以下是我認識的一個剛畢業小朋友的面試經歷，面試的崗位是“安全工程師”。首先我要誇誇他！並非985,211的他，因為個人經歷和對安全行業的與熱愛，受到了阿里雲師傅的青睞，得到了實習的機會，今年畢業就能順利進大廠了！鼓掌୧(๑•̀◡•́๑)૭“ 崇拜他，才不是因為他本人長得高大帥氣”

言歸正傳。。。。。。
按照第一次面試的前後順序，這段時間他面試的公司有:綠盟、知道創宇、長亭科技、360、阿里雲、深信服、騰訊、盛大。可能時間線比較早的有一些問題記得不是很清楚了。

綠盟面試:First blood

找的團隊綠盟大佬幫忙內推。

一面:

1、自我介紹。

2、解釋一下對Sql注入的理解以及防禦的手段。

3、Ssrf聽說過麼、Xxe呢。

4、然後提了下自己做的掃描器可以掃描這些漏洞。之後基本上都是在介紹自己的掃描器。

問了下去重策略，用它掃到過什麼漏洞，爬蟲是怎麼檢測網頁中的ajax和on事件發生的url的，然後我順帶說了下爬百度貼吧用1h1g的伺服器10分鐘多一些可以爬完。然後還有怎麼檢測漏洞的問了Xss的檢測方式。

5、電話中確認了暑假實習基本沒問題。

知道創宇:Doble Kill

一面:

1、介紹一些後臺拿shell常見的場景。

2、Sql注入拿shell的方式。

3、SqlMap會用麼？怎麼通過Sql注入寫基本Sql命令？

4、平時挖洞多麼，介紹一個最有趣的漏洞。

5、Ssrf瞭解麼？可以怎麼判斷有沒有這個漏洞

6、溯源能力怎麼樣，我們這邊有時候還會配合網警進行追捕。

7、基本沒問題，之後HR會聯絡的。

二面:（不關於技術的就不寫了）

1、獲取知識的手段

2、有沒有內網滲透的經驗

3、各大SRC的排名如何，是否挖到過高危。

長亭科技:Triple kill

一面:

1、問了下簡歷裡面的掃描器，Ssrf應該怎麼檢測，去重是怎麼來的，然後我自己再詳細介紹了下。

2、Sql注入怎麼拿shell。

3、Xss怎麼繞過waf

4、waf和ips的繞過區別和一些技巧。

5、對平時爆的漏洞會去浮現麼？有沒有程式碼審計的基礎。

6、內網滲透怎麼樣，怎麼反彈命令。

7、之後會有第二次技術面試。

之後長亭HR在QQ上聯絡說不用二面了。大師傅們討論說可以直接發暑假實習offer了。

360 資訊保安部0kee:Quadra kill
(記憶比較深刻的是面了1個多小時，之前的面試基本是都是20多分鐘):

一面:（重道遠zxx前輩）

1、PHP中命令執行的函式以及會出現的問題

2、PHP中系統執行的函式以及會出現的問題

3、變數覆蓋問題

4、有沒有審計到什麼漏洞

5、問了一些漏洞的名字和問了下形成原因

6、滲透中常見的埠以及是什麼應用

7、Ssrf中怎麼拿shell、還有一些繞過方式

8、Xss的一些繞過方式，如果在href中可以用什麼編碼繞過以及網頁渲染中他對不同編碼的渲染前後順序。

8、掃描器去重、掃描器的功能流程介紹。

9、平時在寢室怎麼學習的

10、學習了多久，聊了下一些學習方式然後口頭說暑假實習offer沒什麼問題。

二面（後來加的，因為360流程必須有2面後來因為要房補還加了個筆試）:

1、記憶中比較深刻的滲透經歷

2、內網滲透怎麼樣

3、如果打到內網怎麼反彈shell

4、打到內網會幹什麼

5、掃埠用什麼掃

6、掃什麼埠為什麼這樣

7、memcache放大攻擊聊了下。剛好是面試官寫的。

8、再聊了下其他的就差不多了。

阿里雲: Penta kill 豬豬俠前輩內推

一面:

先是豬豬俠前輩在微信上約了時間，大約9點多然後打的電話

1、Python什麼時候開始學的，寫了多久

2、Python中用多程序在多執行緒執行迴圈10次subprocess命令會出現什麼問題

3、Python爬蟲中是怎麼抓起on事件的、如果爬蟲遇到了close或者document.href=""這種會怎麼處理

4、爬蟲的去重策略，掃描器的程式碼量，以及是不是都是一個人完成的

5、講了下今年面試的競爭對手、有博士balabala，然後要加油

6、有什麼想問他的，問了下入門以及學習方式。還有之前烏雲第一是不是天天在挖洞等等。

二面:

葉敏前輩在釘釘上約了時間，第二天下午給打的電話。

1、先介紹了下在做的東西，然後開始喊我也做一個自我介紹

2、問了下tcp的一些細節，然後ddos tcp洪水攻擊和防護的一些問題

3、linux中的一些命令，問了下怎麼看一個程序他都呼叫了什麼檔案

4、linux中密碼檔案在哪裡

5、為什麼普通使用者（非Root許可權）可以修改密碼 因為修改密碼需要修改/etc/passwd或者/etc/shadow檔案，可是這兩個檔案都是需要root許可權才能修改的

6、http2.0和1.0的區別。

7、xss瀏覽器的防護頭。csp

8、有什麼要問他的。

三面:

直接打得電話，暫時不知道面試人是誰。

1、掃描器實現了什麼，介紹去重，大致流程。

2、怎麼檢測Sql注入和Xss漏洞的

2、Ssrf瞭解麼。一些繞過技巧，rebind聽說過麼。gopher的原理。怎麼拿shell

3、怎麼繞waf

4、程式碼審計怎麼樣

5、問了下程式碼方面的問題

6、有沒有什麼問他的。

四面: (交叉面):

天涯浪子心前輩。

1、先自我介紹了下。

2、掃描器的一些細節以及各個目錄是幹什麼的。

3、看了下部落格和Freebuf問我是不是都是自己寫的。

4、選擇一篇講一講。

5、看了下Freebuf問我第二篇的系統是不是上線了。

6、問我Ssrf應該怎麼檢測。

7、問我有沒有什麼問他的。說如果錄用了我是去阿里雲，他是阿里巴巴的。

五面: (HR面)

1、問了我最有趣的滲透案例

2、問了我的排名

3、學習方式

4、有沒有認識一些大牛，怎麼認識的 ￣□￣｜｜

5、實習時間

HR面完過了10分鐘HR助理打電話要了身份證一些資訊，給了口頭offer說郵件要走流程下個星期可以發到郵箱。
！！！！替你開心！！！！

深信服: Hexa kill

一面:

1、講了講掃描器

2、問我會不會抓包，有沒有抓包過。。。（很汗）

3、之後全程我在講我的東西。。。

4、說之前看過我的簡歷，覺得沒什麼大問題所以不用面試了。之後和Hr談薪資。

騰訊:

一面:

1、問我之後可不可以去深圳面試

2、問了掃描器的去重和一些細節

3、問了怎麼檢測Xss、Sql

4、問了平時復現漏洞麼，講幾個

5、命令執行的一些繞過方式

6、Ssrf的繞過

（自我感覺面試感覺不錯。。。不過不知道為什麼沒第二次面試）

2018-5-21 又來了一次面試 （40分鐘）

1、簡單的自我介紹

2、常見的漏洞

3、平時更多檢測什麼漏洞

4、為什麼掃描器不寫檢測越權的漏洞

5、XSS的防護手段

6、輸入過濾和輸出過濾哪裡好

7、SQL給了一個場景怎麼注入

8、SSRF怎麼檢測、怎麼防禦

9、程式設計能力如果，給了一個寫計算器的例子

10、linux中如何程序通訊

11、socket程式設計怎麼傳送資訊

騰訊再一次 godlike

1、自我介紹

2、課程有哪些

3、說一下資料結構 然後講了一個實現 繼續問我怎麼定義的。

4、資訊保安的技術特徵 問能不能說一個例子 面試官給的提示:保密性 懵逼

5、資訊保安的XXXX 反正也是懵逼的

6、Xss生成的原因

7、Sql怎麼防禦

8、講了一下專案

9、有什麼要問我的

盛大: legendary

一面:

1、自我介紹了一下，然後問我想做什麼

2、聊了下團隊

3、問了下掃描器的流程

4、覺得沒什麼問題喊我有什麼問他的，說這個很重要

5、問了下是做什麼的，然後自己在這方面的一些交流

6、說沒什麼問題，然後hr會聯絡，如果工資有問題可以聯絡他。雖然他也不一定可以解決。。。。

二面:

hr面沒問什麼技術問題。談了下實習時間和工資。

總結一下基本上會問簡歷上的東西。Ssrf問的比較多，可以重點看看。漏洞要學會復現，還有平時挖一些高危漏洞等到面試會比較好回答。

——————————┏(＾0＾)┛——————————

ヾ(￣▽￣)Bye~Bye~