首页 > 安全岗菜鸡的坎坷秋招路(面经+笔试题分享)
头像
薛定谔的offer箱
编辑于 2020-04-07 17:27
+ 关注

安全岗菜鸡的坎坷秋招路(面经+笔试题分享)

本人双非本科,计算机专业,安全菜鸡一枚。

深受安全岗的秋招资料少之害,秋招坎坷无比。原本担心过不了笔试没法写面经,但秋招结束之后发现面经还是有那么几篇不至于见不了人,所以捯饬捯饬给和我一样迷茫的安全小鸡们一点参照。比较啰嗦,不想看可以直接跳到面经和总结标记哟。

原本对秋招一无所知,甚至天真的以为大四下才需要找工作的本鸡,在不想去学校安排的实习的逼迫下,找了家小小的安全创业公司,开始了安全之路。当时懂的东西特别少,owasp top10都认不全。感谢公司愿意收留,慢慢地开始接触渗透,也挖了一些小小的漏洞。秋招开始后,我才迟钝地准备简历,搜集复习资料。但是!!但是!!世界对我们安全岗太不友好了吧!安全面经少之又少,笔试题在牛客题库翻来覆去只找到了几份安卓逆向的真题,真 答题全靠蒙。
在看了仅有的几篇面经笔经,连挂了几次笔试后,我充分地认识到了我的菜。是真菜,不是牛客大佬们的白菜。同时我也大彻大悟,既然找不到笔试题,干嘛不多做点笔试真题,就当为明年春招做准备工作(对,我已经决定春招再战了)。于是乎广投简历刷笔试。在被百度狂虐后把题目都人肉抄了下来,整理了文档。公司数量不多,笔试时间限制只记了部分题目,但是有需要的同学可以私聊我拿。(好多同学找我拿,我还是直接把链接贴上来吧~)
笔试题包含:阿里、百度、58、深信服、顺丰科技、yy、360企业安全 ...
里面也有自己准备用的面试题,各个渠道收集来的,个人的面试没有整理进去,配合帖子食用更佳喔。

下面面经正文--------------------------------------------------------------------------------------------------
  • 360企业安全   一面挂
因为公司总部在北京,所以面试都是视频面。用的赛码网。
通知的时间是14:00,面试前hr打了电话通知提前半小时进入面试房间。而且当天下午只有我一位面试者。燃鹅,大概是面试官忘了,我一直等到将近3点半,面试官都没有上线。当时气的都想放弃面试了。打了个电话问hr,立刻面试官就来了。大概是忘了还有我这号小菜鸟了。面试问题都比较简单,主要还是围绕简历上我写的内容,一些概念,但是第一次视频面特紧张,回答的一塌糊涂,很多简单的概念都没有说清楚。后来感觉有些放飞自我了,面试官问什么,我了解的不深入就直接说了略有了解而已,导致面试官也很无奈地问我你会什么你就讲什么吧。结束的时候,面试官犹豫了一下措辞,才叫我等后续通知,我知道大概就是凉了。果然挂断视频的下一秒就收到了拒绝短信。excuse me?用不用这么快,扎心了。
面试问题大致如下:<--------------------------问题看这(๑‾ ꇴ ‾๑)
  1. 平时用什么软件测试(BP)
  2. 你觉得BP哪里特别好用
  3. 你有没有看过测试工具的源码(没有)
  4. 给你一个网站,你怎么找漏洞,举个例子
  5. 你说验证码绕过,说说看怎么检测验证码绕过漏洞
  6. 你知道csrf吗,解释一下
  7. csrf怎么防御知道吗
  8. 看你写过poc,你能举一个例子吗
  9. 你比较了解哪些漏洞
  10. 说一说怎么发现sql注入
  11. 听过盲注吗,解释一下
  12. 我看你会用python,会的多吗
  13. 代码注入能讲一下吗
  14. owasp top 10 哪些你比较了解的说一下吧
  • 58集团 一面电话面挂
笔试才55分凉的透透的,没想到面试最后一天被捞了起来。照例问了实习的工作情况,项目的细节。主要问的都是项目细节,其他问题不多。面试官小哥在听说我想做安全审计之后热情地介绍了58也要组建审计团队,叫我要审计一定要好好学php,并询问了我的学习计划,让我莫名地觉得有点稳。但是果然再没有后文了,黑人问号???
面试问题大致如下:<--------------------------问题看这(๑‾ ꇴ ‾๑)
  1. 了解安全审计吗
  2. 会php吗
  3. 会什么编程语言
  4. 未来的方向是什么
  5. 会写脚本吗?写过哪些脚本
  6. 用过python框架吗
  • 海康威视  一面电话面挂
海康威视似乎没有笔试,突然就来了电话。一开始就直入主题,没有自我介绍。所有面试中问的问题最多(30几个?)的面试,中途还换了个面试官接着问(接力嘛??)面试全称围绕简历进行,同样针对项目的细节和实习的工作问了很多问题。
面试问题大致如下(省略了项目和实习相关的问题):<--------------------------问题看这(๑‾ ꇴ ‾๑)
  1. 我看你简历上说会bp和sqlmap,能说一下你觉得bp有什么优点吗,你觉得哪里好用
  2. 你觉得哪个功能最好用
  3. sqlmap用的多吗
  4. 了解sqlmap的高级使用吗,比如使用插件和一些条件过滤
  5. sql注入有哪些类型说一下
  6. 盲注知道吗
  7. 有写过sql注入的插件吗
  8. 看你写了解主流web漏洞,你说一下主流的有哪些
  9. 能讲一下xss的原理吗
  10. 怎么防御xss呢
  11. 听过富文本吗?
  12. 黑名单要怎么设置过滤?
  13. 你写了些什么脚本,是自己定义了策略吗
  14. 说一下你渗透一个网站是怎么样的思路
  15. 你见过最有意思的一个漏洞是什么。
-----------------------此时说另一个同事有话要问,换了个人,主要还是问项目-----------------------------------------
  1. 目前有offer了吗
  2. 那你了解密码学吧,讲讲AES的流程(因为在学校做了几个密码学的项目,故有此问)
  3. 你籍贯是哪里?
  4. 有什么问题问我?
  • 顺丰科技  offer
顺丰的面试一共才两轮。同样问了实习和项目细节。面试官提到公司有类似的项目,所以详细探讨了一下项目内容和优化的问题。全程聊的比较愉快,一结束就被塞了张卡送走了。然后居然直接是hr面。hr面巨傻。前面聊的挺多的,结尾hr问我有没有投别的公司,我心想,哎哟,考验情商的时候到了,这个公司肯定不能说些小公司,biger不够,也不能说太多,显得不重视顺丰,于是说了小米华为迅雷等几个。然后大坑来了,我当时脑子怕是泡水了,居然有了如下对话:
hr:有没有特别想去的公司?
我:有啊,bigo
hr:还有没有别的?
我:腾讯也很想去
hr:还有吗?
我:还有360
hr:。。。
所以回去的路上我越想越悔,已经挖好坟墓准备躺下安息了。还好hr大人有大量,放过了我这个猪脑子。

面试问题大致如下(省略了项目和实习相关的问题):<--------------------------问题看这(๑‾ ꇴ ‾๑)
一面:技术面
  1. 自我介绍
  2. 实习的时候怎么做渗透测试的
  3. xss和csrf的区别
  4. 说一下你写的poc
  5. 修复的沟通是联系安全部门还是联系开发?
  6. 你对安全的看法,为什么想做安全?
  7. (看成绩单)java课设做了什么,分挺高的
  8. 有什么问题想问?
二面:hr面
  1. 自我介绍
  2. 为什么做安全
  3. 用三个词形容你自己,并分别举例佐证
  4. 籍贯哪里,愿意去深圳吗
  5. 深圳房价很高,你打算买房吗
  6. 有什么事情你觉得成长特别多的
  7. 你人际交往怎么样
  8. 遇到难以解决的困难你怎么办
  9. 了解顺丰吗(快递?)还有吗?(物流很厉害?)
  10. 还有投什么公司
  11. 有特别想去的吗
  • 平安科技 二面放弃
平安先面了一面和hr,最后才补的二面。但是平安科技特意打电话来通知准备了二面,结果比通知迟到了一个星期才电话约二面时间。本来以为凉凉,期间也签了别的公司,所以接到电话果断拒了。

一面:
面试官人特别好,一见面就笑眯眯地,面试中途还开玩笑。面试全程都像在聊天,完全没有紧张感。同学面的测试和开发都说问了很多技术问题,比较难。但是我基本在聊简历,从实习经历聊到项目经历,然后是关于他们公司的一些实际问题,就结束了。以至于结束的时候,面试官直接说我们今天就聊到这了,你可以离开了,我还愣愣的。回去的时候和同学商量了一下觉得可能是没有hc了,面试官才这么佛系,但是当晚通知一面过了。玄学。

除了项目问题,只记得几个:<--------------------------问题看这(๑‾ ꇴ ‾๑)
  1. 你觉得公司需要怎样保障业务信息安全?
  2. 如果程序员写的业务代码很多漏洞,业务明天就要上线了,怎么办?

二面:hr面
参加二面的时候,安全部门大佬没来,于是直接先面hr,通过了后续再单独二面通知,不参与第二天的座谈会。
<------------------------------------------------------------------问题看这(๑‾ ꇴ ‾๑)
  1. 为什么想做安全
  2. 实习做了什么
  3. 实习期间最有成就感的事是什么
  4. 实习公司的业务主要是哪些
  5. 为什么不考研
  6. 专业其他女生都做了什么
  7. 希望找什么样的公司
  8. 有其他offer吗
  9. offer薪资多少
  10. 你的期望薪资是多少
  11. 有什么想问的

总结一些感想给还没有开始找工作的安全小菜鸡们(大佬们就多多指教罢)。
  1. 简历上最好要有项目,没有项目的话,面试官没有东西问,就会问很多基础知识,答不上来就GG。总结我所有的面试%40的问题都是围绕项目细节展开的,这为我规避了很多知识盲区。
  2. 实习经历能有就有,如果不是大厂实习,就一定要突出你在实习期间的成果,或者说,尝试在实习期间做一些比较拿得出手的成果。面试中另外40%是围绕实习工作展开提问,自我感觉,面试官更看重的是你为实习公司做了什么,而不是你去了什么公司实习
  3. 剩下20%基础知识。如果是web(我也只知道web了),一定要熟知OWASP TOP10的漏洞原理、防御、检测,并且掌握(侃侃而谈)其中的一两个。平时多了解安全相关的信息,不一定要会,但求知道。
  4. 如果条件允许,有CTF经历和漏洞提交经历就加加加分啦。
感想只针对像我一样没什么经历也没什么基础的小菜鸡,希望能够有一些帮助,大佬们求放过_(:з」∠)_
下面是收集的一些笔试面试题的链接,有别的好资源也可以留言分享呀
--------------------------------------笔试题链接整理(持续更新)---------------------------------------------------------
【网络安全、web安全、渗透测试笔试总结】 https://blog.csdn.net/Fly_hps/article/details/80260302
【信息安全实习、校招的一些资料】https://github.com/SecYouth/sec-jobs (一些师兄整理的,比较全面)
【腾讯2016年实习安全岗笔试】 https://blog.csdn.net/qq_29277155/article/details/51628939
【信息安全笔试题权威解析】https://blog.csdn.net/tan6600/article/details/51966849
【渗透测试面试题总结】

更多模拟面试

全部评论

(33) 回帖
加载中...
话题 回帖

推荐话题

相关热帖

近期精华帖

热门推荐