【前言】
从1月份开始找实习,通过N次面试也学到了很多。今天也顺利整理下供后来者学习参考,如果能助你拿到offer不胜荣幸。
【简历 —注意事项】
1. 有句话叫面试官提问的就是你简历上写的东西,很多找工作的人面试前都会想面试官会问什么问题,其实你要复习的就是你简历上写的。
2. 简历中参加的项目一定要多写,因为无论你履历多么光鲜,公司要看的还是你的业务能力。
3. 简历模板力求简洁,不要太花哨,面试官可不关注这个。(附一个模板链接给大家 提取码:ebix)
【我的面试经验】
面试绿盟科技 ,一共经历了二轮面试,下面详细介绍每轮面试过程。
第一轮面试
第一轮面试时在绿盟在北京的一个分部,公司环境很好,可能是公司名字的原因,整个办公氛围色调是绿色的,看的很舒服。
下面切入正题:
面试官一共三位,开始猜测是三个部门的主管,经过自我介绍也证实了我的猜想。
首先是自我介绍,说说你做过什么项目,安全方向的话打过哪些比较大型的CTF,以及对未来的规划。自我介绍就任意发挥就好,说自己的近况啥的也可以拉近与面试官的距离感,毕竟他们也有生活。
【面试的一些问题总结】
1. 介绍下渗透测试的流程
项目接手 ——> 信息收集:whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息——>漏洞扫描:使用Nessus, AWVS等工具——>手动挖掘:逻辑漏洞——>验证漏洞——>提交修复建议——>输出报告——>信息安全风险综合分析,包括整体风险分析,风险影响分析,系统安全分析,安全漏洞列表——>解决方案建议——>复测报告。
2.简单介绍下你自己做的安全工具(简历上的)
这里工具初型其实实现比较容易,展开说的话内容不多,所以我将话题转向了我的毕业设计,因为我的毕业设计原型就是这个工具,升级了一下,扩展了一些功能。比如加密信息应用到通信加密上,然后利用OpenSSL自带的CA证书认证模块进行登录身份的验证,使整个工具的安全性大大提高。这里就是一个小技巧,当面试官问到你不熟悉的地方或者内容太少无法展开时,可以试着把话题引向自己熟悉的地方。
3.介绍下你的渗透测试过程(也是简历上的)
这块基本就是说下流程,我觉得这个问题是面试官在考核我的渗透测试真实度。
测试环境为虚拟机搭建的网站。使用AWVS安全扫描工具来扫描网站,根据扫到的漏洞结果来进行下一步渗透。从扫描出的漏洞中发现有SQL盲注漏洞,使用sqlmap注入。收集到关于服务器的相关信息,web server为Window 2008 R2,WEB语言是ASP.Net,网站使用IIS 7.5发布。其中数据库类型是Access。因为后台登录地址是隐藏的,这里使用相关工具来扫描得到后台登录地址为http://192.xxx.xxx.236:82/clkj_admin ,得到后台登录url,使用Burpsuit来抓包测试,模拟登录,利用Burpsuit的Intruder模块来暴力破解后台。这一步需要合理的字典,猜测是数字和字母组合形式。经过匹配得到后台登录的用户名和密码。
其他思路:还可以利用上传漏洞来上传木马文件,连接服务器进行渗透
面试官追问:为什么当时没有通过注入数据库来获取后台密码?
答:注入多次未成功,导致IP被锁,更换代理,换了思路。
4.SQL联合查询简单介绍一下
很遗憾这个问题当时蒙圈了,没回答上来。回来也是恶补知识。既然是面经分享这里就不多写了。放个链接 SQL联合查询
5.介绍下ARP欺骗
ARP欺骗通俗地讲,RP Request广播包会被拦截,通过偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,A,B受骗导致数据丢失。
6.平时网络安全学习的途径或者平台?
答:合天智汇,安全牛等网站,以及看一些安全相关的书籍。最近在读那本哪本。
7.接触过哪些安全硬件?
What?安全硬件?我绞尽脑汁回想起之前好像和天融信的防火墙设备有过一面之缘,我说天融信的防火墙算不算?面试官:算。
而且没有追问,当时要是问的话我还真不知道怎么接了。可能说和ikuai那种设备一样?
8.CTF团队里自己扮演什么角色?
渗透,隐写解密,代码审计。
9.说说自己的校园项目(简历上的悦动校园平台)
项目实施很简单,但是安全方面的配置聊了很多,包括安装Zabbix监控平台。修改SSH协议默认端口,禁止root用户远程登录等等。
10.自己未来想从事的方向
渗透测试
聊到这的时候,我感觉一面应该稳了,因为对面三个大佬已经暗示我选择他们其中的一个部门。三个方向:CTF、逆向/应急响应、渗透测试。我选择了最后一项。
一面总结
从接到面试通知,将近一周的时间去准备。因为是安全大厂,所以准备的比较多。也很幸运,遇到三位很亲切的面试官,也是三位伯乐。最后渗透测试的主管送我出来,拍着我的肩膀,一面没问题业务能力不错,没有问题,回去等人事电话吧。那一刻真的真的很激动,因为离拿到offer又近了一步。
第二轮面试
第二轮面试还是比较突然的,因为第二天副总裁有安排(没错二面是领导来直接面试),提前到今天下午。OMG,但是也没有办法,急匆匆赶去绿盟总部去“面见总裁”。
比较一面的话,二面没有太多技术问题,但是我面前的这个总裁是技术出身,so试探性的问了我两个问题
1.Linux服务器的密码文件存放路径
etc/passwd
2.安装过什么WAF
‘’阿里云的云盾算不算” “算”
Ok,基本没问题。
后面聊聊近况以及住所,最后话题快要结束了,面试才过去15分钟?WHAT?好不容易遇到总裁级别的面试官,怎么能才聊15分钟?
我问:哥一会您有事吗?
总裁大哥:没有没有
我:那我们再聊会?
总裁大哥:好啊
emmmmm然后又成功的聊了20多分钟 一直到愉快的结束
总裁大哥讲了他传奇的求职路线 此处省略1000字
PS:其实总裁大哥很忙,在MAC本上一直飞快的码字,我猜是回复工作邮件什么的,高手真的可以一心二用,办公和聊天可以无缝连接。也是由此可以看出这家公司的人文关怀。好感爆棚有木有。
拿到Offer
14号接到人事的电话,聊聊薪资待遇。很快收到offer邮件。
时间线
3月6号 一面
3月7号 通知二面
3月11号 二面
3月14号 发offer
结语
千里马常有而伯乐不常有
感谢 相遇
祝未来好运