2019秋招/实习安全面经及总结

安全面经少之又少，我也为大家做做贡献XD，虽然我是个菜鸡….

我主要是做Web安全的辣鸡CTF选手，二进制只会F5，经常写B站的脚本工具啥的，靠着这个在Github上骗star，当作亮点(雾

Github链接

下面介绍一下我3月份实习和789月份秋招投递的公司

以下仅写有回复的公司，一点消息没有的就不写了，有的是自己放弃了笔试，有的是公司不给回复，还有的公司可能是忘了….时间周期太长了

3月实习投递公司

• 腾讯
• 华为
• 海康威视
• 微众银行
• 深信服

腾讯（挂）

提前批刚开始，就直接投递+找学长内推了腾讯，一共接到了三个一面，全挂，导致秋招没人捞。。。
主要问的问题:
    1、自我介绍
    2、讲述最有趣的渗透经历
    3、讲述做的最有趣的CTF题目
    4、渗透测试流程
    5、有没有绕过waf
    6、mysql数据库的@和@@有什么区别
    7、mysql的两种引擎介绍一下
    8、写没写过爬虫，都怎么做的
    8、熟不熟悉内网渗透？
    9、osi七层模型和tcp/ip模型
    10、python GIL锁
    11、用多线程还是协程，讲讲异步协程事件循环
    12、CSRF防范
    13、xss类型，防范
    14、sql注入类型，如何防范
    15、CSP了解吗
    16、写过burp插件吗
    17、有博客吗
    18、想不起来了

华为（挂）

合肥地区现场面，在高速开元大酒店
面试体验差，让我对华为的印象从差变成更差了。
现场分两面，第一面技术，第二面综合面，现场签到后就等着叫号就行了，我的前端同学先去面了，出来后反馈，面试官是海思部门的，对前端一窍不通，问了问汇编、操作系统、cpu设计、手撕算法。然后我的前端同学挂了。
轮到我时，面试官不懂安全，首先让我自我介绍，然后说，"你简历挺不错的，我觉得都挺好，你去外面等综合面吧"，然后就没了，我的技术面一共5分钟
综合面答的并不好，问了问个人爱好，优缺点，家庭情况，期望薪资什么的，我性格测评和综合面好像都挂了，华为结束。
(提醒后人做华为的性格测评之前，一定要看看知乎，华为的测评刷人率贼高)))

海康威视（offer 拒）

1面技术+1面hr
1、实习主要做了啥
2、sql注入类型，讲讲原理，如何防范
3、介绍下owasp top10
4、应急响应流程
5、比赛做什么的
6、剩下的想不起来了
记得我好像是投的岗位要求C或者JAVA，问了下面试官只写python怎么办，面试官回复他们有很多部门，用python的也有。
hr面有了前面华为的教训，我已经恶补了一下了，没啥大问题
后面违约了。。。

深信服(offer 拒)

投了个渗透测试工程师，我真菜啊，当时不知道这是干啥的，以为是技术，原来是安服，后面拒了
问了啥也没什么印象，反正挺简单的，水水就过，毕竟不是啥研究院

微众银行(offer 入职)

这个很久很久之前就投了，一面面的感觉还可以，我当时已经打算海康入职了，结果来电话约了个二面
2面技术+1面hr
一面：
1、笔试为啥做的这么差
2、应急响应流程，入侵排查，溯源
3、https抓包
4、android为什么有时候抓不到https的包
5、自己常用的安全工具，介绍一下
6、介绍一下自己写的burp插件是干嘛的
7、部分简单安卓逆向
8、面试官介绍了一下自己部门做什么的，SDL相关

二面(部门长)：
1、为啥想来webank
2、和海康相比，为啥选择webank
3、大安全方面，企业安全建设问了一点

面试体验很好，就是等的时间太长了。。。笔试做的这么差还被捞了，感谢🙏
后面也是在微众实习了两个月，公司很好，氛围也不错，转正留用了

7/8/9月秋招投递公司

• vivo
• 字节跳动
• 网易互联网
• 远景能源
• 蘑菇街
• 科大讯飞
• 小米
• 阿里巴巴

vivo(offer 拒)

1面技术+1面hr
1、面试官上来就说看过我github了，项目star非常多，项目也不少，很强，一定是安全圈有名的大佬(并不是))
2、让我自我介绍了一下
3、介绍完后面试官:"我觉得我没啥可以问的了，你太强了"
4、稍微问了下之前实习魔改的cobra是怎么回事
5、结束

vivo的hr面很迷惑，是现场面，我去了之后就是常规问题，然后问我意向工作地是哪里，因为一面面试官和我说了他们公司在深圳宝安区，所以我问了句，不是只有深圳吗
hr回复 深圳没了，杭州 xx xx xx 你选一个吧。然后我选了杭州，问了问手里的offer情况什么的，说是第二天会给回复

第二天23点多，接到了意向书和带薪资的邮件，默认选了方案B，工资过于白菜价，不配让我9116，而且工作地竟然变成了深圳，太迷惑了。拒了

字节跳动(挂)

笔试挂，我算法好菜......感觉安全岗考算法也是很尴尬了

网易互联网(挂)

1、自我介绍
2、CRLF了解吗，能造成什么危害
3、ssrf和csrf区别
4、ssrf和csrf如何防范
5、XSS相关
6、25端口是干嘛的，如何从这个端口入手拿下服务器
7、关于主机层面的漏洞有没有挖过
8、sql注入类型，原理
9、问问项目，实习里做的东西

网易问的感觉很冷门，偏向于主机安全？应该不侧重于web安全，面的挺差的，挂

远景能源

海投的公司，快两个月了不给拒信也不给下一轮面试，不知道要干嘛
1、自我介绍
2、渗透测试流程
3、安全测试主要测哪些
4、CTF是干嘛的，线下AWD主要负责哪方面的工作
5、对远景了解吗
6、其它的忘了

因为海投，所以直说了不了解，然后面试官介绍了一下他们的工作，问了我的发展方向，听起来远景好像是做乙方工作的？

蘑菇街(offer)

2技术+1hr
首先蘑菇街的面试不管是线上面试还是线下面试，体验都是非常好，必须要夸一下。
1、自我介绍
2、实习经历、项目介绍(面试官看我是做bilibili的，开始了亲切的交谈)
3、手写二分排序
4、挑了几个项目进行详细介绍，对实习内容详细问了问
5、别的忘了。。。

记的不是很清晰了。。蘑菇街周期好长。。。
继续夸一波面试官非常有礼貌，对于我没想起来的地方也会加以引导
再夸一波现场面的hr，带我参观介绍了蘑菇街的整栋楼，顶楼直播间，下面电竞室，一楼咖啡厅(签到还送了一杯咖啡券)，办公室工位，讲了讲吃饭的问题，讲了讲上下班时间什么的，体验很棒

科大讯飞(offer 拒)

2技术+1hr
科大讯飞安全刚起步，作为增值服务附加到产品上的，感觉公司内对安全的推动力不够。
一面面试基本上就是我问问题，面试官没问几个问题，问了问misc隐写都有哪些类型，其它都是常规问题，技术深度很浅。
二面两个人一起面的我，可能我一面说的薪资要求太高了？
1、讯飞产品了解吗，选一个产品说一下你的渗透思路
2、依据什么定的期望薪资
3、xss容易受到攻击的点
4、sql原理
5、加密方式，https流程，rsa懂吗，对称加密和非对称加密
6、消息摘要 数字签名
7、做的项目介绍一下
8、burp如何测试越权
9、如何防护XSS，CSP？
10、忘了

最近讯飞风评很不好，慎重考虑

小米(offer 拒)

2+1
被升了sp...薪资还是不满意，所以拒了
一面:
1、一个小姐姐面的，主要探讨了ssrf及其绕过方式
2、讲了讲小米开源的github监控
3、长篇的自我介绍
4、面试官介绍她们部门
二面:
python开发方面的东西
__del__
__init__
面向对象怎么理解的
继续探讨ssrf相关
dns rebind

小米其实还是不错的，但是薪资不太满意，要求9.30之前给答复(逼签...?)，本来还能考虑下，催的太紧只能拒绝了
我更想去武汉2333，生活成本会低点

阿里巴巴(挂)

内推到云安全部，4面技术+1面hr+1面技术，第六面挂。
我太难了.jpg
面试内容随便写写吧:
    1、爬虫与反爬虫
    2、破解验证码与防破解验证码
    3、安卓端的哪些参数能用来风控
    4、安全测试、渗透测试、测试的区别
    5、如何建设企业安全
    6、sql盲注除了sleep、benchmark、还有什么
    7、java白盒审计
    8、如何绕waf
    9、对于fastjson，如果waf过滤了payload，如何构造一个新的绕过
    10、项目、实习经历
    11、如果对方用了chrome无痕浏览，如何判断这人的身份
    12、设计一套既不影响用户体验，风控还做的好的方案
    13、反序列化原理
    14、weblogic相关
    15、时事漏洞相关

面到最后，问的很深，有很多不会的，我好菜。
面试流程还是非常快的，技术面基本上一天一面，hr面等了一周，
没找别的部门捞一下，有点可惜，六面挂了也有点可惜...好好学习吧

实习/秋招经验总结

1、实习提前批刚开始的时候最好不要投递大厂，投一些中小厂试试水，积累面试经验，看面经，整理文档。因为大厂挂了就很难接着被捞了，像阿里，就一次机会的。。
2、提前准备hr面的问题，这种东西面多了就会了，知乎搜一搜，自己提前想好要说什么，技术面过了hr面没过才是最惨的
3、找人内推找个靠谱点的...有的内推人就非常不靠谱，多去牛客啥的论坛看看
4、如果想考公务员，大二开始准备国考吧，多看学校的宣讲会是否有这种招聘，有的公务员待遇真的超出想象。
5、自我介绍要准备充分，我一般都是 基本信息+目标方向+编程语言+个人突出特点(Github或者博客特别nb)+开发方面项目经历+安全方面项目经历+实习经历+比赛奖项
6、不能被面试官问着走，要主动提出自己擅长xxx方面，然后开始讲自己的优势。你不说，面试官不会知道你的亮点在哪，只能按常规问
7、能刷点算法题就刷点，虽然我个人觉得安全岗笔试题考算法很不妥，但是谁让人家就是要考呢，没啥办法
8、实习经历很重要。多实习，多换几家公司实习，开拓视野增长见识不是开玩笑的
9、项目经历很重要。没有项目怎么办，那就现在开始写啊，安全工具写起来，Github撑撑场面，大部分的面试官没可问的就开始问项目了，必须要有项目
10、关注时事，关注最新的安全工具，关注最新爆出的洞，有时间就做复现，了解原理，最新的安全会议也可以关注下
11、规划好路线，安全方向众多繁杂，挑1-3个自己感兴趣的，愿意一直做下去的方向，最好是1个方向
12、有的公司可以谈薪资，但是谈薪资前至少要有能与之竞争的offer再谈。。
13、多问，除了你实习的公司，你对别的公司一无所知，每次面试结束的时候，都问问对方是什么部门的，他们部门主要做什么，他主要做什么。和hr谈的时候，就是各种福利要问好(有无班车/有无户口/五险一金按最低还是最高/加班情况/996？/班车？/住房补贴？/餐饮补贴？/晋升路线/调薪次数/调薪涨幅/年终奖几个月/安全部门年终奖平均几个月/签字费？)，当然，很多知名大厂，不用问随便搜一下也就有了
14、充分利用offershow，关注招聘动态/公司最新薪资，爆不爆料的无所谓，想爆料保护好自己就行。
15、我个人投的都是甲方公司，我不能接受经常出差，应付不懂技术的客户，做售后服务，无聊驻场等。选择甲方还是乙方还是看个人吧，我只想安静的学学技术
16、拒offer不用尴尬，不想去的公司越早拒越好，让hr多点时间去找下一个候选人才是他们想要的
17、hr的嘴，骗人的鬼。多看看offershow，多看看论坛，避免暴雷踩坑，有的hr是的确会骗人的。
18、一些经常毁约，撤回offer，裁员严重，风评不好的公司就不要投了吧，不值得。

更新(2020.3.8)

听师傅说被公众号引用了，更新一下，作者去了网易互娱，面试内容在这里提两句
1、apk解包逆向、简单脱壳
2、Android6以上的手机APP抓包、ssl pinning
3、游戏apk大部分都有py、lua脚本，说一下怎么逆这些。提了opcode、magic nubmer
4、记不起来了