我的秋招安全之路:vivo-安全工程师
秋招安全岗面经系列之 vivo-安全工程师-东莞
时间线:
9.12 笔试
9.19 一面
9.20 HR面
9.30 带薪offer
笔试
时长:90分钟
题型:单选*6 18分 + 多选*4 12分 + 编程*3 70分
一面
时长:30分钟
自我介绍
介绍一个攻防经历
内网扫描的时候没碰过hids吗,不会被拦截吗
攻击的时候机器不出网怎么办
有堡垒机怎么办
数据库中的数据没加密吗,加密了怎么办
被ban ip了怎么办
如果攻击的是个人PC可以怎么找数据
域渗透
介绍另一个攻防经历
登录做了双因素认证怎么办
***服务器没绑定机器编码(证书)吗
反问
基本不会问技术点。。更像是在做一个沙盘演习,我提出我的攻击思路,面试官用他们的防护方案对抗,全程大概就是:
我找了一个web突破口
- 登录的我们有双因子认证,其他的方式基本不可能打进来
我用0day拿到一个shell
- 但你不能扫描,你一扫描我就有hids自动拦截
那我翻数据库和文件
- 我数据库的敏感信息都加密了
那我尝试轻量扫描一些常见服务和端口
我有堡垒机保护,你横向不了我的机器
我内网系统都是强密码
我机器还不出网(我尝试横向到出网的机器)
你再扫我就ban ip(我有代理池)
没用的,你一扫我就封
我拿到***服务器权限抓流量
你拿了cookie没用,我***登录需要账号密码+双因子认证+机器证书
为什么不去找域控
聊了一会hw分数规则
- 国企央企安全做的太差了,hw规则对我们没什么用
HR面
时长:30分钟
自我介绍
了解vivo吗
几段实习经历中觉得哪段收获最大
在学校做的什么事情是最有成就感的
身边的同学和老师是怎么评价你的
遇到过什么印象深刻的困难
怎么解决的、怎么缓解压力的
对于今年互联网不太乐观的形势,有什么想法
对于工作的选择会看重什么要素(待遇、平台、地点、工作内容)
期望薪资
反问