我的秋招安全之路:竞技世界-安全工程师-oc
秋招安全岗面经系列之 竞技世界-安全工程师
时间线:
x 投递 安全工程师
x+13 笔试
x+27 一面
x+34 二面
x+41 三面
x+52 HR面
x+62 oc
笔试
时长:很快
10单选20分+10不定项30分+7问答50分
都是很纯粹的安全问题,不算难,但问答题属实有些不容易写
一面
时长:50分钟
- 自我介绍
- 实习3(甲方红队)的经历
- sql注入延时注入的函数(mysql、sql server、oracle)
- 报错注入的函数
- 接4,这两个函数在数据库执行的原理是什么
- 布尔盲注中使用substr可能会动静太大,有什么别的方法吗
- 数据库读写文件的条件
- sql注入的各种绕waf方法
- select被过滤了怎么绕过(除了注释符)
- mysql提权方法
- udf提权可以在linux下使用吗
- ssrf常见的漏洞点
- ssrf有哪些可以利用的协议
- ssrf怎么打redis
- jsonp了解吗
- 怎么避免踩jsonp蜜罐
- csrf的修复
- 会代码审计吗
- php命令执行的危险函数有哪些
- 怎么寻找路由映射
- 审过php框架吗
- java反序列化怎么回显(除了dnslog带外)
- java内存马原理
- 机器重启后内存马还在吗
- tomcat内存马分类
- 内存马怎么排查
- 审过什么产品(各种oa什么的)
- 用友nc常见漏洞点在哪
- coremail前段时间的0day有了解吗
- 场景题:现在有一个文件上传点,上传的服务器是一个存储桶,但是他和目标的主域名是相同的,能够怎么利用
- 场景题:fastjson不出网不回显怎么打
- 场景题:当你代码审计时发现了一个后台的命令执行,怎么想办法在前台利用
- 场景题:云上的一个机器,他有一个虚拟局域网,拿到webshell后攻击思路是什么
- 场景题:打了个webshell,机器不出网怎么搞
- 自己有破解过验证码吗
- 大hw的任务分配
- 扫描工具是开源的还是自研的
- 免杀了解吗
- 内网渗透怎么做的
- 怎么找域控
- 会钓鱼吗
- 某次攻防演练成果
- 打的是哪个云,怎么利用的
- 另某次攻防演练成果
- 平时都是从哪获取安全资讯的(安全事件、漏洞预警、漏洞细节等)
- 平时有看哪些知识星球
- 现在有拿其他offer吗
- 反问
二面
时长:30分钟
- 自我介绍
- 介绍一下攻防的经历
- 做过入侵检测、应急响应之类的事吗
- 有什么比较有成就感的事
- 为什么没留在实习3
- 对工作地点是怎么看的
- 对公司规模是怎么看的
- 面试官介绍了很久的安全业务和公司情况
- 反问
三面
时长:50分钟
- 自我介绍
- 自己的优点和不足之处是什么
- 最有成就感的事
- 为什么有成就感,是什么给你带来了成就感
- 之前实习离职的原因
- 经历过最困难的事
- 如果不考虑其他因素的话,自己最想做什么方向
- 对自己职业道路的规划
- 觉得自己带领团队的话有什么优势
- offer的选择会参考什么因素
- 一个规模大但工作内容单一的offer和一个规模不大但会接触很多方面知识的offer二选一,为什么
- 工作地点的选择
- 对同事有什么期待
- 家庭情况(父母工作、是否独生、家在哪)
- 有女朋友吗
- 还拿了什么offer或者意向
- 为什么不留在实习3
- 反问
HR面
时长:40分钟
- 自我介绍
- 对一二三面面试官和面试流程的评价
- 高考多少分
- 考研还是保研
- 介绍下实习3(甲方红队)
- 哪里人
- 工作地点的选择
- 自己工作学习方面的特点
- 自己秋招的优势和劣势
- 了解竞技世界吗
- 面试官介绍公司情况和业务
- 问了前几段实习的base
- 对北京互联网和北京文化的看法
- 考虑offer的因素
- 手里其他offer或者投递其他公司的进展
- 反问
过了几天就开了口头offer,给了几天时间考虑,接的话再走正式审批流程
#面经##秋招##网络安全##竞技世界##我的秋招记录#
查看40道真题和解析