XiaBee's Studio.

2022春招安全岗记录

字数统计: 7.3k阅读时长: 25 min
2022/03/08

写在前面

在经历了保研、考研两轮大白给之后,终于在春招的时候拿到了满意的offer……

简历内容是考研之后更新的,大致可以参考我的在线简历:https://blog.xiabee.cn/about,就是详细描述了一下项目内容和个人贡献。

由于本人对996怨念很深,所以在公司选择上会优先考虑工作时长与作息时间,几乎没有投大厂(虽然顺手投了字节,一面就挂了,我好菜)。一些因为种种原因发了面试邀请但是没能面试的公司就暂时不写了,问就是拒绝996……

本篇按时间顺序排序,同一公司放在一起写。

最终去向

  • PingCAP上海,Security

image.png


PingCAP(已接受)

四面

2022.2.28

大主管+HRBP面,一共面了约四十五分钟,大主管面了半小时,HRBP面了十五分钟左右。

大主管主要是业务方向,对攻击手段问的不深,主要是防护与架构相关的问题,给我一种我是架构师的错觉(不是)

  • 介绍一下你了解到的C/C++相关漏洞

    • 聊了一下缓冲区溢出
    • 聊了一下和其他业务嵌套时的漏洞
  • 详细聊聊缓冲区溢出

    • 栈溢出
    • 堆溢出(不会)
    • BSS溢出(不会)
  • 缓冲区溢出如何避免

    • 编译时避免
    • 运行时避免
  • 了解GO语言吗

    • “暂时不了解”
  • “没有关系,那根据你的认识,你认为GO语言有哪些安全漏洞呢”

    • “缓冲区溢出是不可避免的,只是利用难度的区别”
    • 然后提了一下嵌套业务相关的漏洞
  • 刚刚提到的其他漏洞如何避免

    • 提到了SQL注入等,“预编译,上WAF
  • WAF相关,对于某些实体,比如本身就是一段SQL代码,如何防止误报

    • 实体化,权限控制,纯代码直接实体化,使其没有执行权限
    • 不能实体化的代码宁可误报也不放过……(瞎答的)
  • 开放性问题,本公司的攻击面有哪些,应对策略有哪些

    • 具体比较细节了,包括内部攻击外部攻击之类的
    • 回答的比较泛,基于规则/行为/角色等,也对一些具体的服务说了些应对策略
  • 数据安全相关,安全架构相关,如何保障数据安全等

    • 零信任模型
    • 最小权限原则
    • 基于身份/角色的访问控制等
  • “简历里面提到了容器,你对容器安全有了解吗”

    • 瞎扯了点容器逃逸
    • “平时接除容器主要是开发,容器安全接除不多”
  • 剩下内容不记得了,大概问了半小时

  • 反问:安全组的人员配置、团队规模等,以及这个凑够一桌麻将开office具体政策

    • 安全团队其实都是remote work,基本上都不在北京……
    • 开office的政策由HRBP解答的,确实有,也可以在南昌开,凑够人就行。

HRPB基本上没有涉及技术问题,中途聊了一下作品赛,可能是提到了数据安全,HRPB对这个比较感兴趣(x)

  • 在北京吗
  • 有无实习打算
  • 是否为独生子女
  • 有无考研打算
  • 回应了一下刚刚开office的问题
  • 还有没有其他公司的offer
  • 对公司的选择是怎么样的
  • 为什么觉得PingCAPdream company
  • 反问环节问了一下怎么不谈薪资……“下一轮会有专门的同学和你交流”

三面

2022.2.16

项目主管面,总面试时间约50分钟,聊的内容挺多,体验也很不错。

  • 自我介绍
  • 介绍一下项目
  • SSRF相关
  • 开发过的脚本、项目等
  • python相关:python是真正的多线程吗
  • 挖过的漏洞
  • 英语相关:用英文介绍一下XSS
  • 英语相关:介绍不出来,介绍一下自己吧
  • 平时安全相关的技术是怎样学习的呢
  • 了解安全咨询的渠道等
  • 实战相关
  • 反问:主管介绍了工作内容、工作组等
  • 反问:实习相关
  • 主管点评:整体不错,渗透和开发这块需要加强,个人强项不够突出,可以多看看漏洞测试、漏洞公开等,尝试自己挖掘开源项目的漏洞

4ede2dd354219d9a90f4fd7fda08f94.jpg

其实面试官也犹豫了一下,过了半分钟才想起来(x)

二面

2022.2.15

实打实面了一个小时,聊了很多很多方向,从项目经历到个人发展规划,还聊到了公司选择等,感觉收获挺大的。

  • 自我介绍

    • 简单背了一下简历(然后是针对简历的提问)
  • (作品赛相关)介绍这个系统

  • (作品赛相关)数据安全相关

  • (作品赛相关)聊了一下区块链的开发经历

  • (区块链相关)智能合约的鉴权、公私密钥相关等

  • (区块链相关)数字钱包的身份认证等

  • (区块链相关)智能合约的开发遇到那些困难

  • (作品赛相关)这个系统和普通联邦学习系统有什么突出特点吗

    • “挺鸡肋的……保证了安全性,但是牺牲了性能”(瞎说什么大实话)
  • (作品赛相关)聊了一下大型开源项目二次开发的经历与感悟

  • (作品赛相关)聊了挺久,具体忘了

  • (渗透相关)介绍一下渗透经历

  • (渗透相关)方便聊聊渗透思路吗

  • (渗透相关)渗透过程中的感悟,防守方有哪些不足,作为进攻方主要利用了哪些方式进行渗透

    • “利用防守方安全意识薄弱……正经的WAF打不穿,但是并不是所有的站点都有WAF
  • (渗透相关)还聊了挺多,具体忘了,反正没有涉及漏洞细节,都是在侃大山

  • (Github相关)面试官看到了我的Github,里面有一些docker-compose的脚本,聊了一下项目

  • (Github相关)介绍一下上述项目的开发历程、设计初衷等

  • (Github相关)聊了很多云配置的内容

  • (Github相关)聊到了LNMP的系统搭建,dockerfile相关

  • (CTF相关)介绍一下CTF相关学习、比赛、获奖等

  • (CTF相关)介绍一下擅长领域

  • (CTF相关)后续忘了,也聊了挺久

  • (工作意向相关)“像你有CTF经历,简历也不错,应该能去很多公司,像长亭、腾讯云、深信服等,包括我们公司,你对未来的公司选择会有怎样的考虑”

    • 直接点名长亭了,有点慌;内心OS:长亭的面试邮件到现在都没发,PingCAP搞快点把我收了……

    • 说了一下自己的选择标准:优先选择“不加班”,然后选择可能可以落户的公司,最后比较薪资;

  • (工作意向相关)关于加班问题和面试官产生了一点分歧,“我可能要给你泼点冷水,我们也不是不加班,对于一个刚入职的新人,而且你还这么有目标,为了自己的理想肯定是要付出一定努力的……”

    • 狡辩了一下,“我不是厌倦加班,我厌倦的是那种没有意义的加班……单纯的堆积工作时常其实没有太多意思”
    • 然后提到了其他申请的公司,聊了一下对其他公司以及PingCAP的看法;没有踩一捧一的意思,就单纯的聊了一下对工作模式的看法
  • (英语水平相关):问了一下口语咋样,但是没有直接上英文,好像下一轮有英文

  • 反问环节:问了一下面试流程,其他忘记了

  • 二面居然秒过了(半小时以内吧),我这面试复盘害妹写完就给我发三面邮件了……呜呜呜我宣布PingCAP也是我的Dream Company之一

一面

2022.2.9

简历秒过……非常神奇

a473a7709f35272a8e2cdebb36ef70b.jpg

HR主动加了我微信,微信中确定的面试时间;PingCAP是截至目前面试体验最好的一家公司,感受到的企业文化有点像微软。一共聊了四十多分钟,主要涉及CTF-WEB、护网、WEB相关的知识等等,差不多可以说是对着简历一句一句问过去。

  • CTF相关:你给同学的授课内容

    • 如实说
  • CTF相关:SQL注入如何判断数据库类型

    • “sqlmap一把梭……”
    • 手动注的话用version函数等
    • 面试官在听完我的答案之后说了他的答案:一般采用撞函数的方法,xxx数据库的函数名是xxx,xxxx数据库的函数名是xxxxx,特定函数执行正确的话即可判断数据库类型,version广义上说说撞函数的一种
  • CTF相关:布尔盲注、时间盲注

    • 忘记怎么答的了,面试官应该没有补充我的答案
  • CTF相关:印象中比较有价值的题

    • 聊了一下去年的国赛SQL签到题,“网络原因,时间盲注不行……”
    • 聊了一下职业杯的某题,特定的font导致报错看不到,最后用curl实现了报错注入
    • 聊了一下职业杯的某题,利用注入直接执行了SQL命令修改了密码执行逻辑,而非传统的读写注入
  • CTF相关:接上一题的font,“平时用过Burp Suite吗,BP中会打印全部内容,为什么会看不见font呢”

    • “用过,当时太懒了没开BP……curl了一下发现可以注就懒得开BP了”
  • CTF相关:一些BP的操作

    • 忘了答了啥,应该没啥大问题
  • CTF-WEB相关:SSRF相关

    • 简单聊了一下
  • CTF-WEB相关:如何理解逻辑层面的漏洞

    • 聊着聊着跑题了,后面面试官提醒我,又重新编了一段(x)
    • 大概意思就是“不该加的功能别乱加”,顺便提了一下log4shell的漏洞成因,“乱加功能”
  • CTF-WEB相关:XSS相关

    • “打比赛用的不多,细节可能忘记了”
  • 护网相关:聊聊演习

    • 聊了一下
  • 护网相关:略

    • 聊了一下
  • 护网相关:略

    • 聊了一下
  • 护网相关:如果让你给甲方企业做渗透测试,你的大概思路

    • 主站扫描、CDN检测、口令探测、注入之类
    • 在授权范围内攻击上游厂商,尝试获取甲方站点源代码,现场审计0day
    • 在授权范围内攻击下游客户、旁站等,先进入内网再突破DMZ
    • 面试官也给出了他的答案进行补充,具体是啥忘了……
  • 护网相关:介绍了很久的黄金票据和白银票据,准备提问……

    • “金银票据听说过,但是具体使用细节不熟悉……没有实操过”
    • 面试官给我科普了一下
  • 项目相关:邮件系统

    • 大概聊了一下
    • 聊了一下多线程编程,C与python
  • 项目相关:作品赛

    • 背了一下摘要,讲了一下个人工作,区块链与libsnark
    • 没有细问,但是也没有打断我,让我自己叨逼叨了半天
  • 项目相关:区块链与智能合约

    • 聊了一下truffle、solidity,吐槽了一下solidity不好用
  • 项目相关:爬虫

    • 聊了一下“乐学给爷爬”系统和知乎刷流量系统
    • “初代项目,维护跑路,停止服务”
  • 项目相关:容器,介绍了很久的k8s,准备提问

    • “暂时还不会,目前只用过docker-compose”,场面一度十分尴尬
    • 虽然但是,面试官还是给我科普了一下k8s
  • 可能还问到了一些二进制的问题,具体忘了

  • 反问:工作时间,是否加班等

    • “我们和国外公司比较像,周六周日、法定节假日一定不上班”
    • “我们以结果为导向,上班时间没有强制要求,你愿意九点来也可以,愿意十点来也可以;愿意五点走也可以,愿意六点走也可以,公司没有强制要求;如果有需要,也可以远程办公”
    • “正常情况下不加班,但是如果遇到突发事件可能需要应急响应,像log4shell这种级别的漏洞就得做应急”
    • 聊到这里突然有点哽咽,如此遵守中国劳动法的公司,对标的却是外企,国内996的公司真的需要那么多人996吗……

总体而言,PingCAP是截至目前,我面试过的面试体验最好的公司,问题的问题很深入,涉及的面很广,但是不管我答的有多烂面试官都会听我讲完;并且能明显看到面试官在记录面试内容,在我讲完之后再针对性提问,而不是在我讲到一半直接打断我……

PingCAP是今天最晚面试的公司,但是最早发出了二面邀请(大概一面过了三个小时就通知了)……可以感受到他们虽然不加班,但是效率还是挺高的。

image.png


长亭科技WEB安研(已挂)

一面

2022.2.24

具体问了啥已经不重要了,基本上全是审计相关的,框架审计、代码审计、SSRF攻击、脆弱服务审计等

image.png

上海寺信(暂无后续)

一面

2022.2.18

主要是做区块链风控的,招聘要求是硕士,但是还是给我面了……面试官小哥哥挺有意思,带着一个XM4(看着像)来面试,说话很温柔哈哈哈,聊天内容也比较融洽,像是一个学长(看起来确实挺年轻)。一共聊了40分钟,主要聊了一下CTF经历和项目,然后聊了一下对区块链的看法。

  • 自我介绍

  • 聊了一下CTF-WEB基础

  • 聊了一下印象深刻的SSRF

  • 聊了一下护网演习

  • 聊了一下项目

  • (项目相关)介绍一下项目内容

  • (项目相关)联邦学习基础问题、系统的学习效率、准确率等

  • (项目相关)联邦学习中有很多处理Data privacy的方式,为什么选择了零知识证明呢

    • “巧合,缘分”
  • (项目相关)“我之前做过针对联邦学习的攻击,可以利用xxx进行局部梯度值的回溯,你们的系统如何应对xxx攻击“(具体攻击名称忘了,好像是梯度值相关的)

    • 讲了一下应对方法,协议设计相关的;
    • 提到了项目本身是国自然的一个子项目,只是一个用于打比赛的雏形,后续的如何抵抗彩虹表、如何抵抗日蚀等攻击有博士生在做……
  • (项目相关)聊了一下libsnark相关内容

  • (项目相关)聊了一下编译器相关内容

  • (项目相关)项目开发过程中遇到的困难、瓶颈和优化等

    • 聊了一下电路的精度问题,倍数扩展
    • 聊了一下编译器的优化,循环展开等
    • 聊了一下协议设计的优化等
  • (区块链相关)聊了一些区块链的基础知识

  • (区块链相关)聊了一下常见攻击手段和应对方式

  • (区块链相关)聊了一些区块链的CTF

    • 面试官:现在CTF中区块链占比大吗,我当年好像都没有区块链的题
    • 我:海星吧,应该也是大方向,没出过相关的题,挺好奇怎么给每个人分配独立环境的……大家都公用一个网络那不是flag就串味了吗……
    • 面试官:确实不太了解哈哈哈
  • (区块链相关)聊了一下对区块链未来的看法

  • (个人展望相关)聊了一下未来规划

  • 反问工作内容

    • 主要是区块链的风控,包括薅羊毛溯源、黑产溯源、防攻击等等(剩下的忘了x)
  • 后面就聊开了,从工作内容聊到考研聊到实习经历聊到户口,就像朋友之间嗦泡一样,然后发现面试官是上交研究生毕业,好厉害呜呜呜


长亭科技区块链(已挂)

一面

2022.2.17

申请的是区块链工程师,感觉一面的面试官很有意思,挺年轻的,说话很欢快。整个面试约半小时左右,聊的内容挺多,但是很有条理,每次换话题面试官都会提前说一句;氛围也比较融洽,就像是朋友之间互相吹水的感觉(尽管很多东西确实没答上来……)

主要问了WEB基础、渗透测试相关、区块链开发相关、智能合约逆向相关(不会)

  • 自我介绍

    • 简历内容背了一下,详细介绍了区块链的项目
    • 自我介绍完面试官直接来一句”卧槽牛逼”,给我整不会了……
  • CTF-WEB相关):SQL注入的防护

  • CTF-WEB相关):聊聊时间盲注的常用函数

  • CTF-WEB相关):聊聊报错注入

  • CTF-WEB相关):CSRF的防护

  • (渗透相关):聊聊数据库提权。udf提权

    • “不会,只做过suid提权”
  • (代码审计相关):log4shell漏洞原理

  • (区块链相关):solidity语言相关漏洞

    • “不会”
    • “打比赛的时候直接读到了别人的交易,看到flag了……”
  • (区块链相关):用过区块链的应用吗

    • 聊了一下去中心化的音乐平台
    • 聊了一下作品赛的链
    • 聊了一下RealWorld CTF数字纪念品的售卖……
    • 面试官:“哟西”
    • 聊了一下本地模拟挖矿的过程
  • (区块链相关):自己搭的私链,如何选择共识机制

  • (区块链相关):聊聊共识机制

    • 详细扯了一下PoW相关
    • 提到了PoAPoS,没细说
  • (区块链相关):分片有了解吗

    • “不会”
  • (区块链相关):区块链上层的项目接触过吗

    • “只看过以太坊的源码……”
  • 反问:实习相关

整体感受还是挺舒适的,和PingCAP应该是一个级别的舒适……就是总体感觉上面试官很尊重你,不会打断你的发言,即使你答的文不对题;然后在回答之后会对你的回答做出点评,如果有更好的答案会进行讨论。我感觉这种面试体验很不错。

最后还是挂了,理由是“胜任力不足”。


梦门区块链(暂无后续)

2022.2.16

笔试

直播写代码,在线写,不限语言,不能调试,不知道输入输出……不能调试的IO赛制哈哈哈。

然后一题都没写出来,我都没脸说自己学过计算机(捂脸跑)

  • 第一题不难,给一串数,求和为零的三元组;难就难在我没搞懂输入格式,一直读不到数据……还不能调试,直接白给
  • 第二题是一个路径优化,难就难在我依然没读到数据
  • HR小姐姐全程看直播,打着视频电话的那种……后面没写出来的时候她说跟公司反馈一下,试试破格面试……估计凉了

字节跳动(已挂)

一面

半小时不到结束了,感觉寄了,毛都不会。

  • SQL注入原理与防御
  • 预编译能防御所有的SQL注入吗
  • 逻辑保护和WAF保护哪个更合适
  • SSRF相关
  • 问了好多没听过的词……不记得了(我铁FW了)
  • CSRF,原理与防护
  • CSRF-token,不会
  • 护网经历
  • Linux运维相关
  • 以头条登录界面为例,有哪些攻击面
  • “还有什么想说的吗”

结果出了,字节凉了,拜拜了ByteDance(x)

5bf6d8296f14c3934b08189f7490581.jpg


经纬恒润(发了offer,已拒)

二面

2022.2.14

面试官迟到+1,情人节面试确实有点顶……

image.png

面试之前要求做PPT,介绍自己最高水平的项目,时长控制在15-20分钟。懒癌晚期,直接复制粘贴我的作品赛答辩PPT过去了(里面提到了几句护网相关项目)

  • 前二十分钟念PPT

  • 问的问题基本上是基于PPT内容,面试官懂密码学……比当年作品赛答辩轻松多了(不是)

    • 主要聊了一下系统的零知识证明模块、密钥分发模块
    • 然后聊了一下区块链相关
    • 聊了一下考研,“考哪了”,“考清华来着”
  • 反问:直接开始反问了,有点措手不及

    • 问了一下还有几轮面试,“这是最后一轮技术面”
    • 再次问了落户相关,提到一面的时候问过,“我们企业有一些特殊人才的加分,对落户有帮助,但是不保证百分百”
    • 问了一下工作时间,“965,周末不上班”,海星
    • 面试官介绍了一下工作内容,感觉比一面说的好一点(x)
  • 薪资相关,问了一下预期薪资,问了一下有没有别的offer

一面

2022.2.9

总体体验一般,答得也一般,一共聊了半个多小时,面试完才知道它是车企……八股比较多,几乎问了个遍……也可能是我没有一个会的,就从头问到尾了,项目反而基本上没有提到……

192f152dea85c58c34ef97b199adda35.jpg

  • 算法相关:堆排序,现场出了一个题问我某个节点变上的节点是啥……

    • 忘的差不多了,手动画图画的有点慢,基本上靠蒙
  • 操作系统:进程和线程的区别、进程间通信与线程间通信的区别

    • 基本上在阿巴阿巴,系统性的描述在考完研的那一刻就忘了……
  • 操作系统:堆空间与栈空间的区别

    • 虽然也在阿巴阿巴,但是起码答出来了(?)
  • 计算机网络:问了挺多关于超时重传、滑动窗口相关的问题

    • 基本上在阿巴阿巴,问题比较细,具体忘记了
  • 编译原理:函数调用过程,入栈出栈与参数传递的详细过程

    • 阿巴阿巴:“栈帧……保存现场……中断……恢复现场”,忘干净了(x)
  • 防火墙相关,了解过linux防火墙工作机制吗

    • 扯了一下防火墙静态策略的内容
  • 依然是防火墙相关,以上内容都是静态策略,有动态的解决方案吗

    • 扯了一下IDS相关的
  • IDS如何判断流量是否合法

    • 纯理论逼逼
  • IDS的详细操作

    • “不会”
  • 读过Linux内核源码没

    • 没……但是用过内核API
    • 然后就没细问了
  • “简历里面写擅长C/C++、python,聊聊用C写的项目”

    • 描述了一下小学期的邮件系统,中途提到网络通信,直接打断转去问计算机网络;
    • 描述了一下作品赛,中途提到了编译器,打断转去问编译原理
    • 中断出去问的问题基本上不会……(八股早忘了x)
  • “作品赛中的大概有多少行代码是自己写的”

    • “没算过”
    • 开始怀疑公司的工作量考核方式……
  • “那还记得作品赛大致的代码量吗”

    • “最后差不多80M左右”
    • 依然怀疑他们的考核方式,不会有公司用代码量来考核吧?不会吧不会吧?
  • 薪资相关:预期薪资多少

    • 委婉的提了一下上一家的预期薪资
  • 反问:“我申请的这个岗位主要工作有哪些”

    • 介绍了挺久的车企相关,互联网的感觉不多,有点像传统车联网……面试官的整个描述给我一种很强的开发感,部门大概率全员安开,安研和安服的人可能不多。
  • 反问:“我这个预期薪资会不会有点高”

    • “我们薪资都是上不封顶……”
    • 此话存疑
  • 反问:北京户口相关

    • “我们会尽力帮你们申请,现在都是积分落户……都是工作几年落户”
    • 此话存疑

总体感觉啥都没答出来,虽然还是聊了半个小时……面试官语速比较快,加上电话面试的音质远不如视频面试,有些话听不太清需要重复提问。CTF相关的问题一个没问,感觉面试官/公司部门应该不是这个方向的,和互联网/网络安全不是直接相关…..整体感觉不太好。


中国系统笔试(暂无后续)

2022.2.12

卷子大概有单选、不定项选、编程,主要考察基础知识、场景应用之类的。

笔试本身不难,难的是我做错了卷子……还不止做错了一套(x)

01b3a66215f99206dc9195f55e236f0f.jpg

我应该做了三套卷子吧,第一套数据工程师的,第二套安全工程师的,第三套应该是测开或者运维

  • 数据工程师:
    • 基础题:都是真基础题,学过数据库就能做;
    • 应用题:好像考了HDFS,不会,瞎写;
    • 编程题:用MYSQL8编程,不会,瞎写;
  • 安全工程师:
    • 基础题:一些常见的密码学知识、WEB安全知识,送分题;
    • 应用题:好像考了注入相关,送分题忘了;
    • 编程题:不限语言,一个求日期的,另一个忘了,都是送分题
  • 测开/运维(具体忘了):
    • 基础题:送分题,关于Linux一些命令内容;
    • 应用题:几乎也是送分题,Linux基础操作;
    • 编程题:送分送一半,第一题是用shell脚本写一个500以内7的倍数;第二题不限语言,字符串处理,但是没给数据输出格式,一直猜不对……挺离谱的

七套子卷交了三套……最后就看它改不改卷了(x)


知道创宇实习(发了offer,已拒)

2022.2.11

面试官貌似把我忘了,给HR打电话才想起来……

面试官看过我博客,两年前的东西翻出来问了……在犹豫要不要写(简单写写)

  • 聊聊项目
  • 聊了一下CTF,CTF成绩最好的一次,如何拿到信抗国一的……
  • 聊了一下护网演习
  • 什么时候能开始实习
  • 开发这块做过什么
  • 聊了一下docker
  • 聊了一下靶场的项目,问有无兴趣
  • 聊到了CTF出题,如何防搅屎
    • “控制权限”
  • Get shell如何防止搅屎
    • “别出Get Shell的题…….”
  • 看你搭了两个博客,为啥需要两个博客(?)
  • 博客里面写了WeChat0day复现,对Chromexxx漏洞有了解吗
  • 聊了一下俱乐部和实验室

整体感觉还算不错,大部分时间其实是我在抢答……虽然感觉没问到什么技术性的问题(?)


理想汽车(暂无后续)

2022.2.17

二面

属实整不会了,想提前进房间等面试官,没想到面试官在蹲我……然后就提前开始,不到十分钟就结束了……现在还一脸懵逼中。

05c1d08b549ebde2c2342df3359ebc1.jpg

2022.2.9

一面

总体体验不错。大概聊了二十多分钟,主要是针对简历在提问,没有问八股(计算机四件套等),提到了一些WEB攻击的手段。大致问题如下:

  • 自我介绍

    • 把简历背了一遍
  • 演习相关:“你简历里面写了教育部的护网演习,这个演习我也了解过,能详细聊聊吗”

    • 聊了一下演习过程
  • 演习相关:演习过程中如何绕过WAF的

    • 这个是笔试题,我没答出来……然后面试依然没有答出来(x)
    • 我:没绕开,长亭的WAF牛逼
    • 主站WAF绕不开,打旁站去了
  • 演习相关:略

  • 演习相关:略

  • 作品赛相关:聊聊你的作品赛

    • 作品赛摘要背了一遍
    • 个人工作讲了一下
  • 作品赛相关:聊聊区块链

    • 个人工作详细讲了一下
  • 网安大事件相关:如果你是我司安全工程师,如何排查log4shell漏洞

    • 纯个人想法:依赖模块扫描,包含log4j模块的代码重点检查,如果存在漏洞则直接重构巴拉巴拉;
    • 参考长亭的解决方案……
  • 简历相关:重发一份简历,格式有点问题……

    • 后面发现是牛客网的在线简历同步有大问题……发一份pdf简历过去就ok了、
    • 严重怀疑某厂的安开简历挂了我,是不是没看到我的简历……
  • 未来规划

    • 随便扯了点
  • 反问环节:面试官主动介绍了工作内容

    • 攻、防都有,从WEB到二进制到IOT,发现漏洞、修复漏洞等
  • 工作意向相关:有没有兴趣来实习

    • 再定(x)

总体体验还算比较愉快,二十分钟左右结束面试,后续加了面试官微信,线上咨询了一下预期薪资,并正在约主管时间准备主管面。


大致就这些,如果想看其他的内容欢迎留言,有时间就来写(x)

CATALOG
  1. 1. 写在前面
  2. 2. 最终去向
  3. 3. PingCAP(已接受)
    1. 3.1. 四面
    2. 3.2. 三面
    3. 3.3. 二面
    4. 3.4. 一面
  4. 4. 长亭科技WEB安研(已挂)
    1. 4.1. 一面
  5. 5. 上海寺信(暂无后续)
    1. 5.1. 一面
  6. 6. 长亭科技区块链(已挂)
    1. 6.1. 一面
  7. 7. 梦门区块链(暂无后续)
    1. 7.1. 笔试
  8. 8. 字节跳动(已挂)
    1. 8.1. 一面
  9. 9. 经纬恒润(发了offer,已拒)
    1. 9.1. 二面
    2. 9.2. 一面
  10. 10. 中国系统笔试(暂无后续)
  11. 11. 知道创宇实习(发了offer,已拒)
  12. 12. 理想汽车(暂无后续)
    1. 12.1. 二面
    2. 12.2. 一面