面完官网状态就挂 自动换了个部门投递这里我要说的一点就是,那些招聘的岗位职责岗位描述真的都很假。这里阿里云的安全工程师职位要求【必备项】1、熟识计算机网络,具备Linux环境下C/C++开发能力,至少掌握Perl/Python/Shell一种脚本语言;2、熟知Web安全,了解当前流行的Web漏洞(XSS, SQL Injection, CSRF, etc.),了解Java开发框架(Struts, Spring, iBATIS, Hibernate,etc.);3、具备服务端开发经验,熟悉Java、Spring框架、分布式技术栈,了解消息队列、分布式事务、docker容器、微服务原理;4、具备Windows客户端安全攻防的经验,或了解Android/iOS无线客户端安全;5、了解Linux系统管理和网络管理相关操作,了解Linux系统的安全漏洞,有Linux exploit code/shellcode编写经验;6、熟悉TCP/IP协议栈和路由交换原理,熟悉企业级服务器安全 ;7、熟悉数据分析或机器学习,并且有过安全领域的实践;8、精通SQL,掌握Hadoop、Hive、R或相关大数据工具的使用方法;了解Scrapy、Selenium等爬虫框架的工作原理;9、熟悉常用深度学习工具pytorch和tensorflow等至少一个的使用,能快速验证算法的可行性;10、熟悉图像/视频/音频的编解码、处理、分析、建模和语义理解等相关技术,熟悉OpenCV的使用,具有信息论知识背景更佳;11、熟悉密码学基础理论;同态加密、多方安全计算、本地差分隐私、密码工程优化、白盒密码、商密认证、SGX;12、学习能力强,对新事物保有好奇心,并能快速适应新环境;良好的沟通能力和团队协同能力;能与他人合作,共同完成目标;对所在领域有热情,善于独立思考并反思总结。【加分项】1、在校园或互联网公司有相关实习或项目经历。但是我想说的是 实际上 这里边的几乎都没问到。比如:c++ 八股 linux 相关 TCP、IP,数据分析和机器学习。pytorch 密码学 opencv 我个人比较重视阿里云的面试。对着他的岗位要求 看一些这种相关的东西。反而忘掉了很多跟安全、渗透相关的。毕竟现在找工作。也不会去挖src 。没时间了。很多漏洞细节都记不清楚了。这些岗位要求 估计都是hr胡写的。有点坑人。不知道的还以为这个岗位是和一些ai 深度学习相关的呢。但是面试压根没问深度学习什么的。害我准备错了方向。主要问了这些问题:自我介绍还是mysql 命令注入,怎么提权。数据库rce。还是问了好多数据库渗透的场景题。如果你能sql 注入来命令执行 如何判断受害者机器可以出网。如何判断命令执行成功。有waf怎么绕。如果站库分离怎么办java反序列化的深入了解。不止于工具使用。java反序列化的common collections利用链 。ChainedTransformer类。readObject 。说了一些java的利用链,12345什么的。问原理,问源码。问的很深很深。怎么绕wafshiro的poc shiro 反序列化如果waf限制长度 怎么打进去如果你能反序列化打进去 如何判断机器是否出网。问蓝队应急响应。场景题很多。想不起来了一些。下次录音 唉 老是忘你有一个主域名 怎么去制定方案渗透。问内网。内网横向移动。内网信息收集。学校打ctf的经历深挖免杀的项目。反沙箱你的免杀 能过360吗。是不是过的动态多久失效你想对于其他人 你的优势在哪里。面试官委婉说我实战经验可能还要多做(觉得主要说的是web)。指出了一些不足。我觉得他意思是我比赛打得少。我src挖的多,。有很多面试题,实际src漏洞挖掘根本用不上。你能懂的。比如mysql提权 springboot漏洞 你不可能找到这样的src 。很多这种都是程序员犯剑自己改了设置。默认都是安全的。实战?实战怎么会碰到?实战数据库还想提权还想rce?对挖src没怎么问。唉,。反正准备了很多 偏偏都没用上。才30min。。。面试官说话有点口音和含含糊糊。老是听不起他说啥。是电话面 总感觉阿里系的面试就是信号不好。怪烦人的不过总体人比较好。能让我把话说完。最近没怎么准备安全的东西了。准备转开发。安全就业会越来越难。即使你面试答得好 也会排序挂 也会因为没有hc或者hc很少挂掉。逐渐接受自己是个普通人吧 。将就着过这个世界99%的人不管怎么努力怎么挣扎都是一样的
安全劝退第一人:😅反正啥都比安全岗坑多
gy1998:现在啥水平都能投金种子了?没个985博士你想P吃
华南最舔的舔狗:确实,好的985不比大专差😁
投递华为等公司10个岗位
左家垅技工:因为他们实际都不是hr吧,只不过是有招人kpi的技术岗
查看19道真题和解析