http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect今年春招,很多公司都在招聘安全岗,准备跳槽或者新入职场的小伙伴最需要的就是面经+笔试题了,小编整理了其他小伙伴总结的面经,供各位学习。对你有帮助的话文末记得点个赞和在看哦。
本人双非本科,计算机专业,安全菜鸡一枚。
深受安全岗的秋招资料少之害,秋招坎坷无比。原本担心过不了笔试没法写面经,但秋招结束之后发现面经还是有那么几篇不至于见不了人,所以捯饬捯饬给和我一样迷茫的安全小鸡们一点参照。比较啰嗦,不想看可以直接跳到面经和总结标记哟。
原本对秋招一无所知,甚至天真的以为大四下才需要找工作的本鸡,在不想去学校安排的实习的逼迫下,找了家小小的安全创业公司,开始了安全之路。当时懂的东西特别少,owasp top10都认不全。感谢公司愿意收留,慢慢地开始接触渗透,也挖了一些小小的漏洞。秋招开始后,我才迟钝地准备简历,搜集复习资料。但是!!但是!!世界对我们安全岗太不友好了吧!安全面经少之又少,笔试题翻来覆去只找到了几份安卓逆向的真题,真答题全靠蒙。
在看了仅有的几篇面经笔经,连挂了几次笔试后,我充分地认识到了我的菜。是真菜,不是牛客大佬们的白菜。同时我也大彻大悟,既然找不到笔试题,干嘛不多做点笔试真题,就当为明年春招做准备工作(对,我已经决定春招再战了)。于是乎广投简历刷笔试。在被百度狂虐后把题目都人肉抄了下来,整理了文档。公司数量不多,笔试时间限制只记了部分题目,但是有需要的同学可以私聊我拿。
笔试题包含:阿里、百度、58、深信服、顺丰科技、yy、360企业安全 ...
里面也有自己准备用的面试题,各个渠道收集来的,个人的面试没有整理进去,配合帖子食用更佳喔。
360企业安全 一面挂
因为公司总部在北京,所以面试都是视频面。用的赛码网。
通知的时间是14:00,面试前hr打了电话通知提前半小时进入面试房间。而且当天下午只有我一位面试者。燃鹅,大概是面试官忘了,我一直等到将近3点半,面试官都没有上线。当时气的都想放弃面试了。打了个电话问hr,立刻面试官就来了。大概是忘了还有我这号小菜鸟了。面试问题都比较简单,主要还是围绕简历上我写的内容,一些概念,但是第一次视频面特紧张,回答的一塌糊涂,很多简单的概念都没有说清楚。后来感觉有些放飞自我了,面试官问什么,我了解的不深入就直接说了略有了解而已,导致面试官也很无奈地问我你会什么你就讲什么吧。结束的时候,面试官犹豫了一下措辞,才叫我等后续通知,我知道大概就是凉了。果然挂断视频的下一秒就收到了拒绝短信。excuse me?用不用这么快,扎心了。
面试问题大致如下:
1.平时用什么软件测试(BP)
2.你觉得BP哪里特别好用
3.你有没有看过测试工具的源码(没有)
4.给你一个网站,你怎么找漏洞,举个例子
5.你说验证码绕过,说说看怎么检测验证码绕过漏洞
6.你知道csrf吗,解释一下
7.csrf怎么防御知道吗
8.看你写过poc,你能举一个例子吗
9.你比较了解哪些漏洞
10.说一说怎么发现sql注入
11.听过盲注吗,解释一下
12.我看你会用python,会的多吗
13.代码注入能讲一下吗
14owasp top 10 哪些你比较了解的说一下吧
58集团 一面电话面挂
笔试才55分凉的透透的,没想到面试最后一天被捞了起来。照例问了实习的工作情况,项目的细节。主要问的都是项目细节,其他问题不多。面试官小哥在听说我想做安全审计之后热情地介绍了58也要组建审计团队,叫我要审计一定要好好学php,并询问了我的学习计划,让我莫名地觉得有点稳。但是果然再没有后文了,黑人问号?
面试问题大致如下:
1.了解安全审计吗
2.会php吗
3.会什么编程语言
4.未来的方向是什么
5.会写脚本吗?写过哪些脚本
6.用过python框架吗
海康威视 一面电话面挂
海康威视似乎没有笔试,突然就来了电话。一开始就直入主题,没有自我介绍。所有面试中问的问题最多(30几个)的面试,中途还换了个面试官接着问(接力嘛)面试全称围绕简历进行,同样针对项目的细节和实习的工作问了很多问题。
面试问题大致如下(省略了项目和实习相关的问题):
1.我看你简历上说会bp和sqlmap,能说一下你觉得bp有什么优点吗,你觉得哪里好用
2.你觉得哪个功能最好用
3.sqlmap用的多吗
4.了解sqlmap的高级使用吗,比如使用插件和一些条件过滤
5.sql注入有哪些类型说一下
6.盲注知道吗
7.有写过sql注入的插件吗
8.看你写了解主流web漏洞,你说一下主流的有哪些
9.能讲一下xss的原理吗
10.怎么防御xss呢
11.听过富文本吗?
12.黑名单要怎么设置过滤?
13.你写了些什么脚本,是自己定义了策略吗
14.说一下你渗透一个网站是怎么样的思路
15.你见过最有意思的一个漏洞是什么。
16.目前有offer了吗
17.那你了解密码学吧,讲讲AES的流程(因为在学校做了几个密码学的项目,故有此问)
18.你籍贯是哪里?
19.有什么问题问我?
顺丰科技 offer
顺丰的面试一共才两轮。同样问了实习和项目细节。面试官提到公司有类似的项目,所以详细探讨了一下项目内容和优化的问题。全程聊的比较愉快,一结束就被塞了张卡送走了。然后居然直接是hr面。hr面巨傻。前面聊的挺多的,结尾hr问我有没有投别的公司,我心想,哎哟,考验情商的时候到了,这个公司肯定不能说些小公司,biger不够,也不能说太多,显得不重视顺丰,于是说了小米华为迅雷等几个。然后大坑来了,我当时脑子怕是泡水了,居然有了如下对话:
hr:有没有特别想去的公司?
我:有啊,bigo
hr:还有没有别的?
我:腾讯也很想去
hr:还有吗?
我:还有360
hr:。。。
所以回去的路上我越想越悔,已经挖好坟墓准备躺下安息了。还好hr大人有大量,放过了我这个猪脑子。
面试问题大致如下(省略了项目和实习相关的问题):
一面:技术面
1.自我介绍
2.实习的时候怎么做渗透测试的
3.xss和csrf的区别
4.说一下你写的poc
5.修复的沟通是联系安全部门还是联系开发?
6.你对安全的看法,为什么想做安全?
7.(看成绩单)java课设做了什么,分挺高的
8.有什么问题想问?
二面:hr面
自我介绍
1.为什么做安全
2.用三个词形容你自己,并分别举例佐证
3.籍贯哪里,愿意去深圳吗
4.深圳房价很高,你打算买房吗
5.有什么事情你觉得成长特别多的
6.你人际交往怎么样
7.遇到难以解决的困难你怎么办
8.了解顺丰吗(快递?)还有吗?(物流很厉害?)
9.还有投什么公司
10.有特别想去的吗
平安科技 二面放弃
平安先面了一面和hr,最后才补的二面。但是平安科技特意打电话来通知准备了二面,结果比通知迟到了一个星期才电话约二面时间。本来以为凉凉,期间也签了别的公司,所以接到电话果断拒了。
一面:
面试官人特别好,一见面就笑眯眯地,面试中途还开玩笑。面试全程都像在聊天,完全没有紧张感。同学面的测试和开发都说问了很多技术问题,比较难。但是我基本在聊简历,从实习经历聊到项目经历,然后是关于他们公司的一些实际问题,就结束了。以至于结束的时候,面试官直接说我们今天就聊到这了,你可以离开了,我还愣愣的。回去的时候和同学商量了一下觉得可能是没有hc了,面试官才这么佛系,但是当晚通知一面过了。玄学。
除了项目问题,只记得几个:
1.你觉得公司需要怎样保障业务信息安全?
2.如果程序员写的业务代码很多漏洞,业务明天就要上线了,怎么办?
二面:hr面
参加二面的时候,安全部门大佬没来,于是直接先面hr,通过了后续再单独二面通知,不参与第二天的座谈会。
1.为什么想做安全
2.实习做了什么
3.实习期间最有成就感的事是什么
4.实习公司的业务主要是哪些
5.为什么不考研
6.专业其他女生都做了什么
7.希望找什么样的公司
8.有其他offer吗
9.offer薪资多少
10.你的期望薪资是多少
11.有什么想问的
总结
总结一些感想给还没有开始找工作的安全小菜鸡们(大佬们就多多指教罢)。
1.简历上最好要有项目,没有项目的话,面试官没有东西问,就会问很多基础知识,答不上来就GG。总结我所有的面试40%的问题都是围绕项目细节展开的,这为我规避了很多知识盲区。
2.实习经历能有就有,如果不是大厂实习,就一定要突出你在实习期间的成果,或者说,尝试在实习期间做一些比较拿得出手的成果。面试中另外40%是围绕实习工作展开提问,自我感觉,面试官更看重的是你为实习公司做了什么,而不是你去了什么公司实习
3.剩下20%基础知识。如果是web(我也只知道web了),一定要熟知OWASP TOP10的漏洞原理、防御、检测,并且掌握(侃侃而谈)其中的一两个。平时多了解安全相关的信息,不一定要会,但求知道。
4.如果条件允许,有CTF经历和漏洞提交经历就加加加分啦。
感想只针对像我一样没什么经历也没什么基础的小菜鸡,希望能够有一些帮助,大佬们求放过。
扫一扫
952
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
