真实面经分享:“度小满”的信息安全工程师
2020-09-23 21:16:46
度小满信息安全工程师面试问题总结如下:
一面(25分钟):
面试官主要围绕基础技能与实习经历展开。首先要求自我介绍,并询问是否提交过0day漏洞到漏洞平台。技术方面,涉及本科专业背景、Java开发经验(如网站开发框架)、代码审计语言偏好(如PHP、Java)及工具使用(如Seay、RIPS)。针对PHP审计,重点考察危险函数识别与工具链应用;加密源码处理需结合逆向分析或代码混淆经验。实习经历部分,需详细描述甲方蓝队应急响应、乙方安服项目经验,以及实习中的绩效考核与离职原因。此外,还涉及Python脚本编写能力(如POC开发)、1day漏洞审计流程等。
二面(40分钟):
技术深度显著提升,聚焦Web安全与代码审计。Web安全部分需阐述LFI、SQL注入(含布尔盲注、延时盲注)原理,并扩展至MySQL非sleep函数(如BENCHMARK)、读写文件操作(如LOAD_FILE/INTO OUTFILE)及溯源技术(如蜜罐部署)。数据库层面,需对比SQL Server命令执行方式(如sp_oacreate)、H2数据库RCE漏洞,并分析MySQL 8新特性(如CTE、窗口函数)的利用场景。代码审计环节,需拆解Java审计流程(如表达式引擎、反序列化CC链、反射/动态代理机制),结合Log4j反射利用、Shiro密钥破解等案例说明漏洞挖掘思路。此外,还需对比预编译与参数绑定的本质区别,并展示大厂HW行动中的实战成果。
三面(40分钟):
行为面试与职业规划为核心。需用三个关键词描述自身特质,并举例说明支撑个人成就的核心因素(如技术热情、团队协作)。职业规划需分短期(技术深耕)与长期(安全架构设计)目标,同时评估自身好奇心强度。情景题涵盖冲突处理(如团队劣势应对、反感同事协作)、任务优先级评估(如全新任务难度预判)及道德困境(如违规行为、承诺违背)。此外,需反思人生中最懊悔与有成就感的事件,并阐述对“事在人为”与“按部就班”等哲学观点的理解。
HR沟通:
主要确认求职意向度、手头Offer情况,并说明谈薪时间节点(中下旬)。
热门标签
