0x00前言
第一次面試沒有經驗,第一個面試電話接到的時候手都在抖2333,但到面試了幾個公司後,也漸漸放得開了許多
今年9月份就步入大四,因此再4月份時候也參加過幾家公司的安全類的實習生的面試,其中有甲方公司,也有乙方公司。實習是找到了。但是通過面試也發現自己的很多不足,這裏就稍微總結下
對於甲方和乙方公司的不同在於,甲方公司如阿里,騰訊等主要考察的是整體知識,也就是需要具備廣而全的知識儲備,瞭解如果某一環節出了安全問題,需要有處理的思路
乙方公司如360,綠盟等更偏重於滲透的技巧,會詳細到某些手法的應用
簡而言之,甲方需要的人懂得知識要廣而全,乙方需要的人是熟而精
面試的流程主要是:投簡歷、筆試、面試(技術面1-3輪)、收到offer郵件
有時候有內推是可以忽略到筆試這個環節,筆試是線上,面試是電話
0x01筆試和麪試問題
因爲過了2周了,下面問題有可能記錄不全,問題就先羅列下,答案因爲每個人回答都是不同的,我也不能保證自己的回答是準確的答案,所以就沒有寫自己的回答答案(其實是我懶)
筆試
筆試的環境是用瀏覽器打開答題頁面,瀏覽器會開啓攝像頭,人必須盯着屏幕。如果切換QQ,或其他網頁頁面,系統會檢查,如果切換一定的次數就記作弊。
甲方公司:
筆試題目有簡答題13道,內容特別的廣,下面問題不是題目本身的問題,我只是把要考的內容給提煉一下
1.對RSA實現的詳細描述
2.對某求質素算法的實現,求時間複雜度,並估算計算1024byte的數據處理需要多長時間(好久沒搞算法了,記憶有點模糊)
3.對docker安全的簡述題目提供了幾條docker的容器運行時的命令參數
4.對ios越獄操作的實現原理
5.對越權漏洞的檢驗和處理思路
6.如何使自己的代碼運行到內核裏面
7.其他暫時記不得了,web類的題目也就2道左右
乙方公司:
筆試題目是30道選擇題和3道簡答題,選擇題有ACL等配置命令,也有web的一些問題,這裏就寫一下3道簡答題的內容
1.對sql注入的形成原因理解,和處理方式
2.對中間件容器各版本的漏洞的描述,和處理方式
3.owasp的有哪些漏洞(我答得最近的top10,最後個忘了....)
面試
面試都會通過電話,如果過了它會之後再打,如果沒過就沒消息了。如果有多輪技術面,一般是第一輪普通員工面,他們只會做記錄並提交給部門技術主管,最後輪技術面會根據提交的記錄選擇再進行電話面試
甲方公司:
1.自我介紹下自己吧
2.對於ssrf的理解
追問:如果對於某個協議進行了過濾有什麼辦法(我回答的是通過自己的vps進行302轉發)
3.對於掃描器的理解
追問:邏輯漏洞常常要手挖,如果用掃描器如何實現越權漏洞的判定(這個問題我沒答出來,對面教了我是用腳本申請2個賬號,然後將1個賬號的某些參數改成第2個賬號的參數,看看是否存在越權操作)
4.對於應急響應的理解,實際舉個例子如果在內網某臺機器上發現了shell,該如何處理
5.對於jsonp(json劫持)的理解
6.如何挖掘一個電商如淘寶的漏洞思路
7.簡述下自己的編程能力,會些什麼編程語言
8.對於csrf(跨站請求僞造漏洞的理解),如何處理這類壟斷
追問:爲什麼設置token可以防止csrf
9.對csp(內容安全策略)的理解
10.對java反序列化的理解
追問:你剛剛舉得是某個例子,但是如果處理該類問題,有什麼思路(我回答的是apache的commons-collection-3.1組件的反序列漏洞的詳細細節,後面對方追問的如何挖這一類漏洞的思路)
11.對docker安全的理解(我不知道,對方告訴我主要是遠程連接導致的安全問題)
乙方公司:
1.自我介紹下自己吧
2.對於某個web站點進行滲透的思路
追問:有沒有了解過ssql的sa提權手法(回答的時要求從獲得webshell到提權的流程,內網滲透沒有要我描述,當時提權我回答的udf和mof,詳細的描述了udf的原理,linux回答的髒牛,對面只需要我簡述下windows下的即可。)
3.對sql注入的理解
追問:不用講bypass手法,講下sql注入的幾種方式
4.對於sql注入的基於bool型盲注的描述
追問:用該注入需要些哪些重要的函數(比如if,case,when,mid,limit,ascii,group_concat等吧)
5.有沒有自己寫過sql注入的腳本
6.目前在研究什麼
追問:請詳細講解下反序列化漏洞(我當時回答的是java反序列化,因爲在面試前4天左右在先知投過一篇文章,我這裏回答簡要的描述了php,詳細講了下java)
0x02注意點
1.每個公司的面試,無論是多輪面試,還是單輪,第一個問題都是請簡要介紹下自己
回答這個問題時候,不要瞎幾把扯,簡要說明自己在信息安全方面的學習歷程,每個階段在研究什麼,做過什麼成果(我在回答的時候大一,大二的時候參加的藍橋杯,還拿了國三的情況,我就一句話帶過,其他主要都是信息安全的歷程)
2.在面試快要結束的時候都會問,對公司有沒有什麼問題
回答這個問題的時候,最好問清楚,待遇待遇待遇,以及如果入職要提交的材料,工作的內容,包不包住。待遇稍微提一下,因爲是實習生所以能保證溫飽就行,乙方一般在2000-4000左右,甲方不知道...
一定不要像我一樣不好意思,面完了後也沒有提啥,當然待遇還是能滿足我生活下去的
3.在面試某甲方公司的時候,第一輪和第二輪面試都提到json劫持問題
我在第一輪的時候沒答出來,倒是瞎扯了些關於json的問題,第二輪的時候也沒答出來。這時候第二輪面試官就問了我個問題,“爲什麼中間隔了2天,不去了解下呢”。當時我聽到這個時候就無地自容了,雖然提到自己那2天在做ddctf,但是都是藉口。所以不懂的一定一定結束後要去了解
4.對於甲方和乙方你更想做哪一方向,也就是你想做攻擊方還是防禦方
回答這個問題的時候一定要機靈,不要像我一樣老實,在面試甲方公司的時候回答想做乙方。。。。因此面試甲方公司的時候回答想做甲方,面試乙方公司的時候回答想做乙方,當然可以補一句“做另外一個方向也是可以的”
5.甲方公司在面我的時候提到的csp問題,是我博客寫的
因爲在提交簡歷的時候會寫自己的github和博客的地址,面試官有時候是會看的。我在面試前最近的一次文章就是csp的研究,所以在面試的時候也就遇到了這個問題,當然自己寫的文章回答起來還是稍微有底氣的。
6.有些時候追問問題是根據回答者的回答內容進行追問的
在乙方公司面試我最近在研究什麼的時候,我回答的java反序列,我確實研究了啊,所以能回答上。切記回答問題的時候不要亂扯些只是聽說,但是沒有深入瞭解的問題,因爲被追問會漏泄兒的
0x03總結
1.無論是甲方還是乙方公司都問過我有沒有挖過src,很遺憾的是我沒有提交過src,所以之後的學習過程也要去做做這方面的事
2.在面試某甲方公司的時候對面的面試官小哥哥很好啊,當時聊了1個小時,面的過程中我就覺得過不了。但是對面給我提了很多學習建議,這裏講講我自己的情況和對面提的建議吧
我自己學習信息安全一年多兩個月,期間學習主要是打ctf和自己去總結下某些知識點原理的部分,所以缺乏實踐。
而公司需要的人是能解決實際問題的人,ctf和現實還是有很大的出入的,ctf主要在於對某個功能bypass技巧,而實際情況主要是功能複雜,去挖掘的思路,有漏洞就是有,不需要奇奇怪怪的bypass姿勢。簡而言之,ctf是對某個功能的漏洞技巧利用,現實是如何去發現這個漏洞
對於打ctf來說,公司會僅會在意大賽排名靠前的幾支隊伍,但是也會看實際操作能力,所以ctf像可以學習知識遊戲,但並不是信息安全的主要
3.在面試前也看過別人的面試經驗文章之類的,看過一些不會的知識點,自己去嘗試死記硬背了些,現在全忘了.....所以這也是我爲什麼在這篇文章沒有寫每道題的答案。如果你會,那麼答案呼之欲出,如果你不會,你看了我的回答,不去自己總結和實驗,過幾天就會忘了。踏踏實實自己去學是記住知識最好的方法。大量的知識儲備也是面試時候的自信。
4.在校大學生活快要結束了,發幾句牢騷,我覺得大學學習和社會公司要解決的問題還是有很大出入的。不要爲了獲得老師或者在校學長學姐的稱讚就覺得自己不錯。講真學校裏面看的是成果,比如比賽拿獎之類的。只要有獎就會被吹成大佬,但通過面試可以看出問的問題都是細節問題,詳細到知識點,所以基礎真的很重要。(但是比賽獎項會決定你的簡歷是否能脫穎而出)
5.學習時候近期目標比長遠目標更重要,也就是我早上想今天下午該學什麼,明天該學什麼比我這學期要完成什麼目標更重要。在4月22日打完ciscn的預選賽的時候就突然下失去了短期目標,導致這一週都不在學習狀態,現在很後悔(但是玩了幾天真的很爽23333),寫下這篇文章也是爲了自己一下一步如何前進找回狀態。
共勉