阿里云安全面经,已收到意向书(回馈牛客)
牛客的安全面经太少了,不过也看了很多类似的,有所收获,回馈一下牛客(本人用leetcode刷题较多,第一次发帖,有不当之处,请见谅!)
个人情况:本科双非,考研上了北邮,目前研二。先找了某安全公司的日常实习(线下一下午,一面、二面、leader面、HR面,过了就去了),3月16日申请了阿里云安全开发暑期实习,4月14日收到意向书。
简历重点:WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营(所在小组获得第一)。
字节跳动训练营是给了网站,挖漏洞,搭建WAF防护该网站,搭建WAF管理平台。
实验室漏洞挖掘项目是针对SDN的南向协议OpenFlow进行漏洞挖掘。
缩进的列表算是追问吧...
一面
自我介绍一下,讲一下课题和课外实践?
WAF管理平台后端API有做过压力测试吗?
你现在的论文已经发表了吗?
你的毕业论文是什么?
在字节跳动训练营最大的收获是什么?
在研究生期间或日常生活中有什么可以分享的有意义的事情?
快排的时间复杂度是多少?
- 最快的情况下是多少?是什么样的情况?
- 最慢的情况下是多少?是什么样的情况?
哈希冲突有哪些解决办法?
编程题(easy)
二面
自我介绍一下?
我们这里是密码管理服务,密码这块你了解多少呢?
你未来计划更偏向于安全研究还是安全研发?
你对云上PKI的安全,身份认证的能力感兴趣吗?
介绍一下字节跳动训练营做了什么?
- Sql注入的原理和防御方案有哪些?
- WAF防护SQL注入的原理是什么?
- 本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?
- 漏洞挖掘是纯工具还是有一些手工的?
- WAF管理平台后端API有哪些功能?
- WAF的增删改查数据量大吗?
- Redis解决了什么问题?
- 热点数据怎么保证redis和db中的一致?
- 用户登录认证是怎么做的?
- Token的安全怎么保护?
- Token的内容该如何设计?
- 怎么保证数据不被篡改呢?
SDN漏洞挖掘的思路?
- 漏洞挖掘有挖掘出RCE漏洞吗?
- 对栈溢出、堆溢出有研究吗?
说一下https协议的过程?
- 随机数一般有几个?
- 如果有一个的话会如何?
对C++或C熟悉吗?
哈希表的原理和冲突解决办法?(和一面重复了)
Mysql查询快的原因?
- 事务的四大特性,mysql隔离级别?
- 解释一下乐观锁和悲观锁?
多并发编程有涉及过吗?
- 读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?
有一项软件著作权,做的什么软件?
编程题(medium)
三面(交叉面)
字节跳动训练营越权问题解决办法?
- ***都是自己写的规则去防御吗?
- 任务都是一样,你们得了第一,你们团队做的好的地方在哪里?
SDN漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?
Python2和Python3的区别?
- Xrange和range返回的是什么?
数据库索引的作用?mysql索引的变化?
数据库弱口令,登进去后如何提权?
你自己写项目的时候,怎么进行的SQL注入防御?
怎么进行CSRF防御?
- Token加密什么东西?
- 校验什么?
- Token为什么需要加密?
- 使用明文随机数可以吗?
怎么防重放攻击 ?
Docker有哪些安全上的好处?
个人发展方向?
当前在哪里日常实习?
- 实习多久了?为什么想来阿里?