说在前面:职位可以从各大公司微信公众号,招聘网站,Boss直聘,脉脉上获取,最好找内推
1.奇安信
- 招聘网站:http://hr.360.cn/hr/list
(1)安全攻防研究员
要求:
1. 有红蓝对抗,渗透测试经验者优先,熟练使用常用红队工具:Kali Linux,Burp Suite,Colbat Strike,Metasploit,Nmap等。
2. 熟悉防火墙、IDS/IPS、WAF、NTA、防病毒、漏洞扫描、堡垒机、身份认证、EDR等安全产品。
3. 具备日志分析经验(如IPS/IDS,防火墙,NTA,操作系统,应用程序等日志),能够从日志中发现异常。
4. 做过安全产品(WAF、IPS、EDR等)规则开发的优先。
5. 有ATT&CK框架落地实践者优先。
6. 有长期维护的安全博客,打过CTF,参加过安全会议等优先。
- 脉脉:搜360南京
(1)Web渗透测试(高级/资深)-攻防方向 20k-40k
发布职位:Web渗透测试(高级/资深)-攻防方向 20k-40k
Base:南京
职责范围
1. 负责实施渗透测试和漏洞挖掘工作,以及牵头入侵事件响应处置工作;
2. 研究最新的安全攻防对抗技术,能从防御者视角看问题,掌握各类攻击行为的特征;
岗位要求
1. 熟悉WEB安全渗透和漏洞挖掘(黑盒或白盒),熟悉漏洞的内在原理,检测方式、利用手段以及解决方法;
2. 热练使用包括但不限于PHP、python、java、C#、C++等常用编程语言一门以上,能自己开发小工具解决渗透中的问题;
3. 有较好的漏洞挖掘能力,具备新奇的漏洞利用思路;
4. 主动性、逻辑性强,具有良好的沟通、协调、组织能力和文档编写能力;
加分项
1.有至少3年的实战经验
2.在微软、Google、腾讯、阿里、360等知名厂商提交过漏洞并获得致谢
3.具有APT项目经验,且获得不错的成果
4.持有cisp等系列证书
- 看准网:https://www.kanzhun.com/job/detail_79537298.html?ka=job_list_title
(1)职位:测试开发
要求:
职位描述
岗位描述:
1. 设计测试框架,撰写测试用例和执行测试任务,完成产品测试工作
2. 创建与维护自动化测试框架,测试工具的开发与完善
3. 对测试结果进行总结与分析,提出产品改进建议和优化研发流程建议
4. 有较强的自我驱动力,能主动发现问题、解决问题、达成目标,促进团队共同成长
任职要求:
1. 本科及以上学历,一年工作以上
2. 数量掌握一门编程语言,精通自动化测试工具如TestNG、JMeter、postman 等;
3. 熟悉集成jeckins、ant maven等工具
4. 编写测试相关文档,撰写测试用例
5. 热爱测试工作,善于发现、分析和总结问题,责任心强,具备较强的沟通能力,有抗压能力
- 微信公众号:http://www.hotjob.cn/wt/qianxin/mobweb/v8/position/list?operational=a9b6648bd191d47f460873233cc5e5e3e76b8adff30a14e4fd13f9508d4841cfb492976e81519ac793c749d8453b3f590fe34bce3990249bbd9e6baff0c21055
(1)渗透测试工程师
工作描述:
岗位职责
针对大中型企业外网及内网进行渗透测试,评估企业网络安全等级
研究业界最新的内外网渗透测试技术及方法,完成Beta测试及实际应用
针对现有渗透测试工具提出改进意见,为工具开发人员提供理论支持
职位要求:
任职资格:
熟悉常见的外网渗透测试的漏洞原理及利用方法(参考OWASP TOP 10)
熟悉常见的内网渗透测试的思路及方法
熟练使用常见的外网渗透测试基础工具(如Burpsuite,nmap,sqlmap)
熟练使用常见的内网渗透测试基础工具(如MSF,empire)
加分项
熟悉C,C++,Golang等一种或多种编译型语言,熟悉Python,Ruby等一种或多种解释型语言
拥有大型企业内外网完整渗透测试经验,对APT有深入研究或有实践经验
(2)测试工程师
工作描述:
• 自动化需求分析,制定自动化测试计划和方案
• 设计、开发内部自动化测试框架
• 了解熟悉业务,对产品做性能测试
• 帮助测试工程师提高测试效率,开发工具等
职位要求:
• 3年以上B/S应用软件开发或自动化测试工作经验
• 熟悉常用数据结构、算法,熟悉高性能的设计与编码及性能调优,具备良好的代码编程习惯及文档编写能力
• 至少精通一门开发语言(java/python/php),熟悉JavaScript、Ajax、HTML/H5等前端技术
• 熟悉云计算、虚拟化,有自动化框架开发经验优先
• 具有良好的团队合作精神和积极主动的沟通意识
• 精通多线程、多进程等常用编程方法、掌握高性能网络框架开发,熟悉主流性能测试工具和测试方法,有网络安全产品(如防火墙、WAF等)测试经验佳
-
Boss直聘:
(1)渗透测试工程师
-
面经:
(1)看准app及看准网
(1)
面试了感觉问题不是很难,考基本功
主要是问了逻辑漏洞,你做过什么渗透测试项目,SQL注入细节,XSS和CSRF细节,信息收集等,基本功扎实很重要。
(2)奇安信面试经历。
问得特别细,尤其是二面,对着简历一个点一个点扣,直到问到你答不上来为止,还问了很多简历外的,差点没顶住。
Q:如果电脑中了木马,怎么手工检查。
Q:如何将密码变成明文。
Q:Weblogic的原理。
Q:常见渗透过程,太多了,记不清了,反正扣简历的很多。
2.深信服
- 面经:
(1)看准app及看准网
(1)
渗透测试工程师面试经验
首先问的是简历上你说的挖漏洞的经历,然后对你挖的漏洞进行提问。然后问内网渗透的流程,然后回答的过程的会随机提问,
然后问端口对应的服务以及漏洞,然后随机提问然后问你防止注入的方法,然后在方法中随机提问,然后问你开发的知识,
比如问我的python,问你有没有写过脚本,然后随机问你一些关键字的含义,然后继续问了很多问题有点记不清了。
3.趋势
4.亚信安全
- 不建议去,风评很差,面试可以去积累经验
- 网络安全渗透测试工程师,网络安全渗透测试工程师(这俩招聘要求是一样的),from:Boss直聘
5.SAP
- 暂无职位
6.梆梆安全
- 面经:from:看准网
web安全研究员面试
面试官背景还可以,前赛门铁克中国区安全部门的人员,现任该公司的高级安全研究员,据我后期工作的了解几乎所有的领域都能顺风顺水的做起,不过区块链安全领域比较一般,逆向方面特别牛掰。面的是web安全研究员,三轮面试hr面,技术面,vp面。hr面一般都比较轻松。
技术面的话会有一点儿朝纲,毕竟leader从事的领域分支比较广,从web安全问到了IoT安全(可能是一时试探性的问问吧),工作期间不会经常碰到,主要还是web方面的知识,android方面的开发和安全性知识,然后就是软件的逆向方面,该公司的一个产品就是加固所以这方面得深入了解了解。还有就是旁支比方说云计算领域和虚拟化技术都要作为一些了解。vp面也相对轻松。
- 面经,from:看准
web安全研究员面试
面试官背景还可以,前赛门铁克中国区安全部门的人员,现任该公司的高级安全研究员,据我后期工作的了解几乎所有的领域
都能顺风顺水的做起,不过区块链安全领域比较一般,逆向方面特别牛掰。面的是web安全研究员,三轮面试hr面,技术面,vp面。
hr面一般都比较轻松。
技术面的话会有一点儿朝纲,毕竟leader从事的领域分支比较广,从web安全问到了IoT安全(可能是一时试探性的问问吧),
工作期间不会经常碰到,主要还是web方面的知识,android方面的开发和安全性知识,然后就是软件的逆向方面,该公
司的一个产品就是加固所以这方面得深入了解了解。还有就是旁支比方说云计算领域和虚拟化技术都要作为一些了解。vp面也相对轻松。
7.启明星辰
- 渗透测试工程师,from:Boss直聘
- 面经:from:看准网
总体来说较轻松,不会刁难
常见漏洞的原理及测试方法,注入方面问了orcle的,常见漏洞的修复方案 ,说说自己的项目经验或者日过的站~
8.赛宁网安
- 安全开发工程师,from:Boss直聘
9.中通服
10.长亭科技
- 安全服务工程师,from:Boss直聘
- 面经:,from:看准
(1)
一轮电话面,岗位是渗透实习
一轮电话面,岗位是渗透实习,HR问了一大串问题,有些话听不太清楚。
1.sql注入的分类;
2.sql注入limit注入和orderby注入;
3.xss打cookie如何绕过http-only;
4.csrf如何防御;
5.解释一下dom型xss,waf能防御dom型xss吗?如何防御?
6.ssrf如何打内网的redis?
7.php中的魔术方法有哪些?
8.常见web容器有哪些漏洞?
9.审计过哪些cms?
10.MySQL有哪些提权方式;
11.拿到一台服务器的system权限如何横向渗透;
12.Java的三大框架有哪些漏洞;
13.之前的实习经历;
14.你有什么问题问我?
(2)巨硬核面试
去面安全研究员实习,一共两面。hr姐姐和技术人员超级和善,整个面试过程相当好,问的问题去比较深入,
从web到二进制基本都有涉及。操作系统和elf格式等问题问的比较多,linux下hook的方式啥的。web方面各种注入的操作
以及ssrf的花式打法问了一些。然后面试结束一个小时之后,hr告诉我基本没啥问题了,第二天收到了offer。超级开心心哈哈哈哈。
(3)
一共三面,两面技术,一面HR,二面之后挂了,不知道为啥。
一共三面,两面技术,一面HR,二面之后挂了,不知道为啥。说回面试,一面问的基本都是常见的问题,owasp top10 基本都有涉
猎,部分问题。
一面sql注入原理sql注入,orderby的注入,sql注入的最大化利用sql注入提权,提权原理sql注入如何获取网站源码
sql注入常见的绕过sql注入无回显如何快速获取数据xss 相关的 挖掘,绕过,利用,原理xss 设置了http only如
何最大化利用csrf ssrf 区别,还有挖掘过程xxe挖掘过程php,xxe相关函数php,反序列化相关函数,原理php,魔
术引号php,弱类型实战文件上传相关挖掘,绕过有没有绕过waf内网渗透,域渗透经验java中间件常见漏洞会不会代码审
计,如何审有没有写过工具,介绍下工具等等。
二面挖掘过的最有意思的漏洞weblogic相关漏洞详细介绍下工具,实现方法,实现难度等等,个人以后发展方向等
等,然后等了4天被拒了。有点难受,我还是太菜了。
(4)一轮电话面
一轮电话面,渗透技术岗,面试官感觉一直在问一些应届生才回答的书本理论问题,所以接触到的面试官问题水平很一般,
问题问的很莫名,无法理解其考点,总体面试不难,但过程不靠谱。
11.vivo
- 移动安全渗透工程师,from:Boss直聘
12.字节跳动
13.华为
- 渗透测试工程师,from:Boss直聘
- 面经:from看准
1面为技术面,是我当...
1面为技术面,是我当前的主管的面试,而面为群面,由于过年人员不够,变成多个主管对我一个人的群面
,3面为HR面试,4面为综合面,听说是3级主管的面试
Q:1、擅长使用的安全工具。
2、针对简历上的项目提的问题。
3、渗透测试的流程
14.华泰证券
- 网络安全工程师,from:Boss直聘
14.其他公司面经
- 安恒渗透测试实习生技术面面经
链接:https://www.nowcoder.com/discuss/398285?channel=-1&source_id=subject_nctrack
安恒的面试非常的长,真的很难熬,一个多小时,面试官老哥对我重重打压,紧追不舍的逼问实在太痛苦,那种答不上来的感觉就好像全世界化成了黄油我却淹死在了里面一样。窒息
一开始并没有自我介绍.......
假如现在给你一个网站,你会怎么样去进行渗透测试,见多说一下你的思路:
六大步骤:信息收集,漏洞扫描,漏洞利用,内网渗透,痕迹清除,撰写报告
信息收集的话先.....此处略
(面试官提问比较刁钻,从渗透流程为整个切入点)
如何判断是否CDN?
要是ping都一样就能判断真的没有CDN了吗?
要是有CDN如何绕过?
会熟练使用SQL注入吗?
能不能僬侥的说一下sql注入的原理的理解:
SQL注入分为哪几种?
SQL注入可能存在于什么地方?
简单介绍一下你的SQL注入流程:
说一下SQL注入一开始用来判断数据库类型的语句是什么?
会用sqlmap吗?
说一下简单地使用方法命令:
说几个你最常用的tamper脚本名称
我心里:WTF?!名称??名称???名称?????
面试官(叹了口气,我心中又紧张不少)接着说xss了解吗?
xss的原理是什么?
前端?仅仅是存在与前端吗?
xss用script就可以反射了吗?
存储和反射有什么区别?
本质上的区别
尴尬的沉默中....
要是给你一个登录框,可能存在什么样的漏洞?
逻辑漏洞?能不能给我说几个你知道的逻辑漏洞的类型?
我们企业有渗透测试和安全服务两大块,你的意向是....?
我自闭了,真的很难受,问的我整个人都不好了,整一天都很难受
- 上海B站
面试有点难度,有深度
填表、做题,大约半个小时的题量,都是常规题,数组扁平,深拷贝,垂直居中,promise,接着三轮面试,直属领导,前端leader,部门总监,就这就是hr谈薪资了。
- 绿盟
绿盟渗透测试工程师面试。
一笔三面
一面部门主管面试,自我介绍,问了一些基础性问题,web安全常见漏洞,问了家庭情况相关的。
二面总经理面试,还是问了些技术问题
三面VP面,主要就是聊天,职业规划,家庭情况。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
