2019/8 阿里安全秋招(ing)

安全岗面经,攒一波人品~
鉴于国内安全岗面经少,留学生回国做安全面经更少,相比国外,国内项目经历很重要。写一个详细的贴,无论之后我是成功是失败,希望能给其他找工的朋友提供一个参考。本人不是大牛,普通努力争上岸的工科女一位。

阿里(内推,进行中):
一面:电面1h,技术面
操作系统:分页,虚拟地址和物理地址转换;异常,错误,中断原理,再来几个例子;死锁,data race。溢出。
漏洞挖掘:静态分析,动态分析原理;fuzzer工作原理;怎么分析fuzzer的report;模糊测试;
密码学:AES;DES;RSA;散列;分别举例,解释原理;每类都问了。AES里CBC和ECB区别;AES里的流密码了解吗?DES里有哪些,ECC原理了解吗?RSA是什么,什么时候用?散列里MD5什么时候用?张晓云教授著名的MD5碰撞原理?
web安全&网络协议:HTTPS,ssl,建议大家完完整整,不错过每一个细节的学习这一段:从如何申请证书,到服务器和客户端达成协议后完成通信,最后断开。问了我:加签过程,验签过程,非对称和对称什么时候用,为什么用?

二面:电面1h,技术面(一周之后)项目怼怼怼
项目+自我介绍。然后一道开放题??谈谈XSS,有多少说多少.XSS漏洞类型有持久,非持久和DOM,为什么这么分类?为什么单独分出DOM类?谈谈CSRF,有多少说多少。如何拿下httponly下的cookie,一时答不上,面试官让我用电脑网上surf一下,两分钟后讨论。虽然没找到什么,不过面试官给的思路(此段回忆不清,可能有误)是用http协议包请求https协议下同一网址。我当时反问了,同源策略不是要求协议是一样吗?面试官说,因为有些网站可能会忽略这些。以后方向?为什么想继续?

三面(一周?):电面30min,技术面(一周之后)项目轻怼怼
项目+自我介绍。好像是交叉?是蚂蚁钉钉的面试官。之前似乎不是。然后开始人生规划问:以后方向?学习方向?毕业多久能进实习或正式工作?现在对web安全怎么看?学习中认为学习web安全和系统安全有什么不一样感受?

之前看过一些毒鸡汤,说没啥难度谈人生的技术面,基本就是凉凉前的最后一丝温暖,so,面试时反而没那么紧张了。。。。不过能继续给我机会我当然更乐意~

总之放轻松,随时准备好,应对每一场突如其来的面试。

#阿里巴巴##面经##安全工程师##校招#
全部评论
看来硕士好点是真的,有时间研究学习时间更长
点赞 回复
分享
发布于 2019-08-20 23:08
大佬拿到offer了吗
点赞 回复
分享
发布于 2019-08-22 14:10
乐元素
校招火热招聘中
官网直投
.绕过httponly的方法是分为两大类一类是通过客户端漏洞比如flash,ajax 进行set cookie,另外一类是通过xst手段访问phpinfo之类的吧。面试官回答的使用http代替https是ssl 剥离方法用来绕过hsts第一阶段的吧,所以结论面试官错了,不知道我是不是理解错了,求大哥们解答。
点赞 回复
分享
发布于 2019-08-22 23:21
看看我们阿里云安全也行啊!
点赞 回复
分享
发布于 2019-08-23 09:47
同留学生、安全岗、工科女哈哈哈,感谢面经!祝通过!
点赞 回复
分享
发布于 2019-08-23 11:18
楼主是阿里哪个部门呀~?
点赞 回复
分享
发布于 2019-08-23 12:01
httponly是基于浏览器层面的保护,禁止js访问设置了该属性cookie的值,所以Bypass的思路可以基于服务端做文章,最常用的方法就是找到在同域下服务器的页面返回了用户当前的cookie的地方,去读取,或者如果有服务器层面的infoleak(比如心脏滴血),那httponly也是无效的。 面试官回答的应该不是bypass httponly的方法吧。
点赞 回复
分享
发布于 2019-09-02 00:44
小姐姐最后面试如何了
点赞 回复
分享
发布于 2019-09-24 10:59

相关推荐

12 74 评论
分享
牛客网
牛客企业服务