安全实习

其实我来到这边已经实习6个月了，才想起来写面经。我投递的是漏洞挖掘岗位（移动端，主要以Android为主，ios也涉及）。长亭这边还是以web为主（长亭的web师傅、红队师傅打比赛超厉害！！）移动端的岗位特别少，基本都是萝卜岗。真正的wlb，不打卡，不加班，零食随便吃。早10晚6（上海是这样）。--------一面：简单介绍下自己。说一下https的四次握手？（就是问https加密流程）看你之前在网易实习过，介绍一下你做的工作看你对壳挺了解的，说一下加壳脱壳原理（1代、2代，3代）我们这边以漏洞挖掘为主，能说下常见的Android漏洞吗（基本就是四大组件，问的很细！）简历上写看过Android系统源码，说下Android系统启动流程？Activity和Service的生命周期？说一下so加载流程？如何对抗反调试？之前你在网易是做加固的，来长亭这边要转做漏洞挖掘，请问有没有兴趣？然后反问阶段总结：我简历上都是和逆向加固相关，一面的面试官主要做漏洞挖掘的，对注入啊脱壳啊vllom混淆啊问的不怎么细。so逆向、算法还原、aes、md5啥的源码也没问。但是四大组件的漏洞原理问的特别多。（入职之后也是一面的面试官带我，人超级Nice，真正的手把手教）--------二面：二面是负责人面的，主要还是业务为主，八股文不问。自我介绍一下自己前1轮面试体验如何？之前做过漏洞挖掘相关的工作吗？有没有打过CTF?对其他安全领域的了解吗？比如web？以后在安全方向有什么规划？总结：二面基本没有问什么技术问题，主要就是聊天，大多数在一轮技术面都问过了。面完不到一小时hr打电话来随便聊聊就发offer了。-------总结：能拿到长亭的offer我感觉纯粹运气占大部分，这边正好缺人，也可能有网易实习经历，当然自己实力也占一部分（笑）。如果有同学想走安全方向，其实不建议做移动端，市场很小，现在基本纯逆向的岗位已经不多见了（几乎没有，灰黑除外）。大多以漏洞挖掘、风控、爬虫为主。但是不管什么方向，基础都是相通的，不管做啥，试想如果你拿到一个app，你都不会脱壳，也不会抓取https报文，不会协议分析，不会hook，想在移动端安全方向混口饭吃，其实很难。所以掌握基础很重要。#安全实习##长亭科技#