2023届秋招 华为 网络安全工程师 面经

本人基本情况：

中流985网络安全本科生，大一、大二都没有接触过渗透。大三暑假找了个实习，做渗透测试，应付校招。

笔试：

笔试可以选两个方向，web渗透或二进制。

web渗透的都是选择题，有代码审计、web漏洞、渗透工具等内容，60分可通过。

一面：时长1h

（面试官应该也是做web渗透的，问的比较详细）

自我介绍。

聊一下渗透测试的项目经历。问的很细，具体实现的细节都会问到。

burpsuite怎么爆破密码？

log4j了解吗？

sqlmap原理，看过源码吗？

内网：

怎么横向移动？

怎么搭建隧道？

windows哈希怎么抓？

为什么可以进行哈希传递？

关于NTLM协议的问题？

会什么编程语言？

聊我做的shellcode加载器的免杀实现（项目提到）？

共享屏幕，在VS中写项目的关键代码。

反问：工作内容。

二面：时长40min

（面试官不是做web渗透的，问的比较简单）

自我介绍。

问我自我介绍中的培训的经历，实习的经历。

渗透项目的细节。

怎么防护文件上传？

懂逆向吗？

同源策略？

共享屏幕写同源的站和不同源的站？

同源策略用来防护什么漏洞？

CSRF还能用什么来防护？

token字段怎么防护的？

反问：团队规模

主管面：时长30min

（压力面，问了密码学相关的东西）

自我介绍

前两面答得不好的地方？

做什么方向的？

为什么做这个方向？

你们网安专业和计算机专业的区别？

公私钥是什么？

公私钥的原理是什么？

什么是哈希函数？

哈希函数和公钥加密的共同点？

让你设计一个哈希函数？

你的哈希函数可以解密出来吗？

会的编程语言？

程序设计实现 “24点” 游戏？

意向工作地点？家在哪？

平常学习之余的爱好？ 读书

最近读的印象深刻的书？ 书中印象深刻的情节？ 给你什么启发？

最后入池。状态码已变，接到过保温电话。

要12月了，等不了了，签了乙方网安公司。