阿里云安全面经,已收到意向书

个人情况:本科双非,考研上了北邮,目前研二。先找了某安全公司的日常实习(线下一下午,一面、二面、leader面、HR面,过了就去了),3月16日申请了阿里云安全开发暑期实习,4月14日收到意向书。

简历重点:WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营(所在小组获得第一)。

字节跳动训练营是给了网站,挖漏洞,搭建WAF防护该网站,搭建WAF管理平台。

实验室漏洞挖掘项目是针对SDN的南向协议OpenFlow进行漏洞挖掘。

缩进的列表算是追问吧...

一面

自我介绍一下,讲一下课题和课外实践?

WAF管理平台后端API有做过压力测试吗?

你现在的论文已经发表了吗?

你的毕业论文是什么?

在字节跳动训练营最大的收获是什么?

在研究生期间或日常生活中有什么可以分享的有意义的事情?

快排的时间复杂度是多少?

  • 最快的情况下是多少?是什么样的情况?
  • 最慢的情况下是多少?是什么样的情况?

哈希冲突有哪些解决办法?

编程题(easy)

二面

自我介绍一下?

我们这里是密码管理服务,密码这块你了解多少呢?

你未来计划更偏向于安全研究还是安全研发?

你对云上PKI的安全,身份认证的能力感兴趣吗?

介绍一下字节跳动训练营做了什么?

  • Sql注入的原理和防御方案有哪些?
  • WAF防护SQL注入的原理是什么?
  • 本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?
  • 漏洞挖掘是纯工具还是有一些手工的?
  • WAF管理平台后端API有哪些功能?
  • WAF的增删改查数据量大吗?
  • Redis解决了什么问题?
  • 热点数据怎么保证redis和db中的一致?
  • 用户登录认证是怎么做的?
  • Token的安全怎么保护?
  • Token的内容该如何设计?
  • 怎么保证数据不被篡改呢?

SDN漏洞挖掘的思路?

  • 漏洞挖掘有挖掘出RCE漏洞吗?
  • 对栈溢出、堆溢出有研究吗?

说一下https协议的过程?

  • 随机数一般有几个?
  • 如果有一个的话会如何?

对C++或C熟悉吗?

哈希表的原理和冲突解决办法?(和一面重复了)

Mysql查询快的原因?

  • 事务的四大特性,mysql隔离级别?
  • 解释一下乐观锁和悲观锁?

多并发编程有涉及过吗?

  • 读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?

有一项软件著作权,做的什么软件?

编程题(medium)

三面(交叉面)

字节跳动训练营越权问题解决办法?

  • ***都是自己写的规则去防御吗?
  • 任务都是一样,你们得了第一,你们团队做的好的地方在哪里?

SDN漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?

Python2和Python3的区别?

  • Xrange和range返回的是什么?

数据库索引的作用?mysql索引的变化?

数据库弱口令,登进去后如何提权?

你自己写项目的时候,怎么进行的SQL注入防御?

怎么进行CSRF防御?

  • Token加密什么东西?
  • 校验什么?
  • Token为什么需要加密?
  • 使用明文随机数可以吗?

怎么防重放攻击 ?

Docker有哪些安全上的好处?

个人发展方向?

当前在哪里日常实习?

  • 实习多久了?为什么想来阿里?

阿里云安全面经,已收到意向书_第1张图片

 

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF...

img

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取 CSDN大礼包:《对标阿里黑客&网络安全入门&进阶学习资源包》免费分享

你可能感兴趣的:(网络安全,信息与通信,安全架构,系统安全,网络协议)