06-10 11:20 测试其它 发布于浙江
关注
27届学院本网络安全实习面经
第一个面试官
- 那我们就开始吧好吧?那首先同学麻烦你先做个自我介绍。
- 好的,我这边有几个问题想想跟你提问,首先的话我看到你简历上面写的毕业时间是2027年的7月1号,你现在是大几
- 也就是说你要再过两年才能毕业对吧?
- 然后的话我现在看到,因为你现在毕业学院的话是在XX学院,对,那就是说上学都是在XX这边的对吧?
- 然后我们现在公司的话现在是在上海这一块,你这个是怎么平衡的?
- 租房这个没问题,就是我的意思是你现在不是还没有毕业大二嘛,那你现在的话下学期大三大四,你多多少少还有一些课的,那这个怎么办?
- 好的呀。另外的话你上海这边有朋友会有亲戚在吗?
- 因为为什么我问这个呢?因为你现在是大二,你入职如果说你入职的话,你在这边的薪资可能会有点入不敷出。
----
第二个面试官
- 好的,那我们这些基本问题解决了,那我这边问几个这个跟技术有关的问题,那个之前我看到你这边打的是CTf,这个是什么时候的事情?
- 那能大致跟我们讲一下你这个CTf的整个一个攻防的一个过程,大概里面有些哪些内容?
- 然后你现在学的专业里面,你觉得哪一门科目你学的比较好一点?
- 好的,那除了就是我们刚刚讲的这些以外,你现在就是你考过有没有考过一些证书之类的证书比如说csp nsp。思科的、华为的或者说虹猫
- 没关系的,因为我看你这个这些比赛都参加过,都还没那我再简单问一下那个我举个例子,举个帮我们简单讲一下SQL注入是一个什么原理好吗?
- 好的,那你现在给我三种能够解决这个问题的办法
- 好的,之前你在参加这种攻防比赛,还有这个服务器搭建的过程当中,有接触过国产的一些设备吗?
------
第三个面试官
- 你好,我这边看到你参加了比赛,那你能讲一下你比赛中印象最深刻的一道题是什么样的
- 可以,我看你简历上还写了,说你做过那种红队,那你在红队里面是做一个什么职责呢?都做了哪些工作?
- 看你这边做过那个开发的一些项目,使用了那个jwt做鉴权,对。请你讲一下那个JWT的攻击思路
- 那你在那个开发里面做了那个XSS的那个防护,你可以讲一下你的防护的思路
- 除了过滤,还有没有什么办法可以做那个XSS的防护?
- 关于SQL注入,你有听说过那个预编译的那个修复方式
- 有一些地方预编译会失效,你有了解过吗?
----
第四个面试官
- 同学你好,我想问两个问题比较简单,第一个就是我想了解一下就是你到我们公司来做实习的话,大概是有一个什么目标?
- 好的,然后第二个问题的话就是说因为其实现在才大二嘛,然后我是想知道一下就是大二就出来的一个实习的一个驱动力是什么?
-----
反问
- Q: 我想问的是你们觉得新人第一个月最重要目标是什么?
- A: 我觉得首先你如果说入职以后第一个月的话,首先先是了解公司的一些基本的一些要求,公司的一些运行的原理,另外就是说会需要明确一下自己的一个岗位和自己的一个工作目标,因为我们这边的客户用户都是比较重要,而且都是因为我们公司是国企面对的都是一些政府企业和一些国企,国企,所以这一块的话一个是工作的除除了技术以外,一些基本的礼仪还有一些因为我们这边是做网络安全的很大一块的话,其实是有一些保密的原则,保密的协议,还有一些就是说我们要获得用户的一些授权才能去往下做一些安全的事情,那这一块肯定是区别于我们的靶场和我们 CTf一些实战的这些是有这些区别在里面,就是说工作这一块的话,流程授权这一块的,可能要第一个月可能先要了解一下,因为技术这一块的话慢慢提升这个都没有问题就是说在公司的一些要求和一些我们做安全领域上面的一些操守或者说时间流程,这些我觉得是先要了解和注意的。
- Q: 还有个问题就是我们这这个安全团队平时怎么协作?就是如果发生安全事故,如果发生安全事事件,那么响应流程应该是这样,我应该参加哪些环节?
- A: 是这样子,因为我们公司这一块的话是分三线团队的,就是一线的话,我们是在用户现场负责项目现场用户的一些日常的报修,或者一些简单的事件,然后二线和三线呢一般是由我们公司或者说你入职以后,你的这个岗位可能更加偏向于二三线的这个安全问题的解决那这一块我们是根据事件它是有一个分类分级的,去进行一个处置,比如说我前面讲了客户现场一些日常性的问题由我们一线团队去解决,比如说发生了一些重大的安全问题,比如说我们的网站的网页被篡改,或者说我们发生了一些进行一个启动进行一个问题的遏制,恢复溯源到最后的一个恢复,会有这么一个流程在里面。然后你入局以后,这个严重程度已经到了一个我们安全的一个相对严重的一个程度时候,你要协助就是到现场或者说远程协助现场的一线团队的工程师完成这个问题的阻断,首先是完成阻断,然后是保存我们的这个问题的服务器,然后最后是完成这个恢复,协助现场发现问题解决问题。还有很多细节的,包括流程,包括的一些输入输出,还有很多已经简单的就就是这么
- Q: 那最后一个问题就是团队里最高那种高表现者,他们他们是怎么样完成工作的,就能举个例子吗?
- A: 我们安全研究院主要是做那个渗透安全研究这一块的,一般来说的话就是我们会有一个内部会有一个排名,就是你平时渗透就是大家都是有空就是一起做的,然后就是挖的漏洞会有一个评级,会有高位中位低位,那么就是在在渗透的时候一般就是会比较厉害的那些,就是会挖一些很多高危什么的这些,就是大家漏洞都是看得到的,都可以互相学习,然后会有一个排名,然后就是可以还有就是安全研究这一块的话,就是大家基本上就是安全研究文章的输出嘛,就是可能会大家就是题题目是不限的就是只要你有那个安全研究的成果就可以写出来那个文章,然后这个也是有一个排名,
- 那我们就开始吧好吧?那首先同学麻烦你先做个自我介绍。
- 好的,我这边有几个问题想想跟你提问,首先的话我看到你简历上面写的毕业时间是2027年的7月1号,你现在是大几
- 也就是说你要再过两年才能毕业对吧?
- 然后的话我现在看到,因为你现在毕业学院的话是在XX学院,对,那就是说上学都是在XX这边的对吧?
- 然后我们现在公司的话现在是在上海这一块,你这个是怎么平衡的?
- 租房这个没问题,就是我的意思是你现在不是还没有毕业大二嘛,那你现在的话下学期大三大四,你多多少少还有一些课的,那这个怎么办?
- 好的呀。另外的话你上海这边有朋友会有亲戚在吗?
- 因为为什么我问这个呢?因为你现在是大二,你入职如果说你入职的话,你在这边的薪资可能会有点入不敷出。
----
第二个面试官
- 好的,那我们这些基本问题解决了,那我这边问几个这个跟技术有关的问题,那个之前我看到你这边打的是CTf,这个是什么时候的事情?
- 那能大致跟我们讲一下你这个CTf的整个一个攻防的一个过程,大概里面有些哪些内容?
- 然后你现在学的专业里面,你觉得哪一门科目你学的比较好一点?
- 好的,那除了就是我们刚刚讲的这些以外,你现在就是你考过有没有考过一些证书之类的证书比如说csp nsp。思科的、华为的或者说虹猫
- 没关系的,因为我看你这个这些比赛都参加过,都还没那我再简单问一下那个我举个例子,举个帮我们简单讲一下SQL注入是一个什么原理好吗?
- 好的,那你现在给我三种能够解决这个问题的办法
- 好的,之前你在参加这种攻防比赛,还有这个服务器搭建的过程当中,有接触过国产的一些设备吗?
------
第三个面试官
- 你好,我这边看到你参加了比赛,那你能讲一下你比赛中印象最深刻的一道题是什么样的
- 可以,我看你简历上还写了,说你做过那种红队,那你在红队里面是做一个什么职责呢?都做了哪些工作?
- 看你这边做过那个开发的一些项目,使用了那个jwt做鉴权,对。请你讲一下那个JWT的攻击思路
- 那你在那个开发里面做了那个XSS的那个防护,你可以讲一下你的防护的思路
- 除了过滤,还有没有什么办法可以做那个XSS的防护?
- 关于SQL注入,你有听说过那个预编译的那个修复方式
- 有一些地方预编译会失效,你有了解过吗?
----
第四个面试官
- 同学你好,我想问两个问题比较简单,第一个就是我想了解一下就是你到我们公司来做实习的话,大概是有一个什么目标?
- 好的,然后第二个问题的话就是说因为其实现在才大二嘛,然后我是想知道一下就是大二就出来的一个实习的一个驱动力是什么?
-----
反问
- Q: 我想问的是你们觉得新人第一个月最重要目标是什么?
- A: 我觉得首先你如果说入职以后第一个月的话,首先先是了解公司的一些基本的一些要求,公司的一些运行的原理,另外就是说会需要明确一下自己的一个岗位和自己的一个工作目标,因为我们这边的客户用户都是比较重要,而且都是因为我们公司是国企面对的都是一些政府企业和一些国企,国企,所以这一块的话一个是工作的除除了技术以外,一些基本的礼仪还有一些因为我们这边是做网络安全的很大一块的话,其实是有一些保密的原则,保密的协议,还有一些就是说我们要获得用户的一些授权才能去往下做一些安全的事情,那这一块肯定是区别于我们的靶场和我们 CTf一些实战的这些是有这些区别在里面,就是说工作这一块的话,流程授权这一块的,可能要第一个月可能先要了解一下,因为技术这一块的话慢慢提升这个都没有问题就是说在公司的一些要求和一些我们做安全领域上面的一些操守或者说时间流程,这些我觉得是先要了解和注意的。
- Q: 还有个问题就是我们这这个安全团队平时怎么协作?就是如果发生安全事故,如果发生安全事事件,那么响应流程应该是这样,我应该参加哪些环节?
- A: 是这样子,因为我们公司这一块的话是分三线团队的,就是一线的话,我们是在用户现场负责项目现场用户的一些日常的报修,或者一些简单的事件,然后二线和三线呢一般是由我们公司或者说你入职以后,你的这个岗位可能更加偏向于二三线的这个安全问题的解决那这一块我们是根据事件它是有一个分类分级的,去进行一个处置,比如说我前面讲了客户现场一些日常性的问题由我们一线团队去解决,比如说发生了一些重大的安全问题,比如说我们的网站的网页被篡改,或者说我们发生了一些进行一个启动进行一个问题的遏制,恢复溯源到最后的一个恢复,会有这么一个流程在里面。然后你入局以后,这个严重程度已经到了一个我们安全的一个相对严重的一个程度时候,你要协助就是到现场或者说远程协助现场的一线团队的工程师完成这个问题的阻断,首先是完成阻断,然后是保存我们的这个问题的服务器,然后最后是完成这个恢复,协助现场发现问题解决问题。还有很多细节的,包括流程,包括的一些输入输出,还有很多已经简单的就就是这么
- Q: 那最后一个问题就是团队里最高那种高表现者,他们他们是怎么样完成工作的,就能举个例子吗?
- A: 我们安全研究院主要是做那个渗透安全研究这一块的,一般来说的话就是我们会有一个内部会有一个排名,就是你平时渗透就是大家都是有空就是一起做的,然后就是挖的漏洞会有一个评级,会有高位中位低位,那么就是在在渗透的时候一般就是会比较厉害的那些,就是会挖一些很多高危什么的这些,就是大家漏洞都是看得到的,都可以互相学习,然后会有一个排名,然后就是可以还有就是安全研究这一块的话,就是大家基本上就是安全研究文章的输出嘛,就是可能会大家就是题题目是不限的就是只要你有那个安全研究的成果就可以写出来那个文章,然后这个也是有一个排名,
全部评论
爱吃鱼的祖国花朵allin春招 楼主
楼主 测试其它
后续是面试挂了
牛客972244986号
湘潭大学 产品经理
问毕业时间
相关推荐
点赞 评论 收藏
分享
08-09 20:52
门头沟学院 测试工程师 点赞 评论 收藏
分享
百度一面850人在聊 点赞 评论 收藏
分享