小米安全开发工程师一面面经
一开始我就直接介绍了我的背景:
本人没有笔试却直接接到小米面试,还是安全岗,有点慌。(怕是刷 KPI
面试官有点诧异,因为面过的好像都做了笔试。
然后我说起现在的实习做的内容和安全无关,他人很好,解释他们也接受没有安全背景的学生的,不用慌balabala
我说 "我就是学信息安全的"
“我的意思是 ...”
"嗯!不慌不慌"
基于此前提,所以后面问我的关于安全的东西基本比较浅(主要是我没答上),面试官是 Web/网络安全 背景的。我们聊到的东西大概有下面这些点:
0. 我实习做的内容
1. “你懂逆向?” 我本科有这门课程,借着做过的几个实验说了说自己的理解。然后他说他不是搞这个的。
于是,两个不懂二进制安全的人在一起聊着静态分析 动态分析~
2.一些基本的 Web 漏洞
我就 XSS CSRF 文件上传漏洞 以及 SQL 注入这些问题,列举了它们一些基本的解决方式。核心思想就是不要相信任何用户的输入
3.python
列表推导
判断某个类是否有某种属性
__init__ 和 __new__
装饰器 应用场景
静态方法 staticmethod
对 Flask 这类框架的理解(我的项目经历就这种 CURD 可问了==)
4.linux (话说我平时都只用htop啊摔)
已知某端口,查看占用它的进程号
已知某个 a.py 进程跑着 ,查看其端口
杀死机器所有 python 进程(我很怀疑这可行吗?不是说技术上,而是说行为上准不准许这样做,因为linux... 算了有待查证
5.数据库
Mongodb 和 MySQL
MySQL 引擎 (不清楚是个啥,我问 "你要问我B+树?"
索引 (不了解,因为平时数据量少也没用到过)
inner join,left join,right join
子查询 (就是 select * from (select *) 嘛)
有一个ip地址为条目的表:降序 ip 地址数目出现次数(据他的意思我没答上,到最后我也不知道哪儿错了,因为是比较模糊的出题,我也是模糊地答题)
6.计算机网络
TCP/IP 三次握手,四次挥手
http状态码:重定向是哪个?404?502?
7.有没有接触设计的概念,设计模式?
8.反问
小米内部针对哪些方向做安全? Web,软件,嵌入式,IoT等等
平时你们安全开发的主要工作是什么?
没有出编程题。还有一些记不清了。
1个小时 总的来说面试官会比较认真的看简历针对个人来问,也会一步步引导,整个面试过程还是和乐融融,气氛挺好的。