以下是我認識的一個即將畢業小朋友的面試經歷，面試的崗位是“安全工程師”。首先我要夸夸他！并非985,211的他，因為個人經歷和對安全行業的與熱愛，受到了阿里云師傅的青睞，得到了實習的機會，今年畢業就能順利進大廠了！鼓掌?(???????)?“ 崇拜他，才不是因為他本人長得高大帥氣”

言歸正傳。。。。。。
按照第一次面試的前后順序，這段時間他面試的公司有:綠盟、知道創宇、長亭科技、360、阿里云、深信服、騰訊、盛大。可能時間線比較早的有一些問題記得不是很清楚了。

綠盟面試:First blood

找的團隊綠盟大佬幫忙內推。

一面:

1、自我介紹。

2、解釋一下對Sql注入的理解以及防御的手段。

3、Ssrf聽說過么、Xxe呢。

4、然后提了下自己做的掃描器可以掃描這些漏洞。之后基本上都是在介紹自己的掃描器。

問了下去重策略，用它掃到過什么漏洞，爬蟲是怎么檢測網頁中的ajax和on事件發生的url的，然后我順帶說了下爬百度貼吧用1h1g的服務器10分鐘多一些可以爬完。然后還有怎么檢測漏洞的問了Xss的檢測方式。

5、電話中確認了暑假實習基本沒問題。

知道創宇:Doble Kill

一面:

1、介紹一些后臺拿shell常見的場景。

2、Sql注入拿shell的方式。

3、SqlMap會用么？怎么通過Sql注入寫基本Sql命令？

4、平時挖洞多么，介紹一個最有趣的漏洞。

5、Ssrf了解么？可以怎么判斷有沒有這個漏洞

6、溯源能力怎么樣，我們這邊有時候還會配合網警進行追捕。

7、基本沒問題，之后HR會聯系的。

二面:（不關于技術的就不寫了）

1、獲取知識的手段

2、有沒有內網滲透的經驗

3、各大SRC的排名如何，是否挖到過高危。

長亭科技:Triple kill

一面:

1、問了下簡歷里面的掃描器，Ssrf應該怎么檢測，去重是怎么來的，然后我自己再詳細介紹了下。

2、Sql注入怎么拿shell。

3、Xss怎么繞過waf

4、waf和ips的繞過區別和一些技巧。

5、對平時爆的漏洞會去浮現么？有沒有代碼審計的基礎。

6、內網滲透怎么樣，怎么反彈命令。

7、之后會有第二次技術面試。

之后長亭HR在QQ上聯系說不用二面了。大師傅們討論說可以直接發暑假實習offer了。

360 信息安全部0kee:Quadra kill
(記憶比較深刻的是面了1個多小時，之前的面試基本是都是20多分鐘):

一面:（重道遠zxx前輩）

1、PHP中命令執行的函數以及會出現的問題

2、PHP中系統執行的函數以及會出現的問題

3、變量覆蓋問題

4、有沒有審計到什么漏洞

5、問了一些漏洞的名字和問了下形成原因

6、滲透中常見的端口以及是什么應用

7、Ssrf中怎么拿shell、還有一些繞過方式

8、Xss的一些繞過方式，如果在href中可以用什么編碼繞過以及網頁渲染中他對不同編碼的渲染前后順序。

8、掃描器去重、掃描器的功能流程介紹。

9、平時在寢室怎么學習的

10、學習了多久，聊了下一些學習方式然后口頭說暑假實習offer沒什么問題。

二面（后來加的，因為360流程必須有2面后來因為要房補還加了個筆試）:

1、記憶中比較深刻的滲透經歷

2、內網滲透怎么樣

3、如果打到內網怎么反彈shell

4、打到內網會干什么

5、掃端口用什么掃

6、掃什么端口為什么這樣

7、memcache放大攻擊聊了下。剛好是面試官寫的。

8、再聊了下其他的就差不多了。

阿里云: Penta kill 豬豬俠前輩內推

一面:

先是豬豬俠前輩在微信上約了時間，大約9點多然后打的電話

1、Python什么時候開始學的，寫了多久

2、Python中用多進程在多線程執行循環10次subprocess命令會出現什么問題

3、Python爬蟲中是怎么抓起on事件的、如果爬蟲遇到了close或者document.href=""這種會怎么處理

4、爬蟲的去重策略，掃描器的代碼量，以及是不是都是一個人完成的

5、講了下今年面試的競爭對手、有博士balabala，然后要加油

6、有什么想問他的，問了下入門以及學習方式。還有之前烏云第一是不是天天在挖洞等等。

二面:

某P9在釘釘上約了時間，第二天下午給打的電話。

1、先介紹了下在做的東西，然后開始喊我也做一個自我介紹

2、問了下tcp的一些細節，然后ddos tcp洪水攻擊和防護的一些問題

3、linux中的一些命令，問了下怎么看一個進程他都調用了什么文件

4、linux中密碼文件在哪里

5、為什么普通用戶（非Root權限）可以修改密碼 因為修改密碼需要修改/etc/passwd或者/etc/shadow文件，可是這兩個文件都是需要root權限才能修改的

6、http2.0和1.0的區別。

7、xss瀏覽器的防護頭。csp

8、有什么要問他的。

三面:

直接打得電話，暫時不知道面試人是誰。

1、掃描器實現了什么，介紹去重，大致流程。

2、怎么檢測Sql注入和Xss漏洞的

2、Ssrf了解么。一些繞過技巧，rebind聽說過么。gopher的原理。怎么拿shell

3、怎么繞waf

4、代碼審計怎么樣

5、問了下代碼方面的問題

6、有沒有什么問他的。

四面: (交叉面):

天涯浪子心前輩。

1、先自我介紹了下。

2、掃描器的一些細節以及各個目錄是干什么的。

3、看了下博客和Freebuf問我是不是都是自己寫的。

4、選擇一篇講一講。

5、看了下Freebuf問我第二篇的系統是不是上線了。

6、問我Ssrf應該怎么檢測。

7、問我有沒有什么問他的。說如果錄用了我是去阿里云，他是阿里巴巴的。

五面: (HR面)

1、問了我最有趣的滲透案例

2、問了我的排名

3、學習方式

4、有沒有認識一些大牛，怎么認識的 ￣□￣｜｜

5、實習時間

HR面完過了10分鐘HR助理打電話要了身份證一些信息，給了口頭offer說郵件要走流程下個星期可以發到郵箱。
！！！！替你開心！！！！

深信服: Hexa kill

一面:

1、講了講掃描器

2、問我會不會抓包，有沒有抓包過。。。（很汗）

3、之后全程我在講我的東西。。。

4、說之前看過我的簡歷，覺得沒什么大問題所以不用面試了。之后和Hr談薪資。

騰訊:

一面:

1、問我之后可不可以去深圳面試

2、問了掃描器的去重和一些細節

3、問了怎么檢測Xss、Sql

4、問了平時復現漏洞么，講幾個

5、命令執行的一些繞過方式

6、Ssrf的繞過

（自我感覺面試感覺不錯。。。不過不知道為什么沒第二次面試）

2018-5-21 又來了一次面試 （40分鐘）

1、簡單的自我介紹

2、常見的漏洞

3、平時更多檢測什么漏洞

4、為什么掃描器不寫檢測越權的漏洞

5、XSS的防護手段

6、輸入過濾和輸出過濾哪里好

7、SQL給了一個場景怎么注入

8、SSRF怎么檢測、怎么防御

9、編程能力如果，給了一個寫計算器的例子

10、linux中如何進程通信

11、socket編程怎么發送信息

騰訊再一次 godlike

1、自我介紹

2、課程有哪些

3、說一下數據結構 然后講了一個實現 繼續問我怎么定義的。

4、信息安全的技術特征 問能不能說一個例子 面試官給的提示:保密性 懵逼

5、信息安全的XXXX 反正也是懵逼的

6、Xss生成的原因

7、Sql怎么防御

8、講了一下項目

9、有什么要問我的

盛大: legendary

一面:

1、自我介紹了一下，然后問我想做什么

2、聊了下團隊

3、問了下掃描器的流程

4、覺得沒什么問題喊我有什么問他的，說這個很重要

5、問了下是做什么的，然后自己在這方面的一些交流

6、說沒什么問題，然后hr會聯系，如果工資有問題可以聯系他。雖然他也不一定可以解決。。。。

二面:

hr面沒問什么技術問題。談了下實習時間和工資。

總結一下基本上會問簡歷上的東西。Ssrf問的比較多，可以重點看看。漏洞要學會復現，還有平時挖一些高危漏洞等到面試會比較好回答。

——————————┏(＾0＾)┛——————————

ヾ(￣▽￣)Bye~Bye~

總結

以上是生活随笔為你收集整理的非985/211面试大厂校招经历经验总结（安全工程师/渗透工程师）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。