前几天看到论坛有朋友分享了自己的实习求职经历,想到自己也一直是潜水,所以也来给论坛留点东西吧。另外就是考虑到网上对安全岗的面经真的很少,虽然华师现在做安全的很少,基本都在我们队里了,但我们学院其实已经有了网络空间安全这个专业的招生资格,所以我觉得后面可能会有多一些师弟师妹也会走上这个路,留下一点东西说不定以后对他们也有帮助。
本文主要是分享我的经历和教训,面经就只有阿里的。
我的简历其实还勉强算可以,在队里这几年拿了几个奖,老师授权给我们对校内的网站做过一些渗透,因此也有一些实战经历,而学校在大厂看来也基本处于一个没什么加分但是也不会拉后腿的情况,所以过简历面问题也不算很大。不过我有几次被问到“没有挖SRC是吗,为什么呢”这个问题,我当时的回答都是因为没有授权,而且现在的情况对挖src的白帽子也的确不是很友好,法律风险和奖励情况不稳定之类的,但是如果有这方面的经历其实真的很加分,所以这块大家还是自己决定吧,当然,网络安全法最好先了解一下,千万不要拿数据搞破坏之类的。
目前为止(4.28),我投递的公司和情况如下:
腾讯(被挂+被鸽)
阿里(收到意向书)
字节(因为地点是北京,拒了面试邀请)
OPPO(投的比较晚,来面试的时候已拿阿里意向书,拒了)
微众银行(做了笔试以后一直没消息,也没看到开始筛选简历)
华为(测评原因流程走的慢,后面拿到阿里意向书了就没走了)
本文主要讲一下我在腾讯和阿里的面试经历,因为其他公司都没什么好说的,因为腾讯的面试经历比较失败,我就不想回忆和贴面经了,如果只想看面经直接拉到阿里那部分吧。
腾讯
我最早是先投递的腾讯,因为我当时觉得这是我最想的去的公司,能去我就不投其他地方了,后来发现我这个决定如此的错误。最终我没能去鹅厂既有腾讯的原因,也有我自己的原因,但说到底还是我的原因。为什么这么说呢?
我投腾讯的时候他们还没开始提前批的招聘,但是当天就锁定了我的简历,换句话说就是我进入了面试的流程,我开始非常期待,但是一直没来面试,这个过程真的很煎熬,结果一直等到超过8个工作日都没来,然后被释放了。释放当天又被另一个部门给捞了,这次还好,过了几天就来了面试,这也是我本次春招的第一个面试。
这第一次面试准备很不充分,而且我既兴奋又紧张,很多东西即使我脑子里有这个概念,表达的也不是很好。面试完我觉得我回答出了8成,现在想想可能被表达的扣分扣剩6、7成了。不过过了没多久,还是给我进入到了二面。过了一个星期,二面终于来了,问的东西跟一面完全不一样,问的基本都是跟实战有关系的业务方面的东西,因为我比赛多一些,实战比较少,这块又没答好,过了2天发现没了。而被释放的当天,又有一个部门捞我给我机会,当时感觉人生还是有希望的(笑。
新的部门效率很快,当天就约了第二天面试,我也吸取之前的教训,复盘了之前的失败经历。第二天面试的时候感觉答的还是很好的,这次应该真的答出来八、九成,而且面试官也直接告诉我后面有别的人来联系我,可惜的是,后面就真的没有面试官联系我了。是的,又出现了最开始的情况,而且这次中间还有个假期,不算在工作日中,等的更加煎熬了,但还是没等来我的二面面试官。这个时候提前批也快结束了,很多部门应该也招满人了,正式批估计就走个流程,虽然我还是参加了笔试,但是后面也没有再被捞起来过。
所以说,这里面既有被鸽的原因在,也有我准备不充分,没有经验的原因在。主要是还是怪自己,不然我第一次二面过了就没这后面的事了。至于这个错误,文末再说。
阿里
我在三月下旬投的阿里,但是当时没有去做测评,因为当时的想法能去深圳还是不去杭州好了,有点远。而且,阿里在牛客网的招聘名声不太好,很多人反馈有人内推以后就不管了,拿着简历去刷KPI之类的,我感觉自己可能也会被刷KPI就一直没做。直到后来腾讯那边一直没消息,测评有效期也没剩多少了,我就想着不做白不做,做一下好了,结果没想到真的进了面试中的流程。
阿里的技术面是直接打电话过来的,当时第一个面试电话我就没接到。因为当时电话被我的MIUI标记为房产中介,我就犹豫了一下要不要接这个骚扰电话,因为上面写的是杭州,就在我犹豫的时候,他挂了。。当然,这个电话肯定是阿里的,因为后面来的很多个都是标记为广告推销之类的骚扰电话,打回去也是打不通的。这好像是钉钉分配的网络电话,应该是不少人拿这个东西去干坏事,所以导致被标记成这样了。大家面试期间如果有骚扰电话,也一定不要错过,当然,如果是移动联通的10086,10010之类的,那倒是可以考虑不接。
因为已经是四月下旬了,春招也接近了尾声,所以面试流程也很快,不过因为我没有找人内推,面试流程只能一直看到面试中不知道具体的情况,所以如果大家想面阿里,最好还是找人内推,这样才能看到更清晰的面试情况。面我的部门是阿里云,我就直接贴一下面经吧。
一面
- 自我介绍
- 分享一个挖掘漏洞的例子
- 渗透和挖掘漏洞都有接触吗
- 挖掘一个网站安全问题的思路
- 描述一下ssrf产生的原因和危害
- 设计一个工具自动化测试ssrf的思路
- 设计一下防御方案
- 测试一个系统水平越权的思路
- 分享一个最有挑战性的渗透经历
- 有没有做过代码审计的工作
- 给一个CMS做白盒审计的思路
- 用污点跟踪的思路挖掘sql注入的思路
- 有什么问题问我
二面
- 自我介绍
- 你比较擅长黑盒测试还是白盒审计
- 比较擅长挖哪些漏洞
- 文件上传绕过的原理
- 介绍一下原型链污染
- python的模板注入的原理
- 反序列化漏洞
- 怎么防御反序列化呢
- 有没有遇到需要给出解决方案的场景
- 怎么发现那个CMS的后台漏洞(我写在简历上的一个漏洞)
- CNVD的是什么漏洞
- 渗透经历和结果
- 通过纯代码发现漏洞的经历
- 写过什么工具或者脚本什么的
- 用什么语言写的
- 哪个语言更熟一点
- 除了面我们这里还有面其他公司吗
- 有什么问题问我
交叉面
- 自我介绍
- 有什么问题问我
- 擅长哪些技术
- 你是做渗透还是挖漏洞还是都会
- 做渗透的时候是打进来就结束还是会做内网渗透
- 二进制你也会是吗
- 你挖过多少个漏洞
- 开源的CMS漏洞有多少个
- 讲一下这个CMS
- 实际上有见过密码是默认的情况吗
- 技术深度高的漏洞
- 在你参加的这个HITB比赛的贡献是什么
- 你考虑广东外的城市吗
- 这些奖里技术含量最高的
- 在这个比赛中的贡献
- 说一下里面的细节,做了什么题,有什么难的
- 说一下开发,写过的插件在哪里呢
- 用python写过什么
- 有什么问题问我
hr面
- 自我介绍
- 你这个学校是不是985来着
- 考研吗
- 你是怎么学习的
- 这些安全相关的知识都是自学的吗
- 做过比较失败的事 (别人不都是问成功的事吗,怎么不按套路出牌)
- 你怎么看待和处理这件事呢
- 安全圈崇拜或感兴趣的人
- 他在哪个公司
- 除了阿里还有在跟哪里谈吗
- 你怎么看待阿里和其他公司的offer
- 有什么问题问我
总结
上面我提的错误就是一上来就投了腾讯,大家应该先投一个不是最想去的公司,通过面试积累一点经验,同时可以调整心态,因为在腾讯的面试经历我后来面阿里的时候心态非常好,表达也清晰了一些,基本都能把会的东西说出来,不会的也能给出自己的思考,我想这也是我能进阿里却被腾讯拒了的原因之一吧。
其实,总的来说,阿里的实习还是比腾讯的难进的,因为腾讯给的实习名额多,但是转正率也低,而阿里的开发有招聘KPI,所以很多人出来要简历,但是实习名额少,转正率很高,因此难度就上去了。但是如果不看大的样本,具体到某个人身上的时候,你会发现很多意外还是会时常发生,面试这种事情需要策略,也需要缘分,所以如果没能去到想去的公司,很多时候也是可能也只是缘分未到,不必像我之前那样怀疑人生(笑