2019/8 阿里安全秋招(ing)
安全岗面经,攒一波人品~
鉴于国内安全岗面经少,留学生回国做安全面经更少,相比国外,国内项目经历很重要。写一个详细的贴,无论之后我是成功是失败,希望能给其他找工的朋友提供一个参考。本人不是大牛,普通努力争上岸的工科女一位。
阿里(内推,进行中):
一面:电面1h,技术面
操作系统:分页,虚拟地址和物理地址转换;异常,错误,中断原理,再来几个例子;死锁,data race。溢出。
漏洞挖掘:静态分析,动态分析原理;fuzzer工作原理;怎么分析fuzzer的report;模糊测试;
密码学:AES;DES;RSA;散列;分别举例,解释原理;每类都问了。AES里CBC和ECB区别;AES里的流密码了解吗?DES里有哪些,ECC原理了解吗?RSA是什么,什么时候用?散列里MD5什么时候用?张晓云教授著名的MD5碰撞原理?
web安全&网络协议:HTTPS,ssl,建议大家完完整整,不错过每一个细节的学习这一段:从如何申请证书,到服务器和客户端达成协议后完成通信,最后断开。问了我:加签过程,验签过程,非对称和对称什么时候用,为什么用?
二面:电面1h,技术面(一周之后)项目怼怼怼
项目+自我介绍。然后一道开放题??谈谈XSS,有多少说多少.XSS漏洞类型有持久,非持久和DOM,为什么这么分类?为什么单独分出DOM类?谈谈CSRF,有多少说多少。如何拿下httponly下的cookie,一时答不上,面试官让我用电脑网上surf一下,两分钟后讨论。虽然没找到什么,不过面试官给的思路(此段回忆不清,可能有误)是用http协议包请求https协议下同一网址。我当时反问了,同源策略不是要求协议是一样吗?面试官说,因为有些网站可能会忽略这些。以后方向?为什么想继续?
三面(一周?):电面30min,技术面(一周之后)项目轻怼怼
项目+自我介绍。好像是交叉?是蚂蚁钉钉的面试官。之前似乎不是。然后开始人生规划问:以后方向?学习方向?毕业多久能进实习或正式工作?现在对web安全怎么看?学习中认为学习web安全和系统安全有什么不一样感受?
之前看过一些毒鸡汤,说没啥难度谈人生的技术面,基本就是凉凉前的最后一丝温暖,so,面试时反而没那么紧张了。。。。不过能继续给我机会我当然更乐意~
总之放轻松,随时准备好,应对每一场突如其来的面试。
#阿里巴巴##面经##安全工程师##校招#