首页 / 安全工程师
#

安全工程师

#
171366次浏览 1783人互动
此刻你想和大家分享什么
热门 最新
03-19 15:05
已编辑
门头沟学院 安全工程师
滴滴春招-软件安全-面经
有友友 oc 了嘛?-------------------------我的 tl 是3.3 投递3.17 一面二面3.18 三面目前面试考察中-------------------------一面(全程拉跨,没什么八股,没啥参考价值版)1. 讲述了实习期间渗透测试挖到漏洞的过程。2. 挖到的 cve 的过程。3. 实习期间干的活(写 lua 插件),问我有没有考虑高并发,我说没有考虑,插件上线前有没有测试,回答有进行灰度测试和 code review 。4. 手撕,最长括号,没撕出来,问需不需要提示,我说不用,最后提示了两次,也没写得出来,尴尬😅 。5. 机器学习,大模型安全的经历,了不了解大模型的幻觉问题,答不了解。6.  codeql,以及 codeql 进行污点跟踪时如果出现数据流中断怎么办。 总结:部门想找懂大模型,用大模型辅助做代码审计。-------------------------二面问了一些和一面类似的问题。其他:1. 实习期间取得的成果。实习期间中低危漏洞是用扫描器做的,那有参与扫描器的研发吗?(没有,但有参与优化,讲了讲)2. 扫描器如果扫出了大量漏洞,如何进行一个安全运营?3. 你觉得互联网大厂内网安全什么哪些问题比较突出?-> 针对这些问题如何去进行一个比较好的解决呢?4. 有没有去做过api接口的测试,api的未授权漏洞如何去做资产发现?5. 实习期间最大的收获是什么?6. 从企业src的视角,外网哪些漏洞比较多?7. 在乙方和在甲方做安全有什么区别? 8.越权漏洞如何去检测,你觉得越权漏洞为什么这么多呢?如何在白盒层面去发现越权漏洞? 9. 对于互联网公司来说,版本迭代快,业务量也很庞大,如何高效、快速地发现越权漏洞?10. 组件类漏洞,讲讲fastjson、log4j漏洞原理。11. 有用CodeQL做哪些漏洞发现和研究,CodeQL的原理,AST如何去实现污点分析?12. SRC的漏洞挖掘经历(失败),为什么没有取得很好的效果?13. 你觉得你技术上哪方面比较突出?(没有但硬吹)14. 你说你了解云安全,讲讲k8s有哪些安全问题针对k8s的安全问题,出一个解决方案。15. 讲讲容器逃逸。 16. 在互联网中,内网哪些问题最容易被忽略?17. 外网哪些部分最容易被突破?总结:问了挺多问题的,二面感觉更偏向对安全视野的考察。-------------------------三面1. 实习时做渗透测试,有没有思路呢?认为哪些地方是脆弱点?2. 看简历里写了红队,详细讲讲。3. 围绕实习期间的工作问,跟一二面问得差不多。4. 围绕简历上的项目问。总结:二十多分钟就结束了,也不知道面了个啥,面试官比较沉稳,通常是我回答完问题之后,他也没啥反应,也没有评价,只是沉默,于是我开始和他干瞪眼,最后我主动打破沉默,说我讲完了。三面体验不好,自己擅长的也没怎么讲出来,面试官问的问题也回答得不好,和面试官总体沟通不太流畅。凉透了😅#滴滴# #安全工程师# #春招#
点赞 评论 收藏
分享
03-19 17:24
已编辑
广东工业大学 安全工程师
点赞 评论 收藏
分享
03-11 13:28
广东工业大学 安全工程师
点赞 评论 收藏
分享
03-14 19:35
已编辑
广东工业大学 安全工程师
点赞 评论 收藏
分享
03-15 15:18
已编辑
门头沟学院 网络安全
点赞 评论 收藏
分享
2024-10-18 17:42
已编辑
蚌埠坦克学院 网络安全
社招 吉比特 厦门 信息安全工程师
安全真的太难了二面主管面1h 0.5h技术面➕0.5h职业面在攻防演习中负责什么部分打点是手工呢还是利用什么工具让你攻击我们公司,有什么思路一个登录口要怎么渗透xss除了窃取cookie还有什么打法文件上传遇到waf要怎么绕过shiro有没有了解过?shiro是怎么修复漏洞的?key应当怎么存储?存储在内存中有什么缺陷?内网横向移动有没有遇到过获得了明文密码去横向时无法登录的情况域控怎么打获得域管后要怎么扩大权限?域控怎么控制域内主机的?什么协议什么端口?当域内主机把这个端口封了,你有域管和哈希,有什么打的思路edr绕过有没有了解java了解吗?开发语言会哪些个人职业规划如何看待团队和平台日常的兴趣爱好个人有什么不足期望薪资期望地点如果在深圳的话期望薪资是多少家庭地址如何评估你所做的工作,希望领导以什么样的方式来评估你的kpi?如果在一次攻防中,做了很长时间却没有什么漏洞结果,如何评估你所做的工作成绩?领导可能会认为你只干了苦力活什么成果都没有,你应当怎么做?漏洞越挖越少,以漏洞结果来评估是不是不太合理?长期的苦力活或者是没有获得很好的成果也就没有了正反馈,对工作感到无味,应当怎么办 #社招# #面试# #网络安全# #信息安全# #渗透测试# #面试经验# #安全工程师#
点赞 评论 收藏
分享
2024-10-23 01:25
已编辑
蚌埠坦克学院 网络安全
虾皮ESP Web安全工程师
一面  难,被问的要红温了20min业务+30min工作经历业务1.同源策略。 如果有需求a.x.com要访问b.x.com的接口,不同源,要怎么办2.讲讲你在浏览器输入url地址到服务器返回给你在前端展示的过程?你输入了http协议,但是最终显示的是https,这个是怎么实现的?3.Go的代码审计?具体会哪些?现场审计 shell_exec("ping -c"),存在的问题?怎么绕过?过滤了这些字符怎么绕过,IFS也过滤了呢?4.OAuth的场景,商家注册账号,设置Oauth的callback地址,服务器上存储callback地址,当发起Oauth流程后,服务器将Oauth code发送到callback地址,这个场景会有什么问题? OAtueh劫持?劫持具体出现在那一步?怎么防护?SSRF漏洞?漏洞成因?怎么防护? 写个SDK,判断callback地址是否合法,返回bool,讲讲思路?如何判断url地址工作经历1. 讲讲目前的工作内容?IAST是什么?和我现在静态的扫描有什么区别?具体的部署有什么考虑?做的什么开发?什么语言的?2. 以前的护网主要是攻击队嘛?3. 换工作是怎么考虑的反问 #社招# #渗透测试# #安全工程师# #网络安全#
虾皮信息一面282人在聊
点赞 评论 收藏
分享
03-04 14:23
广东工业大学 安全工程师
点赞 评论 收藏
分享
03-20 10:39
门头沟学院 网络安全
点赞 评论 收藏
分享
03-12 14:50
已编辑
阿里巴巴_cro-安全部_安全工程师
pwner/漏洞大牛看过来,阿里控股集团安全部安全研究团队26届春招内推中
我们是阿里巴巴2026届春季校招现已开启!面向25年11月到26年10月的应届毕业生。工作地包括北京和杭州。我们是阿里巴巴控股集团的安全研究团队,研究内容涵盖漏洞挖掘、系统安全、移动安全、攻防对抗等多个方向,成果曾发表在CCS、Usenix、BlackHat、DEFCON等安全顶会,受到包括苹果、华为等国内外知名厂商的多次致谢。如果你想跟我们一样做出耀眼的创新成果,欢迎加入我们!可用下面的内推码投递简历:https://talent-holding.alibaba.com/campus/qrcode/home?code=qCvKgJrEUgRm6wWq0KgoHC3sUJ9k7bSXKcjRCrFfYRKh6S2bOhigZCSJUPG7FaAB!!!!职位要求:1. 熟悉C/C++/Objective-C/Swift并至少精通其中一种语言;2. 有程序逆向经验,对常见的静态分析与动态分析技术手段有所了解,有自动化程序分析经验者优先;3. 熟悉常见的二进制漏洞(逻辑类或内存破坏类)产生原理;4. 本科以上学历,具备扎实的计算机学科知识基础,包括但不限于计算机体系结构、操作系统原理、常见网络协议、加密算法等;5. 有较强的学习能力、沟通能力,以及文字和语言表达能力,有良好的上进心、责任心与团队协作能力。#阿里##安全工程师#
投递阿里巴巴集团等公司10个岗位
点赞 评论 收藏
分享
2022-10-23 23:36
东莞理工学院城市学院 安全工程师
安恒安全岗实习一面 03.11
#实习面经##安全工程师#1.自我介绍2.面试官看我简历上写的都是 Web渗透这块的,问会测APP小程序吗?  3.SQL注入是怎么形成的?4.SQL注入有哪几种类型?5.一般怎么判断这个点是否存在注入?6.例如一个搜索框有可能存在SQL注入吗?例如像一个OA系统,有一个查询的功能,比如输入一个王,会有王**、王*.......,问这个地方是否会存在SQL注入?7.SQL注入一般能getshell吗?要怎么弄?用sqlmap的话需要什么条件?比如数据库是MySQL,获得shell需要什么条件?如果有写的权限、知道网站的绝对路径,除了sqlmap还有其它能获得shell的方法吗?8.在进行SQL注入过程中,如果有WAF的话你会怎么办,不一定是***,例如各种过滤规则,输入敏感字符就不正常显示了,返回404之类的,这种情况应该怎么办?9.XSS有哪几种类型?10.XSS有什么危害?11.如果网站设置了httponly,还能获取cookie吗?如果设置了httponly,有了解过绕过方式吗?12.XXE漏洞有了解过吗?有什么危害?13.有挖过SRC吗?14.CTF有打过吗?15.编程语言这块都了解过哪些?16.了解过反序列化漏洞吗?像Java反序列化一些组件漏洞有了解过吗?17.通用的CMS漏洞有了解过吗?例如什么蓝凌OA、致远OA有听说过吗?18.扫描器这块AWVS有用过吗?19.最后反问
点赞 评论 收藏
分享
2024-09-11 20:25
已编辑
电子科技大学 安全工程师
点赞 评论 收藏
分享
2024-04-12 18:45
58集团_信息安全部_安全工程师
58安全招人啦
💼 公司岗位招安全工程师和实习生工作职责在这里,你可以负责公司产品的安全测试和安全评估,研发公司的安全产品,成为58安全小卫士; 在这里,你可以参与制定、推广安全规范和流程,负责安全管理体系的建设和优化; 在这里,你可以跟踪安全社区动态,研究安全攻防技术,对安全事件进行应急响应。任职资格只要你,熟悉常见的应用程序漏洞、操作系统等漏洞,了解web漏洞挖掘方法; 只要你,熟悉Linux的系统管理、安全管理,相关服务和应用的配置管理、安全加固,熟悉shell编程; 只要你,熟悉网络基本原理,熟悉网络安全知识,了解防火墙原理,NAT、访问控制,VPN,IDS等; 只要你,熟悉常见安全攻防技术,精通渗透测试,熟悉各种渗透测试工具; 只要你,熟练掌握/php/java/python/shell等1至2种语言; 只要你,熟悉ISO27000、CC、等级保护等安全标准,了解安全审计相关知识; 只要你,有良好的团队协作精神,对工作充满热情,富有责任心,能承受一定强度的工作压力。 Come On,下一个“安全专家”就是你!投递方式https://campus.58.com/campus/detail?jobAdId=4314258c-b11b-4fbd-ac26-5b47b10047c4https://campus.58.com/campus/detail?jobAdId=fa20ef8c-,-4ee2-9ae2-b24b861da229 #安全# #安全实习# #安全工程师# #春招# #招聘#
点赞 评论 收藏
分享
2024-04-02 15:03
重庆大学 Java
点赞 评论 收藏
分享
2024-10-04 21:14
已编辑
门头沟学院 安全工程师
京东安全开发-实习岗面经
uu 们去实习要慎重,跟 hr 确认过,今年转正确实卡 92-----------------------------------------------------------面经(但感觉没有啥参考价值,主要是根据项目经历问的)下面是一些除开项目之外的八股:- fastjson反序列化原理(问得比较深入,建议大家挑一个常用的Java第三方组件的漏洞原理,深入看看)- 如何通过任意文件读取拿shell- hvv中用到的提供安全能力的设备- 如何判断一个告警是否是误报,如果告警是无回显怎么判断- 遇到困难时如何解决问题,思路是什么总结:会考察知识的广度和深度,需要有多方面的安全经验,还看重解决的问题的能力。
点赞 评论 收藏
分享
玩命加载中
牛客网
牛客企业服务