2024-11-08 16:52 已编辑 西北大学 安全工程师 发布于陕西
关注
华为 网络安全工程师 10.18线下面
牛客吞我面经...
一面(1h)
1. ctf经历->shiro漏洞原理,高版本aes oracle padding
2. fastjson漏洞原理
3. jndi注入,高版本codebase绕过了解吗
4. 继续拷打反序列化
5. 讲一下xss漏洞,怎么防护,有哪些危害?http only在哪设置
6. innerHtml传入<script>alert(1)</script>能执行吗
7. csp了解吗?绕过方式有哪些,iframe绕过具体讲讲
8. csrf漏洞原理,防护手段
9. referer校验,我们可以抓包修改,那这个防护手段有用吗
10. samesite属性,cors为什么可以发送请求,但是收不到结果
11. ssrf漏洞原理,黑名单绕过,dns重绑定需要设置什么
12. 讲了一个渗透项目,追问安卓抓包细节,oss任意文件上传限制后缀就能防护了吗
13. 开发语言熟悉哪些?写过哪些插件,二开过什么项目
14. redis未授权怎么打?任意文件写利用思路
15. 问ctf经历,web.xml文件里xml文件解析为jsp怎么写的
16. 学习安全的路线,方法
17. 手撕:sql注入流程
面试官技术水平一流,我讲的所有项目他都能快速理完思路,然后深入拷打
二面(1h)
1. 自我介绍,觉得不够充分,又闲聊了一些内容
2. owasp Top10你觉得有哪些不足,辩证的讲一讲,说说缺点
3. sql注入30年前已经发现了,讲讲怎么挖到新的漏洞,了解国外的cyber sec怎么做的吗
4. 安全相关的网络协议有哪些
5. 正向代理和反向代理的区别,举例说明
6. http协议,请求体结构,方法有哪些?响应体结构,问了100,300俩个状态码
7. http协议的rfc编号 ps:这个真的邪门了
8. hvv细节
9. 浏览器的架构了解吗,哪个引擎负责dom树的解析
10. 讲讲数据库从sql语句执行和存储引擎的交互
11. nmap参数 一个syn半扫描和一个操作系统
12. 用什么大模型?能上谷歌吗?学校提供xxx?:当然不是
13. 手撕: 数组元素的全排列
开放性和底层的问题是真的不会,包括手撕也是磕磕绊绊,感谢二面面试官给我机会
三面(25min)
1. 自我介绍
2. 考研吗?为什么不考?
3. base地倾向哪
4. 给学校的经历打几分?为什么
5. 从安全的角度看待人工智能这些新技术
6. 为什么选择安全
7. 了解华为的企业文化吗
8. 职业规划
9. 反问
常规主管面,面试官夸我反问的问题很好,期待一个通过
一面(1h)
1. ctf经历->shiro漏洞原理,高版本aes oracle padding
2. fastjson漏洞原理
3. jndi注入,高版本codebase绕过了解吗
4. 继续拷打反序列化
5. 讲一下xss漏洞,怎么防护,有哪些危害?http only在哪设置
6. innerHtml传入<script>alert(1)</script>能执行吗
7. csp了解吗?绕过方式有哪些,iframe绕过具体讲讲
8. csrf漏洞原理,防护手段
9. referer校验,我们可以抓包修改,那这个防护手段有用吗
10. samesite属性,cors为什么可以发送请求,但是收不到结果
11. ssrf漏洞原理,黑名单绕过,dns重绑定需要设置什么
12. 讲了一个渗透项目,追问安卓抓包细节,oss任意文件上传限制后缀就能防护了吗
13. 开发语言熟悉哪些?写过哪些插件,二开过什么项目
14. redis未授权怎么打?任意文件写利用思路
15. 问ctf经历,web.xml文件里xml文件解析为jsp怎么写的
16. 学习安全的路线,方法
17. 手撕:sql注入流程
面试官技术水平一流,我讲的所有项目他都能快速理完思路,然后深入拷打
二面(1h)
1. 自我介绍,觉得不够充分,又闲聊了一些内容
2. owasp Top10你觉得有哪些不足,辩证的讲一讲,说说缺点
3. sql注入30年前已经发现了,讲讲怎么挖到新的漏洞,了解国外的cyber sec怎么做的吗
4. 安全相关的网络协议有哪些
5. 正向代理和反向代理的区别,举例说明
6. http协议,请求体结构,方法有哪些?响应体结构,问了100,300俩个状态码
7. http协议的rfc编号 ps:这个真的邪门了
8. hvv细节
9. 浏览器的架构了解吗,哪个引擎负责dom树的解析
10. 讲讲数据库从sql语句执行和存储引擎的交互
11. nmap参数 一个syn半扫描和一个操作系统
12. 用什么大模型?能上谷歌吗?学校提供xxx?:当然不是
13. 手撕: 数组元素的全排列
开放性和底层的问题是真的不会,包括手撕也是磕磕绊绊,感谢二面面试官给我机会
三面(25min)
1. 自我介绍
2. 考研吗?为什么不考?
3. base地倾向哪
4. 给学校的经历打几分?为什么
5. 从安全的角度看待人工智能这些新技术
6. 为什么选择安全
7. 了解华为的企业文化吗
8. 职业规划
9. 反问
常规主管面,面试官夸我反问的问题很好,期待一个通过
全部评论
NetCloak 楼主
楼主 西北大学 安全工程师
牛客屏蔽script标签,把我后面写的全吞了...
testdemo001
门头沟学院 网络安全
佬 华为面试不问你简历吗,我看你这面试基本都是直接怼着问题问
牛客215253210号
中山大学 信息技术岗
手撕sql注入啊,那写的是什么内容
千峰白夜
桂林电子科技大学 安全工程师
佬太强了
还是想躺平的傻狍子
门头沟学院 C++
佬有收到offer吗
3lizabeth
蚌埠坦克学院 网络安全
牛了,佬太强了😰
春招赐我一个好offer吧
门头沟学院 网络安全
佬是什么部门呀
Rockers
蚌埠坦克学院 安全工程师
佬,反问啥好问题了呀?
超级虾孝子
杭州电子科技大学 网络安全
谢谢佬还挺细节的,就是这个二面是什么鬼问的
炫技吗
炫技吗相关推荐
点赞 评论 收藏
分享
点赞 评论 收藏
分享
HeaoDng:美团好像可以触发一面通
点赞 评论 收藏
分享
