35分钟
1.自我介绍
2.js原型污染是什么?xss的防御,csp、httponly、后端编码转义,存在这三种防御策略的情况下还可以怎么利用xss?
3.说一下宽字节注入,SQL注入的防御方式,SQL预编译绝对安全吗?
4.https连接过程,密码学相关,说3种非对称加密算法,有哪几种加密模式?cbc模式有不安全的地方吗?
5.情景题,一个上传头像的功能需要注意哪些安全问题?
6.安卓抓包相关,ssl pinning的解决方法,app如何反hook?app有几种加固方法,各有什么不同?
7.安全攻防相关,如何隐蔽地维持权限?蜜罐的SQL注入可以溯源ip的原理
8.反问
相关推荐
HR_丸山彩同学:你的项目描述里,系统设计讲了很多:MemCube是什么、三级存储架构怎么设计、四种遗忘策略分别是什么。这些面试的时候讲没问题,但简历上不需要这么细。
简历要突出的是影响力,不是实现细节。面试官看简历的时候想知道的是「这个项目有多大价值」,不是「这个项目具体怎么实现的」。实现细节是面试时候聊的
怎么改:技术细节可以精简为一句「采用三级存储架构+四种遗忘策略」,把省出来的篇幅用来写影响力。比如:项目有没有开源?有没有写成技术博客?有没有被别人使用过?
校园经历没有任何信息量,任何人都可以写这句话,写了等于没写。更关键的是,你投的是技术岗,校园活动经历本来就不是加分项。如果非要写,必须写出具体的数字和成果。如果你没有这些数字,那就老老实实删掉
「端到端耗时缩减30-40%」要给出确切数字和绝对值。从1000ms降到600ms是降了40%,从100ms降到60ms也是降了40%,但这两个含义完全不一样。其他也是,涉及到数据,准备好证据,口径统一,面试会问
「熟练」「熟悉」「了解」混在一起用,读起来很乱。而且「了解前端需求」最好改成「具备前后端协作经验」 
vivo公司福利 718人发布
查看20道真题和解析
