1. 实习时间2. 你觉得自己哪方面比较优秀3. 哪些学的比较好的课程4. 项目难点介绍5. 项目收获介绍6. 事务是什么？有什么理解？7. 为什么使用 B+ 树索引8. MVCC9. For update 读，上的什么锁10. HTTPs11. 算法：给出 n 个数的二叉搜索树的有多少个，没刷过不会做，换成了单链表合并12. 手上有 Offer 了吗？实习的主要目的13. 可能还有其他的，但是忘了反问：1. 部门业务：说是70%对内的一些开发，30%对外，与安全无关2. 技术栈：都有涉及总共40min 结束，除了手撕第一个卡了，其他都答出来了，面试官老让我谈自己的理解

👥 面试题目xss漏洞的读取cookie的原理xss漏洞的防护讲讲xss防护的同源策略听说过CORS嘛？具体讲讲sql注入的原理？种类？sql注入报错相关的函数frp怎么隐藏流量作为红队队长怎么组织讲讲记忆深刻的几次红队负载均衡的时候机器不出网要怎么打内网域渗透的kerberos认证了解过吗渗透的时候遇到docker或者主机在容器里怎么打？讲讲docker逃逸云环境渗透的kubernets了解过吗平时有没有跟进过一些新出的漏洞比如说log4j这种？log4j爆出后，运维直接在waf上对${jndi}进行阻断，有没有研究过怎么进行攻击有没有对未来路线做一些规划对于免杀的学习有没有什么规划？日常做这些的时间多吗？

网上基本没有面经，分享一下。以项目和简历为主提问，问得比较发散。面试时间：12.13已感谢信八股：1、Redis分布式锁 1.1 获取不到锁怎么处理？ 1.2 如果锁过期了，但业务还在处理，此时锁又被其他用户获取了，如何解决？ 1.3 Redis机器时间跳变，对锁有什么影响以及会出现什么情况？如何处理？ 1.4 Redis锁会出现误删的情况吗？2、MySQL主从复制，如何实现的 主从复制是MySQL的功能还是InnoDB引擎的功能3、介绍数据库事务4、事务隔离级别，为什么需要设置4种隔离级别5、MVCC机制6、JWT token7、进程、线程、协程8、为什...

居然是直接扔一个oj给我们，跟打acm一样

面试使用钉钉进行的，第一次用钉钉进行面试，面试官那边一直听不清我说的话，中间网络还崩溃了几次，搞得我心烦意乱，面试官也没有啥耐心了，前面一直在问我实习期间的一个工作内容，我在字节实习内容是自动化测试相关的，问我：自动化用例的实现率和稳定率是怎么计算的；如何理解自动化提效的理念的；详细介绍一下在京东实习过程中负责的具体的业务模块；在京东实习期间，如果来了一个需求怎么做；之前都是在互联网公司实习，为什么想要来做网络安全相关的公司呢；测试相关：之前公司生产的都是正常的可乐，现在生产了一款无糖的可乐，针对这个新产品，你会有哪些测试策略，和测试执行；技术相关：Linux的常用命令有哪些；在Linux上安...

#面试##哪些公司面试官让你印象深刻？##如何判断面试是否凉了##我发现了面试通关密码#已挂~10:25 11:00-12:00面试官挺和蔼的，整体偏向互相交流学习，没答出来的他还说没关系，这是个不断学习的过程。不是压力面真好！面试内容偏向八股、基础知识，项目和论文问的少。自我介绍介绍Transformer有哪些encoder-only、decoder-only、encoder-decoder结构介绍BERT（项目、论文、实习里用的都是bert，没用过其他结构）我目前的研究基本上用BERT+线性层之类的来做，问我LLM出现后分类任务会被取代吗？BERT、GPT如何分词，有什么区别常见的位置编码（讲了正余弦位置、可学习参数矩阵、RoPE）BERT里的可学习参数矩阵来表示位置编码，对于长文本呢》超过这个长度怎么办？Attention，为什么有Multi-head，作用是什么。BERT里head数是多少，我说bert-base是12，反问为啥是这个数，是基于啥算法得到的还是经验设计的，我猜测是通过实验观察得到面试官偏向用GPT系列的decoder结构，对BERT这些记不太清了，所以一直在问这方面的内容，我也表示了确实主要用的还是BERT，但目前的大模型也确实都基于decoder架构来做。介绍项目的收获与其中的难点。具体想做算法哪方面，一开始没理解还以为是具体的NLP任务场景，我说都可以做，后来又追问，说是偏数据工程还是模型设计还是模型训练，我脑子一抽说了模型设计，面试官反问说模型设计现在基本上没什么可以改进的了，LLM都基本用decoder结构，然后我说这仨我都可以接受，主要是确实都能做啊，也没啥特别喜爱的QAQ反问，主要业务场景（安全领域的大模型）、需要具备的技能（追踪最新的SOTA、读paper、理解能力、持续学习能力、动手能力、思考能力）总体来说 还是一场体验感不错的面试，也没有任何刁难，不会的问题面试官也一直说没关系。像是互相在探讨学习的一个过程~

其实我来到这边已经实习6个月了，才想起来写面经。我投递的是漏洞挖掘岗位（移动端，主要以Android为主，ios也涉及）。长亭这边还是以web为主（长亭的web师傅、红队师傅打比赛超厉害！！）移动端的岗位特别少，基本都是萝卜岗。真正的wlb，不打卡，不加班，零食随便吃。早10晚6（上海是这样）。--------一面：简单介绍下自己。说一下https的四次握手？（就是问https加密流程）看你之前在网易实习过，介绍一下你做的工作看你对壳挺了解的，说一下加壳脱壳原理（1代、2代，3代）我们这边以漏洞挖掘为主，能说下常见的Android漏洞吗（基本就是四大组件，问的很细！）简历上写看过Android系统源码，说下Android系统启动流程？Activity和Service的生命周期？说一下so加载流程？如何对抗反调试？之前你在网易是做加固的，来长亭这边要转做漏洞挖掘，请问有没有兴趣？然后反问阶段总结：我简历上都是和逆向加固相关，一面的面试官主要做漏洞挖掘的，对注入啊脱壳啊vllom混淆啊问的不怎么细。so逆向、算法还原、aes、md5啥的源码也没问。但是四大组件的漏洞原理问的特别多。（入职之后也是一面的面试官带我，人超级Nice，真正的手把手教）--------二面：二面是负责人面的，主要还是业务为主，八股文不问。自我介绍一下自己前1轮面试体验如何？之前做过漏洞挖掘相关的工作吗？有没有打过CTF?对其他安全领域的了解吗？比如web？以后在安全方向有什么规划？总结：二面基本没有问什么技术问题，主要就是聊天，大多数在一轮技术面都问过了。面完不到一小时hr打电话来随便聊聊就发offer了。-------总结：能拿到长亭的offer我感觉纯粹运气占大部分，这边正好缺人，也可能有网易实习经历，当然自己实力也占一部分（笑）。如果有同学想走安全方向，其实不建议做移动端，市场很小，现在基本纯逆向的岗位已经不多见了（几乎没有，灰黑除外）。大多以漏洞挖掘、风控、爬虫为主。但是不管什么方向，基础都是相通的，不管做啥，试想如果你拿到一个app，你都不会脱壳，也不会抓取https报文，不会协议分析，不会hook，想在移动端安全方向混口饭吃，其实很难。所以掌握基础很重要。#安全实习##长亭科技#

第一次可能也是最后一次面后端，留个纪念（逃）笔试 72h11道oj，5道ac进面一面 50min1. 自我介绍2. 没做过相关项目，说了个大作业3. （好像被认出来是哪门课的大作业了尴尬到不敢回忆后面问问题一问三不知给老师丢脸了orz）4. 三次握手过程5. 三次握手之后的状态6. 第三次握手失败会怎么样7. 二分查找原理8. 程序如何测试9. 手写代码（类似二分查找）10. 反问结果通知时间：当天（有些记不清了）二面 hr面 30min随便聊聊有自驱力吗？没有结果通知时间：三天

麻了真的是，奇安信hr挂。长亭要我搞桌面安全，我很久没搞过了，好几次面试了。。。其他一家都没消息。。。

前段时间刚好面了一些，分享给大家仅供参考。 上海通创信息技术有限公司 为什么想要去做安全 http1.1的新增内容 sql注入单引号被过滤了怎么绕过 sql注入分类 xss分类 文件上传绕过 项目都做了些什么 你自己未来的规划 熟悉的语言（说了java） 操作系统的死锁机制 进程和线程的理解 如何检验信息的完整性 介绍一下ctf安全杂项...