Dawnnnnnn

随缘记录_(:3 」∠ )_

记录一些平时遇到的问题_(:3 ⌒゙)_


欢迎(〃∀〃)

2019秋招/实习安全面经及总结

安全面经少之又少,我也为大家做做贡献XD,虽然我是个菜鸡….

我主要是做Web安全的辣鸡CTF选手,二进制只会F5,经常写B站的脚本工具啥的,靠着这个在Github上骗star,当作亮点(雾

Github链接

下面介绍一下我3月份实习和789月份秋招投递的公司

以下仅写有回复的公司,一点消息没有的就不写了,有的是自己放弃了笔试,有的是公司不给回复,还有的公司可能是忘了….时间周期太长了

3月实习投递公司

  • 腾讯
  • 华为
  • 海康威视
  • 微众银行
  • 深信服

腾讯(挂)

提前批刚开始,就直接投递+找学长内推了腾讯,一共接到了三个一面,全挂,导致秋招没人捞。。。
主要问的问题:
    1、自我介绍
    2、讲述最有趣的渗透经历
    3、讲述做的最有趣的CTF题目
    4、渗透测试流程
    5、有没有绕过waf
    6、mysql数据库的@和@@有什么区别
    7、mysql的两种引擎介绍一下
    8、写没写过爬虫,都怎么做的
    8、熟不熟悉内网渗透?
    9、osi七层模型和tcp/ip模型
    10、python GIL锁
    11、用多线程还是协程,讲讲异步协程事件循环
    12、CSRF防范
    13、xss类型,防范
    14、sql注入类型,如何防范
    15、CSP了解吗
    16、写过burp插件吗
    17、有博客吗
    18、想不起来了

华为(挂)

合肥地区现场面,在高速开元大酒店
面试体验差,让我对华为的印象从差变成更差了。
现场分两面,第一面技术,第二面综合面,现场签到后就等着叫号就行了,我的前端同学先去面了,出来后反馈,面试官是海思部门的,对前端一窍不通,问了问汇编、操作系统、cpu设计、手撕算法。然后我的前端同学挂了。
轮到我时,面试官不懂安全,首先让我自我介绍,然后说,"你简历挺不错的,我觉得都挺好,你去外面等综合面吧",然后就没了,我的技术面一共5分钟
综合面答的并不好,问了问个人爱好,优缺点,家庭情况,期望薪资什么的,我性格测评和综合面好像都挂了,华为结束。
(提醒后人做华为的性格测评之前,一定要看看知乎,华为的测评刷人率贼高)))

海康威视(offer 拒)

1面技术+1面hr
1、实习主要做了啥
2、sql注入类型,讲讲原理,如何防范
3、介绍下owasp top10
4、应急响应流程
5、比赛做什么的
6、剩下的想不起来了
记得我好像是投的岗位要求C或者JAVA,问了下面试官只写python怎么办,面试官回复他们有很多部门,用python的也有。
hr面有了前面华为的教训,我已经恶补了一下了,没啥大问题
后面违约了。。。

深信服(offer 拒)

投了个渗透测试工程师,我真菜啊,当时不知道这是干啥的,以为是技术,原来是安服,后面拒了
问了啥也没什么印象,反正挺简单的,水水就过,毕竟不是啥研究院

微众银行(offer 入职)

这个很久很久之前就投了,一面面的感觉还可以,我当时已经打算海康入职了,结果来电话约了个二面
2面技术+1面hr
一面:
1、笔试为啥做的这么差
2、应急响应流程,入侵排查,溯源
3、https抓包
4、android为什么有时候抓不到https的包
5、自己常用的安全工具,介绍一下
6、介绍一下自己写的burp插件是干嘛的
7、部分简单安卓逆向
8、面试官介绍了一下自己部门做什么的,SDL相关

二面(部门长):
1、为啥想来webank
2、和海康相比,为啥选择webank
3、大安全方面,企业安全建设问了一点

面试体验很好,就是等的时间太长了。。。笔试做的这么差还被捞了,感谢🙏
后面也是在微众实习了两个月,公司很好,氛围也不错,转正留用了

7/8/9月秋招投递公司

  • vivo
  • 字节跳动
  • 网易互联网
  • 远景能源
  • 蘑菇街
  • 科大讯飞
  • 小米
  • 阿里巴巴

vivo(offer 拒)

1面技术+1面hr
1、面试官上来就说看过我github了,项目star非常多,项目也不少,很强,一定是安全圈有名的大佬(并不是))
2、让我自我介绍了一下
3、介绍完后面试官:"我觉得我没啥可以问的了,你太强了"
4、稍微问了下之前实习魔改的cobra是怎么回事
5、结束

vivo的hr面很迷惑,是现场面,我去了之后就是常规问题,然后问我意向工作地是哪里,因为一面面试官和我说了他们公司在深圳宝安区,所以我问了句,不是只有深圳吗
hr回复 深圳没了,杭州 xx xx xx 你选一个吧。然后我选了杭州,问了问手里的offer情况什么的,说是第二天会给回复

第二天23点多,接到了意向书和带薪资的邮件,默认选了方案B,工资过于白菜价,不配让我9116,而且工作地竟然变成了深圳,太迷惑了。拒了

字节跳动(挂)

笔试挂,我算法好菜......感觉安全岗考算法也是很尴尬了

网易互联网(挂)

1、自我介绍
2、CRLF了解吗,能造成什么危害
3、ssrf和csrf区别
4、ssrf和csrf如何防范
5、XSS相关
6、25端口是干嘛的,如何从这个端口入手拿下服务器
7、关于主机层面的漏洞有没有挖过
8、sql注入类型,原理
9、问问项目,实习里做的东西

网易问的感觉很冷门,偏向于主机安全?应该不侧重于web安全,面的挺差的,挂

远景能源

海投的公司,快两个月了不给拒信也不给下一轮面试,不知道要干嘛
1、自我介绍
2、渗透测试流程
3、安全测试主要测哪些
4、CTF是干嘛的,线下AWD主要负责哪方面的工作
5、对远景了解吗
6、其它的忘了

因为海投,所以直说了不了解,然后面试官介绍了一下他们的工作,问了我的发展方向,听起来远景好像是做乙方工作的?

蘑菇街(offer)

2技术+1hr
首先蘑菇街的面试不管是线上面试还是线下面试,体验都是非常好,必须要夸一下。
1、自我介绍
2、实习经历、项目介绍(面试官看我是做bilibili的,开始了亲切的交谈)
3、手写二分排序
4、挑了几个项目进行详细介绍,对实习内容详细问了问
5、别的忘了。。。

记的不是很清晰了。。蘑菇街周期好长。。。
继续夸一波面试官非常有礼貌,对于我没想起来的地方也会加以引导
再夸一波现场面的hr,带我参观介绍了蘑菇街的整栋楼,顶楼直播间,下面电竞室,一楼咖啡厅(签到还送了一杯咖啡券),办公室工位,讲了讲吃饭的问题,讲了讲上下班时间什么的,体验很棒

科大讯飞(offer 拒)

2技术+1hr
科大讯飞安全刚起步,作为增值服务附加到产品上的,感觉公司内对安全的推动力不够。
一面面试基本上就是我问问题,面试官没问几个问题,问了问misc隐写都有哪些类型,其它都是常规问题,技术深度很浅。
二面两个人一起面的我,可能我一面说的薪资要求太高了?
1、讯飞产品了解吗,选一个产品说一下你的渗透思路
2、依据什么定的期望薪资
3、xss容易受到攻击的点
4、sql原理
5、加密方式,https流程,rsa懂吗,对称加密和非对称加密
6、消息摘要 数字签名
7、做的项目介绍一下
8、burp如何测试越权
9、如何防护XSS,CSP?
10、忘了

最近讯飞风评很不好,慎重考虑

小米(offer 拒)

2+1
被升了sp...薪资还是不满意,所以拒了
一面:
1、一个小姐姐面的,主要探讨了ssrf及其绕过方式
2、讲了讲小米开源的github监控
3、长篇的自我介绍
4、面试官介绍她们部门
二面:
python开发方面的东西
__del__
__init__
面向对象怎么理解的
继续探讨ssrf相关
dns rebind

小米其实还是不错的,但是薪资不太满意,要求9.30之前给答复(逼签...?),本来还能考虑下,催的太紧只能拒绝了
我更想去武汉2333,生活成本会低点

阿里巴巴(挂)

内推到云安全部,4面技术+1面hr+1面技术,第六面挂。
我太难了.jpg
面试内容随便写写吧:
    1、爬虫与反爬虫
    2、破解验证码与防破解验证码
    3、安卓端的哪些参数能用来风控
    4、安全测试、渗透测试、测试的区别
    5、如何建设企业安全
    6、sql盲注除了sleep、benchmark、还有什么
    7、java白盒审计
    8、如何绕waf
    9、对于fastjson,如果waf过滤了payload,如何构造一个新的绕过
    10、项目、实习经历
    11、如果对方用了chrome无痕浏览,如何判断这人的身份
    12、设计一套既不影响用户体验,风控还做的好的方案
    13、反序列化原理
    14、weblogic相关
    15、时事漏洞相关

面到最后,问的很深,有很多不会的,我好菜。
面试流程还是非常快的,技术面基本上一天一面,hr面等了一周,
没找别的部门捞一下,有点可惜,六面挂了也有点可惜...好好学习吧

实习/秋招经验总结

1、实习提前批刚开始的时候最好不要投递大厂,投一些中小厂试试水,积累面试经验,看面经,整理文档。因为大厂挂了就很难接着被捞了,像阿里,就一次机会的。。
2、提前准备hr面的问题,这种东西面多了就会了,知乎搜一搜,自己提前想好要说什么,技术面过了hr面没过才是最惨的
3、找人内推找个靠谱点的...有的内推人就非常不靠谱,多去牛客啥的论坛看看
4、如果想考公务员,大二开始准备国考吧,多看学校的宣讲会是否有这种招聘,有的公务员待遇真的超出想象。
5、自我介绍要准备充分,我一般都是 基本信息+目标方向+编程语言+个人突出特点(Github或者博客特别nb)+开发方面项目经历+安全方面项目经历+实习经历+比赛奖项
6、不能被面试官问着走,要主动提出自己擅长xxx方面,然后开始讲自己的优势。你不说,面试官不会知道你的亮点在哪,只能按常规问
7、能刷点算法题就刷点,虽然我个人觉得安全岗笔试题考算法很不妥,但是谁让人家就是要考呢,没啥办法
8、实习经历很重要。多实习,多换几家公司实习,开拓视野增长见识不是开玩笑的
9、项目经历很重要。没有项目怎么办,那就现在开始写啊,安全工具写起来,Github撑撑场面,大部分的面试官没可问的就开始问项目了,必须要有项目
10、关注时事,关注最新的安全工具,关注最新爆出的洞,有时间就做复现,了解原理,最新的安全会议也可以关注下
11、规划好路线,安全方向众多繁杂,挑1-3个自己感兴趣的,愿意一直做下去的方向,最好是1个方向
12、有的公司可以谈薪资,但是谈薪资前至少要有能与之竞争的offer再谈。。
13、多问,除了你实习的公司,你对别的公司一无所知,每次面试结束的时候,都问问对方是什么部门的,他们部门主要做什么,他主要做什么。和hr谈的时候,就是各种福利要问好(有无班车/有无户口/五险一金按最低还是最高/加班情况/996?/班车?/住房补贴?/餐饮补贴?/晋升路线/调薪次数/调薪涨幅/年终奖几个月/安全部门年终奖平均几个月/签字费?),当然,很多知名大厂,不用问随便搜一下也就有了
14、充分利用offershow,关注招聘动态/公司最新薪资,爆不爆料的无所谓,想爆料保护好自己就行。
15、我个人投的都是甲方公司,我不能接受经常出差,应付不懂技术的客户,做售后服务,无聊驻场等。选择甲方还是乙方还是看个人吧,我只想安静的学学技术
16、拒offer不用尴尬,不想去的公司越早拒越好,让hr多点时间去找下一个候选人才是他们想要的
17、hr的嘴,骗人的鬼。多看看offershow,多看看论坛,避免暴雷踩坑,有的hr是的确会骗人的。
18、一些经常毁约,撤回offer,裁员严重,风评不好的公司就不要投了吧,不值得。
更早的文章

2019华为笔试题代码

之前因为赶火车,在KFC匆匆忙忙的做了点,只AC了第一题,第二题写了个开头就交卷了,第三题看了一眼,确认过眼神,是很难的题。所以后来回来后只抽空做了第二题,在这里贴一下第一题和第二题的代码做个记录。之前没刷过算法题,也没看过算法方面的东西。。以为笔试会是安全方面的题,没想到竟然是统一的题。比较难受。代码比较渣,只求能用。第一题import sys# 连续输入字符串(输入字符串个数为N,每个字符串长度不大于100,输入字符串间按照空格键分隔),请按长度为8拆分每个字符串后输出到新的字符串数组...…

继续阅读