阿里云安全面经,已收到意向书(回馈牛客)

牛客的安全面经太少了,不过也看了很多类似的,有所收获,回馈一下牛客(本人用leetcode刷题较多,第一次发帖,有不当之处,请见谅!)
个人情况:本科双非,考研上了北邮,目前研二。先找了某安全公司的日常实习(线下一下午,一面、二面、leader面、HR面,过了就去了),3月16日申请了阿里云安全开发暑期实习,4月14日收到意向书。
简历重点:WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营(所在小组获得第一)。
字节跳动训练营是给了网站,挖漏洞,搭建WAF防护该网站,搭建WAF管理平台。
实验室漏洞挖掘项目是针对SDN的南向协议OpenFlow进行漏洞挖掘。
缩进的列表算是追问吧...

一面

自我介绍一下,讲一下课题和课外实践?

WAF管理平台后端API有做过压力测试吗?

你现在的论文已经发表了吗?

你的毕业论文是什么?

在字节跳动训练营最大的收获是什么?

在研究生期间或日常生活中有什么可以分享的有意义的事情?

快排的时间复杂度是多少?

  • 最快的情况下是多少?是什么样的情况?
  • 最慢的情况下是多少?是什么样的情况?
哈希冲突有哪些解决办法?
编程题(easy)

二面

自我介绍一下?

我们这里是密码管理服务,密码这块你了解多少呢?

你未来计划更偏向于安全研究还是安全研发?

你对云上PKI的安全,身份认证的能力感兴趣吗?

介绍一下字节跳动训练营做了什么?

  • Sql注入的原理和防御方案有哪些?
  • WAF防护SQL注入的原理是什么?
  • 本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?
  • 漏洞挖掘是纯工具还是有一些手工的?
  • WAF管理平台后端API有哪些功能?
  • WAF的增删改查数据量大吗?
  • Redis解决了什么问题?
  • 热点数据怎么保证redis和db中的一致?
  • 用户登录认证是怎么做的?
  • Token的安全怎么保护?
  • Token的内容该如何设计?
  • 怎么保证数据不被篡改呢?

SDN漏洞挖掘的思路?

  • 漏洞挖掘有挖掘出RCE漏洞吗?
  • 对栈溢出、堆溢出有研究吗?

说一下https协议的过程?

  • 随机数一般有几个?
  • 如果有一个的话会如何?

C++C熟悉吗?

哈希表的原理和冲突解决办法?(和一面重复了)

Mysql查询快的原因?

  • 事务的四大特性,mysql隔离级别?
  • 解释一下乐观锁和悲观锁?

多并发编程有涉及过吗?

  • 读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?
有一项软件著作权,做的什么软件?
编程题(medium)

三面(交叉面)

字节跳动训练营越权问题解决办法?

  • ***都是自己写的规则去防御吗?
  • 任务都是一样,你们得了第一,你们团队做的好的地方在哪里?

SDN漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?

Python2和Python3的区别?

  • Xrange和range返回的是什么?

数据库索引的作用?mysql索引的变化?

数据库弱口令,登进去后如何提权?

你自己写项目的时候,怎么进行的SQL注入防御?
怎么进行CSRF防御?
  • Token加密什么东西?
  • 校验什么?
  • Token为什么需要加密?
  • 使用明文随机数可以吗?
怎么防重放攻击 ?
Docker有哪些安全上的好处?
个人发展方向?
当前在哪里日常实习?
  • 实习多久了?为什么想来阿里?
祝大家早日上岸,个人博客,大佬们有空来逛逛呀,Python和WEB安全相关的可能暂时不更了,阿里这边是密码安全和go,在转go,冲冲冲!
#面经##阿里巴巴##网络安全#
全部评论
楼主,hr面后几天收到了意向书
1 回复
分享
发布于 2021-04-17 11:08
Firewall怎么变成***了?这还敏感字?
点赞 回复
分享
发布于 2021-04-16 22:02
秋招专场
校招火热招聘中
官网直投
请问下安全研究和安全研发有什么区别啊?
点赞 回复
分享
发布于 2021-04-22 15:23
2021总结:https://www.bilibili.com/video/BV1Ar4y1Y7m4
点赞 回复
分享
发布于 2022-01-31 08:10

相关推荐

6 61 评论
分享
牛客网
牛客企业服务