滴滴技术面结束,分享波面经吧(Web安全)
和滴滴真的有种莫名的缘分。
因为导师和安全的部门BOSS很熟。于是我直接用了BOSS的工号内推了。然后就是和大家一起参加笔试,然后吐槽,2333。
安全岗位好像都是上周六通知面试的,那天手机信号不稳定所以没接到电话,工作人员就没给我发视频面试连接。后来大佬帮我问清了原因重新安排了面试。然后今天上午一面,下午二面。二面就是那位BOSS大佬!面完后还跟我聊了些未来安全发展和指点,受益匪浅。
。。。。。。。。。。。。。。接下来是面经。。。。。。。。。。。。。。。。。。
一面:
自我介绍,不多说了
问我怎么看待学校课程(可能因为我简历里写了成绩)
基础学科知识:排序算法(问了冒泡和快排)、网络模型、IP地址分类、TCP三次握手四次挥手、nat协议。
最搞笑的来了!
面试官问我这专业开了哪些课,我balabala说了一堆,里面提到了傅里叶变换。结果面试官说了句:我当年上学也差不多这些课,傅里叶变换我都忘干净了,你来给我说说傅里叶变换吧,看我能不能想起来。。。。。。这是什么操作?面试安全工程师问傅里叶变换?于是我只好从时域频域那谈了谈。。。最后面试官调侃了我一句口才不错,没考虑当老师么?我:。。。。。。
然后是安全方向的考题:
让我先谈我所理解的Web安全。
有SQL注入都能干哪些事,都怎么防御
XSS除了打cookie还有什么好利用方式
文件上传绕过的几种方式
服务器解析漏洞说几个
PHP的几个危险函数,说说各自功能,有几个相类似的(如system、exec)说说区别。
php.ini里的一些配置设置问题
DDoS有几种类型,都分别举例子说说
应该就问了这么多,都还比较基础,毕竟一面嘛。
二面:
一开摄像头我就傻眼了,面试官看起来像大佬,对方先自我介绍,一听果然就是那位BOSS。还以为BOSS是三面出现的,后来才知道安全的技术面就2面。
BOSS先问我实习时都做了什么项目,不同环境情况下编程的注意点。
又让我谈谈对渗透测试的理解
扫描器引擎如何开发
问我如何对企业的业务逻辑漏洞进行挖掘与防御,如果实现到扫描器实现自动化里如何开发?(这个我觉得值得我一生去思考)
如何看待甲方和乙方的安全思维方式(本来这个问题是我想最后请教他的。。。)
二面问题不多,主要是我在那balabala一直说,不敢停下来,就怕少提到一些关键环节让人家觉得我做安全不细心。
大佬人真的超级赞,最后花了很长时间给我谈滴滴的业务安全与甲方乙方的安全发展。
。。。。。。。。。。。。。。。。。面经结束。。。。。。。。。。。。。。。。。。。。
就这样我的技术面试结束。。。加了大佬的微信,然后等HR电话吧。
