我的秋招安全之路：字节跳动-安全工程师-一面凉经

秋招安全岗面经系列之 字节跳动-安全工程师-安全与风控

时间线：
x 投递 安全工程师-安全与风控
x+6 一面
x+7 转推
x+24 感谢信

一面

时长：35分钟

1. 面试官自我介绍及部门业务和工作内容
2. 自我介绍
3. 硕士期间的研究方向是什么
4. 在学校有参加安全相关的项目吗（攻防演练、ctf）
5. 打ctf吗？有参加学校的战队吗？有打哪些比赛出过什么成绩吗？主要负责哪方向的题？
6. 实习3（甲方红队）的工作内容？
7. 你们写poc的范围和来源是什么
8. 会不会去官网下载补丁找diff
9. 可以说一下你的0day吗，这是可以聊的吗
10. 攻防演练的角色是什么，大概的一个攻击思路和流程？
11. 内网横向怎么做的，扫描器用的是什么
12. 内网中会关注些什么
13. 怎么打fastjson
14. fastjson历史漏洞、fastjson需要升级到什么版本
15. 讲一下jndi、rmi
16. 打点时擅长打什么类型的漏洞
17. sql注入的修复，预编译无法防御order by时，怎么利用和修复
18. sql注入空格绕过、引号绕过
19. CSRF的修复
20. XSS中svg的利用和修复
21. DNS重定向绑定
22. 同源策略了解吗
23. 学校的攻防演练中有没有让你们给出修复方案
24. 在实习3实习的时候，身边有没有什么很厉害的人介绍一下
25. 擅长什么语言，python和go会吗
26. 反问

面试官说基础还需要学习一下，确实如此。。当时刚从上一份实习离职第二天就面试了，秋招属于0准备状态就开始面试。。很多东西都是平时用的少就忘了。。有点可惜