实习面试--魅族(社会招聘)

两个星期前在FreeBuf看到魅族的招聘（社会招聘），感觉上面的要求差不多，不是很过分的样子。。。。大概要求如下：

 

职位要求:

1、大专或以上学历，计算机相关专业
2、有厂商安全测试经验优先，漏洞盒子、乌云等漏洞平台白帽子优先
3、熟悉sql注入，XSS，CSRF等常见的WEB安全漏洞挖掘技术
4、熟练掌握多种常用安全测试工具，能够搭建各类渗透测试的测试环境
5、理解各类黑客攻击原理及实现方法
6、有较强的分析和解决问题能力、沟通能力和文档编写能力良好的工作态度、职业道德、团队合作意识
7、强烈的安全研究愿望和专注的研究能力

魅族招聘原文链接

然后就投了，我也只是投着玩，毕竟人家是社招。没想到居然打电话 说可以面试下，突然就紧张了。。这完全没准备。然后就没然后了吧，说说第二次面试的经历好吧，当给自己个鼓励。

记得大概两点多就到了魅族大厦，感觉有点早(约定3点钟)，就在石凳上坐着，平复下复杂的心情，本来也没想过能过，但却还是很紧张的。

接近3时，我便带着复杂的心情走向魅族的大门，以前坐车经过都是看到侧面，现在看着正面，感觉挺有大公司范的。好像客户也挺多，来来往往的车辆也不少，保安让打电话给面试官，不让进，看来防护做的还可以，不让人随便进入。大概几分钟后面试官，高高壮壮的，挺年轻的，估计30岁不到，带着我走进魅族大厦，里面跟外面的感觉果然还是差很多，里面的风格很简约，感觉在这里工作应该也是挺舒心的，路上，面试官也就简单的问了我是大三的，说找个地方聊聊。心情稍微放松下，然后带我到一个小办公室坐着。。。好像扯得有点多，好吧，开始面试吧。。（by the way 谢谢面试官大哥的矿泉水 hhhhh）

一开始让自我介绍，这个已经是轻车熟路了，霹雳啪啦 说说说，由于我介绍中说道手机安全方面的知识，他让我讲一下手机安全方面相关的，不知道是怎么了，脑子突然短路，最近一直研究一直分析一直学习的手机安全竟然半点都说不出来，= = 尴尬脸，支支吾吾的，估计被刷这个也很有关系吧！！！（这里让我更加的信奉一句话：心理素质等综合素质也很重要，在赛场上发挥不出来，练了也是白练！）这以后面试一定要往自己熟悉的方面说，不熟悉就尽量避免。接着让我讲一下xss和sql注入的原理，这个没什么问题，把开放实验学到的东西说了个遍(xss怎么利用)，然后问我sql注入手工是怎么做的？还好平时自己ri 小站有用过，也挺熟悉流程的，就说了下，不过因为做了笔记，忘记那些测试的语句，有点坑。。不过大哥说他也不记得，看来主要是考察你的思路。接着是问了我有关项目的问题，比较简单，可能是我的项目他不太感兴趣。。。。接着问我c、c++有多熟，我说基本的编程能力都没问题，他接着说当场写个排序算法也能行？瞬间硬伤，学安全的编程真是问题，以前学的数据结构也忘得差不多了，面试前也没准备，跪了。。还问了python脚本有多熟，看来，语言也是超级需求啊。哦对，还问了指针的问题。。紧接着是问我有没有发现一些漏洞，我说大部分是学校网站，他就问有没有不是学校的，艾玛当时我真是懵逼了，ri了那么多站，我竟然傻比地说了一个最简单的xss。。。可能当时真的紧张了，脑子都浆糊了。

最后说 问最后一个问题，他拿了笔在墙上画了个转盘，抽奖的，一天可以点3次按钮，然后指针会转动，如果中奖的话，需要填写姓名，手机地址，如果没有抽奖机会，可以通过积分来兑换，10积分换一次，该web程序是由java+mysql+nginx+jetty组成的。

我主要通过几个方面回答，一程序有没有逻辑漏洞，比如点几次功能是怎么实现的，这个实现是否可以被攻击，同理的是，积分兑换功能，是否可以修改任意积分来兑换抽奖次数，转动的指针是否可以被攻击然后控制；二是有没有应用漏洞，比如xss，sql注入，因为有表单提交的地方，这是很容易存在漏洞的；三是框架漏洞，有没有java反序列化漏洞，nginx框架有没有漏洞，jetty有个目录遍历漏洞；

 

感觉说的比较泛，没有很具体，好吧。还是太渣，写这个也是希望能提醒下自己，要走的路还很长，努力啊！！