阿里云安全面经，已收到意向书

个人情况：本科双非，考研上了北邮，目前研二。先找了某安全公司的日常实习（线下一下午，一面、二面、leader面、HR面，过了就去了），3月16日申请了阿里云安全开发暑期实习，4月14日收到意向书。

简历重点：WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营（所在小组获得第一）。

字节跳动训练营是给了网站，挖漏洞，搭建WAF防护该网站，搭建WAF管理平台。

实验室漏洞挖掘项目是针对SDN的南向协议OpenFlow进行漏洞挖掘。

缩进的列表算是追问吧...

一面

自我介绍一下，讲一下课题和课外实践？

WAF管理平台后端API有做过压力测试吗？

你现在的论文已经发表了吗？

你的毕业论文是什么？

在字节跳动训练营最大的收获是什么？

在研究生期间或日常生活中有什么可以分享的有意义的事情？

快排的时间复杂度是多少？

• 最快的情况下是多少？是什么样的情况？
• 最慢的情况下是多少？是什么样的情况？

哈希冲突有哪些解决办法？

编程题(easy)

二面

自我介绍一下？

我们这里是密码管理服务，密码这块你了解多少呢？

你未来计划更偏向于安全研究还是安全研发？

你对云上PKI的安全，身份认证的能力感兴趣吗？

介绍一下字节跳动训练营做了什么？

• Sql注入的原理和防御方案有哪些？

• WAF防护SQL注入的原理是什么？

• 本次训练营中，怎么分工协作的？你的角色是什么？你的贡献是什么？有没有提升效率的可能？

• 漏洞挖掘是纯工具还是有一些手工的？

• WAF管理平台后端API有哪些功能？

• WAF的增删改查数据量大吗？

• Redis解决了什么问题？

• 热点数据怎么保证redis和db中的一致？

• 用户登录认证是怎么做的？

• Token的安全怎么保护？

• Token的内容该如何设计？

• 怎么保证数据不被篡改呢？

SDN漏洞挖掘的思路？

• 漏洞挖掘有挖掘出RCE漏洞吗？

• 对栈溢出、堆溢出有研究吗？

说一下https协议的过程？

• 随机数一般有几个？

• 如果有一个的话会如何？

对C++或C熟悉吗？

哈希表的原理和冲突解决办法？（和一面重复了）

Mysql查询快的原因？

• 事务的四大特性，mysql隔离级别？

• 解释一下乐观锁和悲观锁？

多并发编程有涉及过吗？

• 读写锁和互斥锁/排他锁用过吗？有什么区别？为什么会用？

有一项软件著作权，做的什么软件？

编程题(medium)

三面（交叉面）

字节跳动训练营越权问题解决办法？

• ***都是自己写的规则去防御吗？

• 任务都是一样，你们得了第一，你们团队做的好的地方在哪里？

SDN漏洞挖掘项目，你能列举一个比较有技术含量的漏洞吗？漏洞原理和挖掘过程？

Python2和Python3的区别？

• Xrange和range返回的是什么？

数据库索引的作用？mysql索引的变化？

数据库弱口令，登进去后如何提权？

你自己写项目的时候，怎么进行的SQL注入防御？

怎么进行CSRF防御？

• Token加密什么东西？

• 校验什么？

• Token为什么需要加密？

• 使用明文随机数可以吗？

怎么防重放攻击 ？

Docker有哪些安全上的好处？

个人发展方向？

当前在哪里日常实习？

• 实习多久了？为什么想来阿里？

 

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF...

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取 CSDN大礼包：《对标阿里黑客&网络安全入门&进阶学习资源包》免费分享