字节网络安全研发面经
给拿offer攒攒人品,再发一篇最近的面经。我的亚麻面经请见:https://www.nowcoder.com/discuss/860722?source_id=profile_create_nctrack&channel=-1
春招网络安全后端研发,问的知识相对偏安全一些,背景类似的同学可以参考。其实相比于背八股,我还是喜欢这个模式多点。之前在这个组有段实习,所以算是回流吧。
一面:
1. 对逆向有了解吗?(做的不多)。说说PE文件结构?说说反调试的几种方法?说说怎么判断是动态链接库还是可执行文件? 问的比较浅,我知道的也不多...学过的逆向都忘了。面试官说没事,随便问问。
2. 说说SQL注入的原理?有哪些分类?
3. 说说应对SQL注入的方法(个人感觉说的比较全,从业务端到WAF的基本流程都说清楚了。个人感觉亮点是还说了DLP,从防泄漏的方面谈尽可能削弱SQL注入的成果,面试官比较满意)
4. TLS有了解吗?说说握手流程?TLS的版本更新有了解吗?(答的主要是安全性方面的更新,还说了一下Heartbleed,不过这个是openssl而不是tls方面的,有点偏题)最新的TLS1.3有什么变动?为什么?(这个平时多注意积累,做网络安全的知道这个还是很重要的,感觉主要要问的点是密钥协商的变化,导出前向安全性的概念)
5. MTU和TCP MSS的区别?说说拥塞控制?
算法:
反序列化一个二叉树,再后根遍历。比较常规了。
二面,应该是业务虚线leader
1. 实习期间做了什么
2. 简历上写了实现基于Netfilter的***,讲讲怎么做的?(讲了大概实现的功能和实现思路)怎么评价Netfilter?(基于内核协议栈,功能强大,但是性能受限于协议栈,不如DPDK那些,然后扯了DPDK的一些皮毛,我会的也不多,赶紧打住了)
3. 谈谈XSS的分类和预防
4. CSRF是什么?怎么预防?
5. SSRF是什么?怎么预防?
6. 实习期间接触过哪些框架和开源组件?(答的libinjection)。然后开问libinjection细节。实习的时候我就负责这个模块,完整读过源码,写过源码阅读文档,所以他怎么问都没破我防,hahaha
7. 线上漏报、误报的处理流程。
算法:
最长无重复字符连续串,常规题。感觉相比一面扣基础一些,二面更看项目和实际运用能力。我觉得我就是那种基础不牢但是干活还行的人,所以二面比较轻松。
三面:
三面没啥特别的,leader谈心多一些。不过我情况比较特殊,正常的三面,leader应该会让完整讲一个项目,谈技术取舍什么的。
综上,感觉安全方向研发更重安全一些,有不太愿意背八股,但是安全基础知识比较强的同学可以去看看。不过我HR面完就泡池子了,应该是备胎了,感觉自己一面答得不算特别好。
面经发出来,还是给亚麻&字节Offer求求人品,求求好运!也希望大家能收获心仪的Offer!
三面
#面经##字节跳动##网络安全#