热门课程

免费试听

上课方式

开班时间

当前位置: 首页 -   文章 -   根域文章 -   正文

2022年互联网大厂网络安全岗位秋招面试经验分享!

zhiliaoadmin
2022-02-10 11:41:36
0

2022年互联网大厂网络安全岗位秋招面试经验分享!

01绿盟网络安全岗位

一面

1.自我介绍2.某服的实习经历3.在某服挖的难度比较高的别人发现不了的漏洞4.编程语言的技能树5.PythonPoc编写6.Django正常的WEB服务开发7.白盒测试经历8.学校内网渗透和深信服中的白盒测试9.最熟悉PHP哪几种漏洞?反序列化的原理能讲讲吗?魔术方法有哪些?10.调过公开的一些CVE漏洞吗?11.试过AWVS这种工具吗?12.常见WEB安全漏洞WAF绕过和防御?了解过语义WAF吗?如何绕过?13.命令注入,拼接在单引号中,被过滤了单引号,如何绕过?14.Linux下查找服务端口的命令?一句话查找80端口服务的命令?15.Docker常用吗?有没有试过Docker调试?

二面

1.自我介绍2.聊一个印象深刻的CVE3.你认为反序列化利用最难的地方在哪里4.在深信服做项目的时候主要做什么?挖掘到了哪些漏洞?5.跟同事冲突的话你会怎么处理6.未来的职业规划

网络安全岗位面试经验

02奇安信网络安全岗位

一面

1.自我介绍2.在信安主要做什么工作3.CTF出题经历?如果是AWD你怎么出题?出过什么题?4.CTF比赛经历5.深信服经历,以及护网期间主要做什么6.熟悉哪些编程语言,做过那些CVE复现,比较擅长哪些WEB7.追踪的一些最新的CVE漏洞8.SQL注入的原理防御方式注入方法以及后渗透姿势9.SSRF原理利用姿势?gopher+redis攻击有哪些姿势?10.XSS分类和原理,反射型和存储型区别在哪里,XSS危害?

二面

1.自我介绍,主要说说在学校成绩,打比赛经历2.CTF比赛经历,主要做哪个方向,有多少输出,通常拿到一个题目你会去怎么做,有什么技巧3.flaskssti原理和利用4.平常的经验总结5.反序列化漏洞的原理,挖掘方式,哪些技巧6.注入漏洞的原理,挖掘方式7.代码审计的思路,漏洞复现的技巧,举一个漏洞复现的例子和思路流程8.有没有绕过真实场景的WAF9.给个PHP白盒项目,测试漏洞的思路,对越权漏洞有没有什么了解

03智者四海网络安全岗位

一面

1. 如何绕过CDN查找真实IP2.UDPTCP区别、哪些服务和协议用到UDP3.nmapmsf SYN 半握手和全握手实现 TCP三次握手流程4.Linux下存储用户账号密码文件、/etc/passwd/etc/shadow主要存储什么、/etc/passwd最后一个字段存储什么、/etc/shadow加密方式、破解/etc/shadow方式、脚本怎么编写5.查询文件权限的命令、查询时返回的九个字母代表什么6.线程、进程和协程的区别,脚本如何实现7.入侵检测流程,通过进程查询文件的命令8.给你知乎这个站点,你的日站流程,怎么攻击其他客户9.邮箱服务SMTP有哪些攻击方式10.如果已经日下了一个站,你会做什么?如果日下了知乎,横向渗透时你会去攻击哪些东西,哪些是重点端口11.反弹shell的姿势12.SQL注入原理、类型、危害、绕过、修复?哪些SQL注入不能通过预编译来防范13.XSS原理、类型、危害、防御方式?http-only作用?Dom-XSS和其他XSS区别、CSP了解过吗14.302跳转攻击有了解过吗15.关注最近的漏洞吗16.Java常见的漏洞有了解过吗?可以讲一些反序列化和命令执行的攻击链和方式吗?

网络安全岗位面试经验

04华为网络安全岗位

一面

上来先10单选10多选, 做完了开始对着答案讲题。

1.shell脚本了解多不多,哪些命令可以在shell脚本中加载外部文件2.CRLF注入可能造成的危害?3.国赛你在队伍里面主要做什么角色,负责哪些方向的东西4.学校有没有安全方向的专业,高中有没有接触过安全5.校园网络安全项目主要是做什么的,有没有研究生6.CTF出题的思路7.在深信服挖掘到的比较有意思的中高危漏洞的思路8.对源码审计偏向的语言9.对密码学有了解吗?AESDES的差别?有哪些算法10.SQL注入的测试思路,burpsqlmap使用思路11.XSS的测试思路12.头部防御XSS的思路13.对中间件的了解?Nginx配置前缀的关键字

二面

1.自我介绍2.CSRF的原理3.命令注入绕过的姿势4.让你印象比较深刻的WEB5.线下赛主要负责什么工作,如何进行防御,上通防的思路,namespace会有问题吗6.Java方面的了解7.Dockerk8s有了解或用过吗8.文件包含的WAF如何绕过9.二进制漏洞有了解吗?了解原理吗?覆盖eip、栈的结构?10.密码学涉及的多吗11.常用的Linux命令,如何查进程,如何查网络的监听情况?12.一台Linux的服务器,部署了多个WEB进程,互相进行通信,Nginx反代,给了Linux账号,如何测试服务器漏洞

三面

1. 介绍你的学习、项目、实习经历。2.学校有网安相关专业吗,为什么对网安有兴趣想学网安,平常如何学习网安?3.在协会做什么?4.在深信服做什么?挖掘漏洞经历?护网期间做了什么?5.分享在CTF中遇到的比较有意思的线下赛?比较有意思的题目?团队分工?6.南山区职业技能竞赛7.职业规划8.遇到的挫折9.对加班的态度和看法10.对华为公司的看法11.对深信服企业文化的看法12.工作地倾向

 网络安全岗位面试经验

05海康威视网络安全岗位

一面

1.自我介绍2.为什么想学习Java审计和工具开发?3.有没有自己开发过什么工具?4.关注过近期的一些CVE漏洞5.你对安全有什么看法?6.自动化漏洞挖掘的思路?

二面

聊天

06网易网络安全岗位

一面

1.自我介绍2.分享一个在CTF比赛里面见到的比较有意思的题目或者比赛3.如果给你一个WEB域名你会怎么做测试4.如果拿到了shell权限会做什么?如何维持权限5.给你一个SQL注入的点你会怎么利用6.能写webshell你会怎么写7.SQL注入的原理、分类,联合注入exp怎么写,如何写入shell?布尔盲注exp怎么写,如果被过滤了substring怎么办?时间盲注的exp怎么写?报错注入的exp怎么写,如果不能使用Xpath语法错误还有哪些报错注入的思路?8.CSRF有了解吗?说说大概的原理?如何测试一个站点是否有CSRF漏洞?如何防御CSRF漏洞?9.跨域请求有哪些方式?可能存在什么漏洞?CORS跨域漏洞如何利用?如何对JSONP跨域请求存在的漏洞进行测试?如何防御跨域请求漏洞?10.java学的怎么样

07平安科技网络安全岗位

一面

1.自我介绍2.信安协会和战队的关系, 比赛战队组成,平常校内比赛形式,出题模式3.信安技术分享会的形式4.熟悉平安安全做的工作吗?有面试其他公司吗,能聊聊对他们工作的理解吗5.在历史渗透测试或比赛中遇到的比较有意思的题目或者经历?6.如何修改WEB端口?如果不能修改端口还有什么利用方法?7.Linux下的提权的姿势还有哪些?8.拿到服务器权限后如何访问内网的服务?9.拿到root权限之后下一步的思路和方向?如何快速找到内网的主机以及如何避免内网WAF探测?10.会去收集一些POC或者审计0day吗?11.有去了解逆向、PWN等其他方向的原理或者思路吗?12.在大学里最自豪或者感觉收获最多的事情13.协会课外还有其他什么活动吗14.大学最遗憾的事情?15.学生生涯中还想做的一两件事情是什么?16.想象中未来进入工作的状态大概是什么样子的?有没有想象过自己比如做民宿的老板、上市企业的CEO等等?

二面

1.自我介绍2.职业规划3.你觉得你求职最大的优势说三点4.做过应急响应吗?说说当时应急响应的流程思路?5.对公司的期望6.预期薪资是多少,包括奖金+福利+股票?工作地点?家庭住址?7.打算考研吗8.有安全相关证书吗9.SRC提交过漏洞吗10.为什么不在深信服转正?11.最近有关大众点评的安全新闻有了解吗12.对国家新出台的安全政策的理解13.会考虑其他方面的岗位吗?网络攻防,应急响应之类的可以吗?14.接受提前实习吗

网络安全岗位面试经验

08富途网络安全岗位

一面

1.自我介绍2.对公司的哪块安全内容感兴趣?3.什么时候开始接触渗透测试、在学校做渗透测试的流程,包括事前、事中、事后的操作4.你挖掘过的逻辑漏洞?你挖掘逻辑漏洞的思路5.SDLC中注销登录的流程,你会提出哪些安全建议?6.在深信服实习期间有没有参与过漏洞修复的流程?深信服渗透测试的流程是怎么样的?有没有模板7.Python工具开发,对Python的精通程度8.烧一根不均匀的绳子需要1小时,如何确定1小时15分钟?

二面

1.自我介绍2.SDLC流程?3.实习期间挖了什么漏洞?4.Webshell的危害?如何防范?5.如果获得一个webshell,后期的渗透思路?6.假设知道有一个webshell的服务器,如何处理?7.5升和6升的杯子倒3升的水8.小明和小红轮流抛硬币,先抛到正面的人就算赢,先手胜算大还是后手胜算大?

09字节跳动网络安全岗位

一面

1.自我介绍2.在深信服做什么项目?护网期间的整个流程?如何收集企业资产?指纹识别?如何确定无法识别的指纹?出现问题如何快速确定到问题资产?IDS/IPS绕过?3.SQL注入的分类?宽字节注入的实现条件,利用POC?报错注入的几种方式?无回显如何检测注入成功?SQL注入的后渗透姿势?SQL注入写文件的条件?如果写入文件后无法利用可能是什么情况?4.开发经历?如果写一个黑盒漏扫检测引擎如何实现?5.给你一个登录框你会怎么攻击?6.手撸一个SQL注入的检测脚本

10虾皮网络安全岗位

一面

1.自我介绍2.CTF比赛经历,分享几题有意思的CTF题目?3.XSS的原理、危害、防护?Dom-XSS和反射型XSS的区别4.SQL注入的原理、危害、防护?哪些场景不能预编译?MySQLwebshell的姿势以及条件?outfiledumpfile的差别?SQL Server的命令执行语句?有碰到实际场景吗?二次注入的原理?5.SSRF的原理、危害、防护?6.fastjson反序列化原理?利用?7.shiro反序列化原理?利用?8.给一个目标站点或公司,做渗透测试的流程?9.WAF有绕过吗,绕过的思路?10.免杀和与渗透做过吗?11.逻辑漏洞场景:注册(手机号码+验证码)、登录(手机号码+验证码或密码)、购买(领优惠券+使用)12.移动安全13.密码

二面

1.自我介绍2.攻防中的角色3.文件上传漏洞一般发生在什么场景?文件上传的绕过方式?4.WAF产品如何来拦截攻击?WAF有哪些防护方式?5.对文件上传漏洞在网站中会做什么样的安全设计?6.nmapmasscan的区别?nmap扫描服务指纹的原理?sqlmap的使用方法?7.Go在源代码层面上普遍存在的漏洞有哪些?哪些不大可能出现的漏洞?8.做过PHP系统的代码审计吗?审计的流程?9.burp抓包,有用户数据字段,有sign字段的签名,如何进一步渗透?10.通过邮件的方式重置密码,场景下可能存在哪些渗透方法?11.倾向虾皮安研哪部分的岗位角色?SDLC整个流程?安全需要注意哪些点?12.不安全的第三方组件的漏洞如何做前置规避?

目前知了堂与多家网络安全大厂达成人才战略合作,定向推荐优秀人才。如果你想培训网络安全,可以了解一下知了堂的网络安全课程也可以来线下培训基地实地了解。

 


大家都在看

成都周末培训班java

2022-02-10 浏览次数:0

成都java技术培训班

2022-02-10 浏览次数:0

java还有前景吗?JAVA还能学吗

2022-02-10 浏览次数:0

ue设计师是做什么的?UE设计师和UI设计师的区...

2022-02-10 浏览次数:0

java软件开发工程师培训学校

2022-02-10 浏览次数:0

数字化转型程度的评价标准

2022-02-10 浏览次数:0
最新资讯
2022年互联网大厂网络安全岗... 2022年互联网大厂网络安全岗位秋招面试经验分享!