 說一下你覺得印象比較深刻的挖掘漏洞的過程
• 說一下你看到的或者自己挖到的某一個漏洞
• 分析一下這個漏洞是怎麼被挖到的，或者說需要什麼樣的技術才能挖到
• 演算法相關
• 說一下你的職業規劃
• 你對你要做的崗位的瞭解
• 簡單介紹了一下微步

三面 HR面 緊接著 二面之後

HR小姐姐很可愛

• 你在大學裡面覺得某件很困難但是最後克服了的事情
• 你在其中扮演的是什麼角色
• 你覺得還有哪些事情是可以去完善的
• 你是從哪幾個維度去思考和覆盤的
• 說一下你在大學裡面印象比較深刻，或者自己比較自豪的事情
• 自己在這個事情中主要充當的是什麼角色
• 你是怎麼去提升你們的溝通效率的
• 大學裡面除了學校的課程以外還有什麼興趣愛好嗎
• 吉他練的怎麼樣
• 有什麼事情是你一直堅持到現在的（寫部落格）
• 你覺得寫部落格給你帶來了什麼意義
• 之前有過實習經歷嗎
• 考研考的是哪個學校
• 哪一科沒有考好
• 你覺得為什麼沒考好
• 你會選擇調劑嗎？為什麼不想調劑
• 沒有考上會有遺憾嗎
• 會選擇二戰嗎
• 是怎麼了解到微步線上的
• 平時花在網路安全上面的時間是多少
• 你的期望薪資是多少？（回答：我說了也不算啊，得看公司給我多少）（回：確實哈哈哈）
• 現在手裡有offer了嗎，哪幾家公司的，薪資大概是多少，簽了三方了嗎
• 想要在哪裡工作
• 對於第一份工作你的期望是什麼
• 多久能來實習
• 還有什麼其他的問題嗎

成都衛士通 物聯網安全研究

一面 晚上電話面試

• 說一下你參加過的比賽
• 這些比賽都是團隊比賽嗎
• 你在其中做的是什麼角色
• 說一下HW藍隊的時候做的事情
• 應急響應相關的問題
• 實習的時候做過什麼事情
• 實習的時候挖過哪些漏洞
• 說一下在EDUSRC上挖漏洞的事情
• 平時挖漏洞哪種比較多
• 是手動挖掘還是自動掃描
• 說一下程式碼審計，你平時是怎麼程式碼審計的
• 說一下中介軟體漏洞
• 瞭解過逆向嗎？
• 逆向的工具用過哪些
• 工控安全瞭解過嗎，簡單說一下
• 物聯網安全的漏洞型別有哪些
• 記錄過自己打過哪些CTF比賽嗎
• 說一下你們學校的安全實驗室
• 你來公司的話是想做CTF還是做滲透
• 多久能來公司
• 家在成都哪裡

面試官說他家比我家還遠，平時都是開車上班orz

• 反問：
  • 衛士通和中國網安的關係
  • 關於木星安全實驗室
  • 關於事業編制
  • 後續還有其他面試嗎
  • 衛士通的架構和安全部門的規模
  • 來之後我會做的事情
  • ...

成都數默科技(科來) APT研究

一面

• 自我介紹
• 面試之前瞭解過數默科技嗎
• 大學裡面學過哪些課程，你比較喜歡哪個課程，為什麼
• CTF比賽的時候一般都做哪方面
• 有沒有印象比較深刻的漏洞挖掘的經歷
• SQL隱碼攻擊如何GETSHELL
• 說一下AWD攻防競賽平臺的架構，用到的技術
• 說一下掃描器的流程
• 說一下asp檔案上傳繞過
• 說一下解析漏洞
• 說一下反序列化漏洞
• 平時用過哪些安全工具
• 流量分析做過嗎
• 畢業設計題目是什麼
• python程式碼裡面會有哪些漏洞
• 介紹部門和做的事情
• 你來了之後會做的事情
• 你的期望薪資是多少
• 瞭解過APT嗎
• 反問
  • 部門的規模
  • 後續的面試流程
  • ...

二面 HR面

• 談薪資
• 介紹部門

傳音控股上海 安全開發

一面

微信視訊面試，HR拉了個群，HR+兩個面試官同時，整體時長40分鐘

• 自我介紹
• 說一下掃描器的流程
• 說一下滲透測試的流程
• 剛才提到了SQL隱碼攻擊，說一下為什麼會產生SQL隱碼攻擊，以及如何防禦
• SQL隱碼攻擊如何GETSHELL
• 你有過程式碼審計的經驗嗎，平時是怎麼審計程式碼的
• 說一下OWASP TOP 10
• 說一下XXE和SSRF的區別
• SSRF和XXE怎麼防禦
• 說一下nmap原理
• 說一下TCP三次握手
• DOS和DDOS是什麼
• 說一下你做過紅藍隊的經歷
• 看到你有寫POC的經歷，簡單說一下（這裡簡單說了一下log4j2的檢測POC流程）
• 平時做過APP的滲透嗎
• 你所期望的工作是什麼樣子的
• 你工作期望base哪裡
• 是因為考研失利還是因為拿了幾個offer，才考慮來傳音的
• 你覺得自己相對於同齡人的優勢在哪裡
• 你覺得自己的缺點在哪裡
• 老家哪裡的
• 反問
  • 傳音控股安全部門的規模
  • 安全部門開發主要使用的語言
  • 如果我來了主要會做哪方面的工作

還有幾個技術問題忘記了，總體來說不是很難，最後的時候我和兩個技術面試官都笑了orz

HR電話聯絡

薪資沒談攏，寄了

綠盟成都-安全服務國際部 安全服務

一面

一到月底學校的網路卡的要命，視訊面試差不多五分鐘斷一次orz

• 自我介紹
• 說一下你做過的專案
• 介紹一下掃描器的流程
• 通用漏洞實現了哪些的檢測
• 簡單介紹一下WEB滲透的流程
• 掃描的過程如果遇到了防火牆是怎麼處理的，是有繞過嗎
• 說一下紅隊的經歷，挖過哪些漏洞
• 看到你之前有實習的經歷，說一下這部分
• 說一下藍隊的經歷，做的哪些事情
• 如果是你的話，怎麼檢測是否有攻擊者進入網路進行危險操作
• linux用的怎麼樣，說一下許可權相關的
• chmod +s 是什麼
• 瞭解過正向代理和反向代理嗎
• 說一下Nginx
• 說一下其他你瞭解的OWASP TOP 10
• 說一下CSRF
• redis未授權有哪些利用方式
• 為什麼大三的時候沒去實習？考研考的哪個專業？哪個學校？哪個科目沒考好
• 對於安全服務的理解
• 如果有機會來的話主要想做哪些方面
• 英語怎麼樣
• 如果要到國外去短期出差你父母會怎麼看？（答：他們會覺得公費旅遊）
• 最後介紹了一下部門的職能，服務的物件等等

成都360 安全研究

一面

• 自我介紹
• 看到你有打CTF的經歷，說一下你印象比較深刻的比賽
• SQL隱碼攻擊的繞過會嗎，過濾了逗號怎麼繞過
• 說一下你的掃描器
• 專案的併發是怎麼處理的
• 看到你有寫flask，說一下flask可能存在的漏洞吧
• 那就再說一下flask是怎麼防禦這些漏洞吧
• 說一下POC檢測相關的
• 程式碼審計做過嗎，你平時是怎麼進行程式碼審計的
• 看到你有用過codeql，說一下它是怎麼進行漏洞檢測的
• 用codeql進行過實戰漏洞挖掘嗎，怎麼挖的
• 說一下java程式碼審計裡面你印象比較深刻的漏洞
• 看到你有審計過TP，說一下它的安全處理
• 說一下TP3的I方法
• 說一下XXE漏洞
• 多久能來實習
• 反問:
  • 團隊規模
  • 平時做的事情
  • ...

二面

• 自我介紹
• 說一下AWD攻防競賽平臺裡面你印象比較深刻的點
• 參賽選手頁面的重新整理是用的AJAX還是後端定時推送
• Docker有沒有限制目錄許可權
• DockerFile的編寫有沒有什麼心得
• Docker逃逸的問題
• 剛才說到了沒有使用目錄掛載，那flag的重新整理是怎麼實現的
• 多個Docker的排程問題
  • 我說了一下docker-compose,以及其中的一些細節，比如depend_on
• 看到你有寫POC，說一下寫POC的心得
• dnslog的原理了解過嗎
  • 我簡單說了一下
  • 面試官補充加解釋
• 有想過寫呼叫dnslog的單獨方法嗎
• 你的職業規劃是什麼
  • 反問:安全研究一般後來都去做了什麼
• nmap的原理知道嗎
  • 我說了一下nmap的預設掃描，nmap的掃描週期以及掃描器裡面合併nmap的方案
• nmap掃描速度的優化方案
• 成都360車聯網那邊是做什麼的
• 多久能來實習
• 畢業設計做的咋樣了
• 最近在做啥
• 想去車聯網安全那邊還是我們這邊
• 以後是想在成都發展嗎
• 反問
  • 部門要招多少人
  • 為什麼360沒有HR來管理招聘流程
  • 面試之後多久會有結果
  • ...

成都360 車聯網安全

一面

• 自我介紹
• 你知道過來是做哪方面嗎
• 說一下專案經歷
• 說一下外掛系統的實現
• 問一下學校的課程，說一下你理解的程式吧
• 多執行緒和多程式用過嗎
• C,Java這些用過嗎，學習的程度咋樣
• 你的職業規劃是啥
• 瞭解過二進位制漏洞嗎
• 說一下緩衝區溢位漏洞
• 對於車聯網安全的瞭解
• 介紹了一下部門
• 多久能來實習
• 反問
  • 研發部門用的語言
  • 後續如果還有面試的話，面試流程是什麼樣的
  • ...

二面

接到電話的時候在無屆吃飯，整個環境很嘈雜，orz

• 瞭解車聯網安全嗎
• 瞭解IOT漏洞嗎，有哪些
• 看到你是計算機專業，有做過微控制器小車嗎
• 路由器破解做過嗎
• 認識腹黑嗎 (orz)
• Linux瞭解嗎，說一下Linux的啟動流程
• grub命令瞭解過嗎
• 說一下linux如何分析二進位制檔案
• docker瞭解嗎，說一下USB應該怎麼連結上docker
• 加密演算法瞭解嗎，說一下MD5 RSA AES的區別
• http和https的區別
• CA證照的作用
• 你理解的韌體是什麼
• 介紹了一下部門
• 反問
  • 部門規模
  • 有無車聯網安全體系學習資料

HR面

• 自我介紹
• 多久能來實習
• 拿了哪些offer
• 想做安全開發還是安全研究
• 以後在成都發展嗎
• 談了一下360的薪資
• 反問
  • 我能過不
  • 啥時候發offer
  • 部門一共招多少個人
  • ...

三面

• 想做安全開發還是安全研究
• 啥時候能來實習
• 面試官說了一下自己對於車聯網安全,安全開發,安全研究的看法
• 聊個人規劃

杭州極氪科技 安全研發

一面

• AWD攻防競賽平臺中做的事情
• 漏洞靶機是怎麼實現的
• flag重新整理是怎麼實現的
• 如何檢測一個服務是否當機
• Docker的逃逸考慮過嗎
• 為什麼會想到去做掃描器
• python裡面會存在哪些安全問題
• 外掛是動態載入的嗎？怎麼載入的
• 考慮過有人上傳惡意外掛的問題嗎
• 埠掃描是怎麼做的
• nmap掃描的時間比較長，你對它進行了優化嗎
• 打過CTF嗎，在裡面主要做哪方面的工作
• 瞭解車聯網安全嗎
• 瞭解過極氪科技嗎
• 介紹部門
• 反問
  • 實習的一些問題
  • 現在有哪些公司在做車聯網安全
  • 車聯網安全的前景
  • 我來了之後主要會做哪方面
  • ...

HR

五分鐘之後就通過了，效率很高，HR打電話過來談薪資

• 談薪資
• 問福利
• 問實習
• 問其他問題

成都四葉草安全 安全研發

一面 電話面試

• 現在在學校嗎
• 為什麼大三的時候沒有去實習
• 你對於工作環境，工作氛圍這些的要求是什麼
• 多久能來公司
• 簡單介紹了一下公司部門
• 簡單介紹一下掃描器
• 掃描器裡面存在誤報的情況，你會怎麼優化
• 期望薪資
• 你還有什麼問我的

二面

• 自我介紹
• 現在在學校做啥
• 漏洞挖掘的問題
• 白盒一般挖掘哪些漏洞
• 黑盒滲透的問題
• 拿到一個shell執行不了命令可能是什麼情況
• 許可權比較低如何提權
• 拿到shell後如何連結遠端桌面
• 寫程式碼的時候會遇到併發比較大的情況，一般你是怎麼處理的
• 你對自己的職業規劃是什麼
  • 反問 你的崗位是什麼
• 自己平時有空的時候會做什麼
  • 反問 你打遊戲嗎
• 期望薪資
• 還有什麼問我的嗎

三面

• 說一下你對漏洞掃描的理解
• 說一下埠掃描的理解
• 說一下資料庫索引的底層實現,資料結構
• 瞭解GO語言嗎，說一下相關的
• 說一下TCP四次揮手

HR面

• 對於公司的瞭解
• 之前的面試問了哪些問題
• 以後會在成都發展嗎
• 為什麼會選擇四葉草安全
• 期望薪資
• 現在拿到了哪些offer,以及對應的薪資
• 為什麼沒有還沒有做最終的決定
• 多久能來實習
• 畢業設計的內容是什麼
  • 反問:現在HR也要問技術了嗎
• 為什麼大學在重慶讀的最後想來成都發展
• 你對於公司、團隊有什麼期望
• 有什麼問我的嗎
  • 成都安全團隊的規模
  • 後續的面試流程
  • ...

成都民生銀行面試 (未知)

一面

群面 這裡我就只記錄自己相關的問題了

• 自我介紹
• 自己做的專案裡面印象比較深刻的點
• 說一下SQL隱碼攻擊以及檢測
• 你比較熟悉WEB的哪些漏洞，以及他們相應的防禦手段
• 用過多執行緒嗎，有哪些庫
• 瞭解過前段時間比較火的log4j2漏洞嗎，它屬於哪種型別的漏洞，講一下它的原理
• 你有復現過log4j2嗎，說一下過程
• 如何在一個長度為100的陣列裡面找到第二大的數
• LRU演算法
• 還有一些問題忘記了....都沒啥難度

亞信安全 安全分析 (未知)

一面

• 自我介紹
• sqlmap的檢測實現
• SQL隱碼攻擊怎麼手工檢測
• 什麼是時間注入，你是怎麼檢測的
• XSS和CSRF的相同點和不同點
• 檔案上傳漏洞應該如何防護
• 說一下檔案包含漏洞以及相關的敏感函式
• 你經常挖到的漏洞是哪些型別的
• 自己覺得比較精彩的挖掘漏洞的經歷
• sqlmap裡面對於防火牆過濾有哪些操作
• 如果是你自己實現怎麼應對防火牆
• 說一下一句話木馬的發展以及流量加密
• http和https的區別，https為什麼更安全
• 內網滲透會嗎，CS的相關操作
• 如果你自己要防護伺服器，在不用防火牆和態勢感知系統等情況下你會怎麼做
• 寫漏洞檢測POC時你會去看漏洞原理嗎
• 掃描器裡面分了哪些模組
• 資訊收集是自動化的還是有指紋庫
• 掃描器實現裡面比較自豪的部分
• 挖礦木馬有研究過嗎
• 有無應急響應的相關經驗
• 期望薪資是多少
• 多久能來公司
• 反問
  • 成都亞信安全的規模
  • 這個崗位主要做的跟我想的是一樣的嗎
  • ...

END

建了一個微信的安全交流群，歡迎新增我微信備註進群，一起來聊天吹水哇，以及一個會發布安全相關內容的公眾號，歡迎關注 ?