信息安全工程师面经-- 腾讯阿里网易美团360京东华为

首先吐槽一下,信息安全完全是IT圈的最奇葩分支没有之一。原因有三:
1.  你在本科学习的信息安全知识与公司面试所需要你会的知识基本没有任何联系,自然也不会像研发面试一样可以撸算法啥的,一切都得靠自学,所以无论你是计算机还是非计算机,进入安全圈不挂掉几个必修课都对不起这个行业。更重要的是,信息安全分类复杂,web渗透和逆向工程和网络安全基本就是毫不相关的几个方向,But,面试的可不管你是哪个方向的。运气好,碰到面试官或者企业正好需要这个方向的你还能聊一聊,不然虽然面的都是信息安全,也只能是全程尬聊的节奏。

2.  相比起研发更加激烈的竞争环境可以让你都想转投研发岗位了。就以今年秋招为例,咱们粗略统计下招信息安全的大公司有哪些  。BAT中,B明确指出北京10人,上海5人=15HC,A厂春招实习貌似去了20个左右,姑且就算20HC,T厂考虑到IEG的反外挂,人数应该在20HC左右(实验室基本不校招)所以BAT总共人数应该是少于60人.  然后京东美团滴滴小米携程网易这7家公开校招过安全工程师,由于我知道美团校招HC低于5,且基本没见过安全岗位的offer,所以这7家加在一起HC应该小于50。 华为,目测能有个50?猜的。 然后就是玄学选人的360安全星计划,笔试第一被刷,这家HC应该有个100-200左右。其他厂,如新浪搜狐等没有安全岗位招聘,不做统计。 好了,我们统计一下,大厂(你听过名字且你爹妈也能听过名字的厂)安全工程师HC之和小于300. 这是什么概念? 以百度公布的HC为例,java研发210北京+60上海 = 270.

3.  如果你是大神,进入以上公司,你会发现,这个圈子最牛的人绝对不是科班出身的(培训班技术可能秒杀信安科班)。修0day将变成你的日常。这算不算业绩呢?看老板心情。如果不幸被某hacker搞了怎么办? 呵呵,要你有何用。

--------------------------以上是本次秋招血泪史  以前还对信息安全抱有希望  现在应该认清现实 :自己也渣,HC也确实少的可怜---------------------------

1.  网易: 第一家面的公司,信息安全工程师 (android安全)  offered
一面 : x86汇编语言,几个跳转指令,堆和栈的区别,函数调用过程
硬件断点和软件断点
webview组件远程代码执行漏洞原理
root判断
手写代码-> 写的啥忘了,貌似不难

二面: dex文件结构
dex保护的方式,答了个混淆,答了个抽取指令加密
elf壳: 说了一下手脱360和爱加密经历
so加密方法: 说了一下section加密和函数加密
资源加密方法: 不会
apktool源码看过吗?讲讲
cocos2d-x 游戏开发项目
hr面: 我是梦幻西游骨灰玩家,而且这个hr估计也是,全程梦幻西游(山东2区-水泊梁山有没有玩的)
然后就是大家都懂的一些问题

2. 阿里  安全工程师 - 方向未知 -- 一面挂
一面:
windows 脱壳技巧
x86汇编问了几个指令对标志寄存器的影响
堆溢出与栈溢出shellcode怎么写
SQL用过吗,group by 啥的 反正感觉挺简单的,也都答上了,不知道咋挂的

3. 腾讯  安全工程师 -  windows安全 -  二面挂
一面:
windows下的hook方式有什么,记得重点讲了一下inline hook怎么操作的
dep保护原理
知不知道alsr ,alsr怎么破
虚表,虚表指针,及如何hook虚函数
问了一下CTF方向,成绩
对称加密  AES  DES
非对称加密 RSA 详细描述秘钥生成过程

二面:
全程问项目及实习经历,感觉面了个假腾讯
然后上牛客一看,卧槽原来大家都一样,是不想招人了吗
然后开开心心面完,开开心心被挂

美团  安全工程师  offered
一面 :
SQL注入方法
XSS原理及三种XSS介绍
看你简历是个搞android逆向的? 那你一面过了,等二面。。。。what?

二面:
URL保护反扒的方法是什么,讲到了一个URL验签保护,貌似面试官很有兴趣
栈溢出原理是什么,怎么构造shellcode
堆喷的各种奇淫技巧
挖过0day没,讲一下挖到的缓冲区溢出漏洞
为什么不用fuzz挖。。。额

三面:
android反调试技巧有什么,讲到ptrace
ptrace工作原理,ptrace注入
android下的inline hook 及 got表hook
android下dalvik虚拟机和art虚拟机区别,讲到了oat,追问oat结构
开放问题:怎么搞不考虑技术才能更加安全,回答了一个直接重写libart / libdvm

hr:
通知面试过了,问什么时候毕业,有没有别的offer

百度、360
没给面试---百度估计不要搞逆向的
360安全星计划--- 专业笔试排前三,然后挂了。同组一个排15的过了。。。excuse me?

总结秋招: 楼主秋招投的公司就这么10个不到,不是因为拽不想投,而是因为。。。。MD 人家不要搞信息安全的啊。投研发? 码不过整体刷牛客的大佬。投测试。。不会。还能投啥? 产品? 在此多谢给了我offer的公司。
在此也给19届及以后的同学提个醒,别搞信息安全,赶紧转方向。不然你会遇到的就是: 笔试考你web,面试问你二进制,你还得会密码学,还得写代码,还得懂TCP/IP。 等你这些都学了个大概,ok,人家只要这么点人。然后反过来问你,我们找渗透的,你搞的是密码学,岗位不匹配。我们招android逆向的,你搞的是windows,岗位不匹配。等你好不容易杀到HR面了,你周围的转研发的同学已经高高兴兴准备毕业论文了。


----------------------------------------------------2018年了,马上准备入职华为。  最终还是败给了"面向工资编程"。-----------------------------------------------------------------

补充两家后来拿到offer的公司的面筋给未来从事安全行业的同学们参考一下。 面试日期都是2017年12月

京东安全工程师 (offered) ----- 移动安全方向
一面:
1. 描述一下android app从启动到运行总共经历过哪些步骤
2. 描述一下android activity管理和service管理
3. DexLoader 描述一下,问了一下热加载所产生的安全问题有什么
4. Janux漏洞有了解吗?还好面试头天晚上看了一下这个CVE 正好被问到
5. LLVM混淆 用过没。

二面:
1、 问了一下实习经历。 实习搞的URL签名及SO加固被重点照顾了。
2.、https协议的几个步骤,问了RSA服务器端的私钥怎么产生的 (不会)
3、 tcp4次挥手
4、 。。。。时间久远记不住了 ,去之前逆向过京东的APP,签名还是常规的在SO生成后反射到Java层,很容易被hook掉
感觉京东的移动安全应该是android软件研发下面的,(offer定岗也是软件研发并非安全工程师)

HR:
常规问题,谈了一下薪资。 我说这还有的谈吗? 牛客不就是17 20 22.  HR小姐姐说: 这不存在的。
然而: 事实证明, 牛客网的大佬们比京东HR小姐姐更清楚京东的校招薪资。

华为(offered) ------- 网络安全工程师
华为的面试大家都懂的。无非就是随便聊聊然后看看学校背景实习背景定级定薪资。
在这里给想去华为的同学说一下,华为真的说可以谈薪资的。如果你有1线互联网公司的offer还是可以谈一下。
也给华为正面宣传一下,华为在岗位随机这个事情上确实不人性,其内部员工也表示无语。BUT, 这个也是可以谈的,比如你原来搞java的被分到消费者BG搞底层framework,
可以直接和你主管协商看能不能调整去搞java,这种时候一般来讲你态度强硬一点(不给调就拒了), 一般还是会给调的。但是如果你在无线而想去消费者BG,那这就是不可能的。
总结就是,部门内存在调整余地,跨部门不可能。

最终决定堵一把,拒掉了手上所有互联网的offer去华为某安全实验室。
为什么说赌。。 因为从百度google出的信息来看这实验室漏洞挖掘渗透测试网络啥的都干,产品是企业级DDOS防御方案和APT防御方案,2年时间1000+项专利(感觉比较***啊)
freebuf上文章质量也比较高,感觉进去并不会出现以后被栓死在华为无法跳槽的尴尬。而且听主管说,工作类似于红军,那应该是专业挖洞渗透的。
等5月正式入职了再来发一个贴给想去华为搞安全的同学们说明情况。 毕竟华为水很深,签约需谨慎。

#阿里巴巴##腾讯##百度##网易##360公司##美团#
全部评论
楼主我也是安卓逆向方向的~~想问下楼主最后决定去哪没
1 回复 分享
发布于 2017-10-17 19:11
不能更同意了!
1 回复 分享
发布于 2017-10-17 19:23
安全不应该去启明星辰什么的吗,去at干嘛
1 回复 分享
发布于 2018-09-14 01:08
整天吹嘘安全前景,结果应届生完全不给坑。心疼自己
5 回复 分享
发布于 2017-10-17 20:23
牛客上完全找不到面经,CTF被人吊打,学校里几乎没有学安全的同伴,不知道学习的方向,懵懵懂懂到了出去实习的年级,到某乙方实习,以为终于离梦想更进一步,没想到是产品方向的需要攻防类型的,可是心里,还是时常想起,当初想要做一个世界级黑客的想法。
3 回复 分享
发布于 2017-10-18 00:25
2021年春招感受,我十分后悔秋招的时候没看大佬这篇帖子。现实太残酷了,想进甲方难如登天,进乙方,坑位远比报名人数少得多。一起学安全的同学,之后他都没怎么看过安全,学了3个月java就进了奇安信,我一直坚持学安全的,至今没有offer。血泪史。。只有一个忠告,千万不要把安全当成主业,不是真的顶尖大佬,基本都是白给。。。
3 回复 分享
发布于 2021-03-07 11:19
简直不能更同意。。。没有哪个对技术火热的心,转了转了
2 回复 分享
发布于 2017-10-17 16:43
我也参加过几次ctf拿过奖。信息安全要当成爱好来搞,最好不要当成职业。在公司没事干容易被怼,出事更被怼。自己闲空搞搞黑产什么的都是好的
2 回复 分享
发布于 2017-10-17 20:00
感同身受。。。我是搞嵌入式固件漏洞挖掘的,方向比楼主更窄。可投的公司也就那几家,目前mt、hw在等消息,就网易杭研和360给了offer。
2 回复 分享
发布于 2017-10-18 18:53
去年的帖子,今年投了华为的安全……好像还行?不过不是实验室是新部门了。估计也是安全开发类型的。
2 回复 分享
发布于 2018-09-17 16:47
安全方向的面经太少了,dd
2 回复 分享
发布于 2018-09-18 22:16
同是信安,但我是搞加密的,比楼主还偏… 一早就转了研发 看来是正确的
2 回复 分享
发布于 2018-09-23 09:29
同感,实习面安全全跪了,校招转的开发。信安是小众行业
1 回复 分享
发布于 2017-10-17 16:24
哈哈,大佬说出了我们的心声,没有ctf经历不是特别热爱安全就不要投安全岗了
1 回复 分享
发布于 2017-10-17 19:30
安全专业,实习开发,校招开发。还真不是我想开发,是我发现真是自己能力达不到校招要求,岗位又少。看到楼主这面试被问的问题,服气。恭喜楼主拿到offer,真是由衷敬佩。
1 回复 分享
发布于 2017-10-17 19:56
最牛的hacker都不是科班出身的。其实我觉得信安挺重要的,你们小团队管着整个公司,我有朋友专搞漏洞那个秒杀刷单的,淘宝京东被他刷爆了。
1 回复 分享
发布于 2017-12-17 00:59
渣211大三上信安,我说说我的经历.和信安两字相关的只有计算机基础四门课,C语言和java皮毛,还有一些文科信安课.教了路由器交换机的配置,还有诸如网络攻击防护,网络协议分析的百度自学课,老师布置题目,什么u盘密码锁,死亡之ping,制小病毒,文件恢复,用yersinia等等乱七八糟的,不教任何东西,不给方法,有问题老师也不回答,叫自己查.一星期后让学生上来讲,只验收,验收完了也不讲清除怎么做,然后写报告.完全是趣味课,百度得到就是你的,百度不到就不是你的.现代密码学讲个大概,知道有什么加密算法,考试的时候看看你是不是混淆概念,加密多少位,简单的代换密码等,小学生都会做.逆向之类的大三下学,不懂如何.现在无技傍身,老师形同虚设,唯有互联网自学企业要求的东西.
1 回复 分享
发布于 2018-02-06 22:08
学长....这篇对我这个信安的娃来说真是感同身受了。。。
1 回复 分享
发布于 2018-09-14 01:02
很强,逆向的比web安全的还是有优势的,恭喜恭喜
1 回复 分享
发布于 2018-09-23 08:48
同感,安全岗太难找了。。。
1 回复 分享
发布于 2018-09-23 09:47

相关推荐

点赞 评论 收藏
分享
头像
11-07 01:12
重庆大学 Java
精致的小松鼠人狠话不多:签哪了哥
点赞 评论 收藏
分享
58 262 评论
分享
牛客网
牛客企业服务