2020春招实习安全岗面经及总结
一个头铁的菜鸡web安全选手的白给面经= =
记录一下,希望对自己和其他师傅能有所帮助。
(找工作真的太难了,被生活的现实毒打
投递公司
- 字节跳动
- 极光无限
- 腾讯
- 京东
- 华为
- 度小满金融
- 小米
- OPPO
PS:由于各个厂招聘时间差的有点多,拿到offer后签约时间比较短,后面几个厂的笔试/面试就全部放弃了。
字节跳动
岗位:安全开发实习生
base:北京
结果:一面挂
面试问题:
- xss类型,具体利用方式如钓鱼怎么实施,防御
- csrf攻击,具体利用方式,防御
- sql注入攻击以及防御(最基础的那种
- php反序列化,常用魔术方法以及pop链挖掘思路
- tcp是怎么实现可靠传输的
体验:hr的各种操作一言难尽。一面问的都挺基础的,面试时间大概25分钟,最后被晾了一礼拜,gg,挂的莫名其妙的。找内推的学长问了一下,是开发这边觉得更适合攻防,送去攻防那边了,然后攻防那边简历评估没过。
极光无限
岗位:渗透测试实习生
base:苏州
结果:笔试挂
笔试问题:给你一个服务器的ip,要求在36小时内拿到flag,并且拿到尽可能高的权限。
体验:扫描了靶机,只有ssh、smtp和pop3服务,其他的什么都没有,爆了半天的弱口令也没进去,不知道是什么神仙操作,还是自己太菜了。
腾讯
科恩实验室
岗位:web安全实习生
base:上海
结果:二面挂
面试问题:
404 Not Found
TEG事业群
岗位:后台策略安全/应用运维安全
base:深圳
流程:两面技术 + 一面HR
结果:offer签约
面试问题:
- 自我介绍
- 最近做的CTF赛题
- 二次注入的防御措施
- 代码审计的思路
- 如何快速定位攻击流量和漏洞利用点,以及攻击溯源
- 威胁情报
- 爬虫与反爬虫
- 应用安全测试经历,以及快速测试大量应用的解决方案
- 使用过哪些扫描器,各自优缺点
- 个人优缺点,未来发展意愿
体验:本来是想投科恩的,也就是Csig那边,结果投错投到Teg了,简历被锁了两周,终于发起面试了。腾讯校招只能选择方向,不能细分到岗位,也就是除非你有对应部门的招聘信息+内推,才比较有希望直接面到对应的岗位,不然会面到什么岗位也不清楚。Teg这边技术面没有提前约时间,电话打过来直接就开始面试,时间有时候就会很尴尬。面试时间较短,业务方向更偏向做业务安全,入侵检测,威胁情报,面试也比较侧重这方面。整个流程下来差不多三周,主要是发起面试之前耽搁了太久。最后能拿到offer也挺意外的,签约时间只给了三天,也没有别的选择,就选择签约了。
经验总结
- 早点关注,早点投递。像字节的安全部门元旦就开始招实习了,等我三月份投的时候,严重怀疑已经没有hc了。
- 如果有认识靠谱的学长学姐的话,可以联系帮忙内推一下,尤其是部门内部的内推,会比系统上的内推更有用。
- 觉得自己菜的话,也不要放弃投一些国内顶尖的地方,比如科恩,玄武,长亭安研,阿里云安全,360 alpha team等等一些地方。虽然大概率白给,但是这些公司的面试经历也会是一个很不错的学习经历。(头太铁的可以尝试全部投一遍
- 想投递的公司,最好先打听一下风评,看一看offershow。一些经常毁约,薪资低的出奇(我没有黑小米),补贴全取消的(我也没有黑海康)公司,还是慎重考虑一下吧。
- 不要乱选择部门,选择之前最好向认识的学长或者对应部门的HR咨询一下,不然可能会出现没有对口岗位的尴尬情况。
- 自我介绍需要提前准备一下,你可以通过自我介绍,引导面试官更多的去问你擅长的方面,避免全程白给。
- 算法题,数据结构是需要准备的。如果有笔试,安全岗依然逃不掉;面试面到wxg的话,还是会被问算法、数据结构的。leetcode跑不掉终归是跑不掉的,老实刷就完事,剑指offer也可以看看。
- 关注最新的安全动向,关注新爆出的0day,没事自己复现一下cve。
- 规划下个人的发展方向,安全行业方向太多了,吃透一个方向都能成为大师傅。
- 面试的时候一定要在提问的时候,问清楚具体部门,岗位,工作的大致内容,方向这些信息。
- 选择甲方还是乙方,主要还是看个人叭。
- 春招实习,offer签约时间可能会很短,是否要签约更多取决于你对公司和岗位的满意程度。同时拿多个offer,选择一家签约不太现实,因为各个公司的招聘时间差的很多,签约时间段内,不太可能同时拿到多个offer。至于先签约多个最后再毁约的骚操作,我个人是不支持的,个人信誉还是很重要的,除非是不可避免的原因,尽量不要毁约。