实习生-->魅族(社会招聘)

两个星期前在FreeBuf看到魅族的招聘(社会招聘),感觉上面的要求差不多,不是很过分的样子。。。。大概要求如下:

职位要求:

1、大专或以上学历,计算机相关专业
2、有厂商安全测试经验优先,漏洞盒子、乌云等漏洞平台白帽子优先
3、熟悉sql注入,XSS,CSRF等常见的WEB安全漏洞挖掘技术
4、熟练掌握多种常用安全测试工具,能够搭建各类渗透测试的测试环境
5、理解各类黑客攻击原理及实现方法
6、有较强的分析和解决问题能力、沟通能力和文档编写能力良好的工作态度、职业道德、团队合作意识
7、强烈的安全研究愿望和专注的研究能力

魅族招聘原文链接

然后就投了,我也只是投着玩,毕竟人家是社招。没想到居然打电话 说可以面试下,突然就紧张了。。这完全没准备。然后就没然后了吧,说说第二次面试的经历好吧,当给自己个鼓励。

记得大概两点多就到了魅族大厦,感觉有点早(约定3点钟),就在石凳上坐着,平复下复杂的心情,本来也没想过能过,但却还是很紧张的。

接近3时,我便带着复杂的心情走向魅族的大门,以前坐车经过都是看到侧面,现在看着正面,感觉挺有大公司范的。好像客户也挺多,来来往往的车辆也不少,保安让打电话给面试官,不让进,看来防护做的还可以,不让人随便进入。大概几分钟后面试官,高高壮壮的,挺年轻的,估计30岁不到,带着我走进魅族大厦,里面跟外面的感觉果然还是差很多,里面的风格很简约,感觉在这里工作应该也是挺舒心的,路上,面试官也就简单的问了我是大三的,说找个地方聊聊。心情稍微放松下,然后带我到一个小办公室坐着。。。好像扯得有点多,好吧,开始面试吧。。(by the way 谢谢面试官大哥的矿泉水 hhhhh)

一开始让自我介绍,这个已经是轻车熟路了,霹雳啪啦 说说说,由于我介绍中说道手机安全方面的知识,他让我讲一下手机安全方面相关的,不知道是怎么了,脑子突然短路,最近一直研究一直分析一直学习的手机安全竟然半点都说不出来,= = 尴尬脸,支支吾吾的,估计被刷这个也很有关系吧!!!(这里让我更加的信奉一句话:心理素质等综合素质也很重要,在赛场上发挥不出来,练了也是白练!)这以后面试一定要往自己熟悉的方面说,不熟悉就尽量避免。接着让我讲一下xss和sql注入的原理,这个没什么问题,把开放实验学到的东西说了个遍(xss怎么利用),然后问我sql注入手工是怎么做的?还好平时自己ri 小站有用过,也挺熟悉流程的,就说了下,不过因为做了笔记,忘记那些测试的语句,有点坑。。不过大哥说他也不记得,看来主要是考察你的思路。接着是问了我有关项目的问题,比较简单,可能是我的项目他不太感兴趣。。。。接着问我c、c++有多熟,我说基本的编程能力都没问题,他接着说当场写个排序算法也能行?瞬间硬伤,学安全的编程真是问题,以前学的数据结构也忘得差不多了,面试前也没准备,跪了。。还问了python脚本有多熟,看来,语言也是超级需求啊。哦对,还问了指针的问题。。紧接着是问我有没有发现一些漏洞,我说大部分是学校网站,他就问有没有不是学校的,艾玛当时我真是懵逼了,ri了那么多站,我竟然傻比地说了一个最简单的xss。。。可能当时真的紧张了,脑子都浆糊了。

最后说 问最后一个问题,他拿了笔在墙上画了个转盘,抽奖的,一天可以点3次按钮,然后指针会转动,如果中奖的话,需要填写姓名,手机地址,如果没有抽奖机会,可以通过积分来兑换,10积分换一次,该web程序是由java+mysql+nginx+jetty组成的。

我主要通过几个方面回答,一程序有没有逻辑漏洞,比如点几次功能是怎么实现的,这个实现是否可以被攻击,同理的是,积分兑换功能,是否可以修改任意积分来兑换抽奖次数,转动的指针是否可以被攻击然后控制;二是有没有应用漏洞,比如xss,sql注入,因为有表单提交的地方,这是很容易存在漏洞的;三是框架漏洞,有没有java反序列化漏洞,nginx框架有没有漏洞,jetty有个目录遍历漏洞;


感觉说的比较泛,没有很具体,好吧。还是太渣,写这个也是希望能提醒下自己,要走的路还很长,努力啊!!


你可能感兴趣的:(WEB安全)