2023届网络安全岗秋招面试题及面试经验分享

Hello，各位小伙伴，我作为一名网络安全工程师曾经在秋招中斩获🔟+个offer🌼，并在国内知名互联网公司任职过的职场老油条，希望可以将我的面试的网络安全大厂面试题和好运分享给大家~

转眼2023年秋招已经到了金银🔟的关键阶段，宝子们简历抓紧准备投递起来呀，冲冲冲⏰

随着国家政策的扶持，网络安全行业也越来越为大众所熟知，相应的想要进入到网络安全行业的人也越来越多，为了更好地进行工作，除了学好网络安全知识外，还要应对企业的面试。

所以在这里我归总了一些网络安全方面的常见面试题，希望对大家有所帮助。

内容来自于社群内2023届毕业生在毕业前持续整理、收集的安全岗面试题及面试经验分享~

目录

一、字节跳动-渗透测试实习生

二、深信服-漏洞研究员实习

三、字节跳动-安全研究实习生

四、长亭科技-安全服务工程师

五、腾讯-安全技术实习生

六、小鹏汽车-安全工程师

七、大厂高频面试题汇总

7.1、SQL注入防护方法

7.2、常见的Web安全漏洞

7.3、给你一个网站你是如何来渗透测试的? 

7.4、渗透测试流程

7.5、SQL注入类型 

7.6、SQL注入的原理

7.7、如何进行SQL注入的防御

7.8、sqlmap，怎么对一个注入点注入？

7.9、mysql的网站注入，5.0以上和5.0以下有什么区别？

7.10、MySQL存储引擎？

7.11、什么是事务？

7.12、读锁和写锁

7.13、MySQL的索引

7.14、ORDER BY在注入的运用

7.15、GPC是什么？GPC之后怎么绕过？

7.16、Mysql一个@和两个@什么区别

7.17、注入/绕过常用的函数

7.18、盲注和延时注入的共同点？

7.19、如何拿一个网站的webshell？

7.20、sql注入写文件都有哪些函数？

7.21、各种写shell的问题

7.22、sql注入写文件都有哪些函数？

7.23、sql二次注入

7.24、SQL和NoSQL的区别

一、字节跳动-渗透测试实习生

自我介绍
渗透的流程
信息收集如何处理子域名爆破的泛解析问题
如何绕过CDN查找真实ip
phpinfo你会关注哪些信息
有没有了解过权限维持
说一个你感觉不错的漏洞，展开讲讲
输出到href的XSS如何防御
samesite防御CSRF的原理
CSRF防御
json格式的CSRF如何防御
浏览器解析顺序和解码顺序
过滤逗号的SQL注入如何绕过
过滤limit后的逗号如何绕过
fastjson相关漏洞
说一个你知道的python相关的漏洞（SSTI原理，利用过程,payload相关的东西）开放性问答

二、深信服-漏洞研究员实习

自我介绍
在xx实习的时候做什么东西
渗透测试的思路简单说一下
护网在里面担当一个什么样的角色
红队的一些思路
拿下系统后有没有做横向
前段时间那个log4j有研究吗，可以简单说一下吗
（继上一个问题）有哪些混淆绕过的方法
内存马有没有了解过
冰蝎、哥斯拉这些工具有没有了解过
做攻击队的时候有没有研究过什么攻击，比如研究一些工具还是魔改什么的
那么多漏洞和攻击，比较擅长哪一个
说一下shiro反序列化的形成原因、利用链
对一些bypass的方法有没有了解过，有什么姿势可以简单介绍一下
反问

三、字节跳动-安全研究实习生

你投的岗位是安全研究实习生，你了解我们这边主要是做什么的吗
自我介绍
现在有什么比较想做的方向吗，比如你写的代码审计、攻防演练、你在学校的研究方向（密码学）其实是三个大方向，现在有什么比较想做的吗
有没有审过开源框架、cms、中间件之类的
面试官介绍了工作内容
我看你简历上有几段实习经历和项目经历，先聊一下实习经历吧，在A主要做什么的
详细聊聊入侵检测主要在做什么，遇到的问题
关于入侵检测产生大量误报的原因，有没有分析过，有没有比较好的解决方法
和A比起来，B的应该就比较偏攻击方对吧，有打仗（雾，面试官好像确实是这么说的）有代码审计，聊一下在B主要做了些什么
审表达式引擎的步骤和思路
刚刚你说的审计听起来好像和普通开发的审计差不多，都是通过程序流、文档去做，有没有从安全方面入手审计一些项目
xxe是怎么造成的，从代码层面来看
我看你简历有很多攻防演练经历对吧，这几段攻防演练经历有没有哪一次印象比较深刻的，挑一个聊一聊
你的这次攻击好像更多的是利用弱口