前言
9月底,我参加了深信服安全服务工程师的线下面试,目前已经收到了offer,以下我会分享安全服务工程师的面经。当时的一面二面还是HR面是一天面完的,早上10点是第一面,中间休息了15分钟紧接着是二面,一面二面合在一起有两小时,然后下午2点HR面,就结束了,整个过程还是比较艰辛的。
面经
一面
我之前是在某二字大厂实习过,所以一面大部分在聊实习经历,整体比较轻松,问题也比较简单。
1、询问实习经历,都做了什么?有什么收获?同事怎么评价你?
2、实习期遇到什么困难?如何处理的?
3、你对你的实习期满意吗?为什么?
4、平时挖掘过漏洞吗?讲讲你挖SRC的思路?
5、挖掘过什么框架的漏洞?利用过什么EXP?
6、做过完整的渗透测试吗?流程是什么?
7、询问我的sql注入检测工具项目,过程,如何学习完成的?
8、询问项目的代码量和使用的python库
9、Sqlmap可以提权哪些数据库?
11、了解过orcale数据库提权吗?sql注入可以提权orcale吗?
12、sql注入当你发现某个字段存在注入点,如何查询某张表的某些字段?
13、了解过反序列化漏洞吗?
14、讲一讲shiro反序列化的利用链和防御方法
15、平时时如何自学web渗透的,每周大概学习多久?
16、觉得当客户提出了一些问题或需求,但实际上和我们公司关系不大或者毫无关系,你会怎么办?
17、你觉得如何高效的和客户沟通、处理可以的需求?
18、你觉得你的优点是什么?为什么?怎么证明给我看?
19、反问(我问了工作内容)
二面
二面感觉上了压力,问的比较深,追问了很多问题的细节,以下我会列出问题的大致方向
1、哪些漏洞可以直接或者间接方式可以getshell(问了很多很多细节,漏洞面一定要广,还要了解利用过程)
2、XSS可以打内网吗?
3、通过文件上传漏洞getshell的条件有哪些?
4、当你成功上传一个shell,但是上传shell的目录没有读取的权限,你有什么思路?
5、jsp,asp,php代码执行/命令执行函数,木马等
6、RCE漏洞、Apache log4j2远程代码执行漏洞
7、应急响应的流程(追问了很多细节,给了一些应急场景,询问你的思路)
8、当发生了应急响应事件,内网有很多台主机,你如果判断此事件与某台主机有关系?
9、研判、溯源。
10、APT攻击
11、防火墙可以防御哪些攻击?防御攻击的原理有哪些?
12、下一代防火墙和传统防火墙有什么区别?
13、了解病毒吗?病毒的传播途径有哪些?
14、了解挖矿吗?知道挖矿的原理吗?如何排查挖矿进程?
15、感觉你对于渗透测试了解多一点,你觉得怎么样学好渗透测试?
16、如何在短期内学习网络安全?
17、如果让你带领你的学弟学妹们学习渗透测试?你觉得学习的重点是什么?
18、将来打算做哪一个方向的安全?
19、反问(因为我觉得我应急回答的不好,所以问了如何学好应急)
HR面
现在很多公司校招不仅看重技术,还看重个人的价值观、综合能力等,所以HR面不能太随意,回答问题一定要思路清晰,有理有据,把自己的优点完美的展现出来。
1、恭喜你通过前面几轮的面试,想必之前的面试官都和你讲了此职位具体做什么了吧,可以简单介绍下吗?
2、你是通过哪些渠道了解到我们公司?
3、你知道我们公司的主要业务有哪些吗?
4、这个实习经历你有什么收获?
5、实习期间加班多吗?
6、实习中有没有遇到一些困难?如何解决的?
7、你觉得你做过最有成就感的事情是那些?
8、你觉得你个人在做人做事方面有哪些优缺点?(注意是做人做事、优缺 ,四个方面来回答)
9、平时有什么兴趣爱好?
10、读过哪些书籍?
11、女朋友相关
12、你有哪些工作意向城市?
14、你想过以后去做什么?
15、为什么不选择考研?
16、你对薪资有什么要求?
17、你对我们公司校园招聘有什么建议吗?
18、反问
结语
感觉今年就业形式不太好,投了很多公司面试机会都没收到,周围同学的压力都很大,大家如果打算做安全的话建议趁早学习准备吧,最好大三下去实习,秋招压力能小点。希望我的分享能给大家带来一些帮助,有什么问题可以评论或者私信我,看到都会回答,最后希望大家都能早日收到自己满意的offer!
8528
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
