2022安全岗春招记录

发布于 2022-03-08  2,747 次阅读

写在前面

在经历了保研、考研两轮大白给之后,终于在春招的时候拿到了满意的offer......

简历内容是考研之后更新的,大致可以参考我的在线简历:https://xiabee.cn/cv,就是详细描述了一下项目内容和个人贡献。

由于本人对996怨念很深,所以在公司选择上会优先考虑工作时长与作息时间,几乎没有投大厂(虽然顺手投了字节,一面就挂了,我好菜)。一些因为种种原因发了面试邀请但是没能面试的公司就暂时不写了,问就是拒绝996......

本篇按时间顺序排序,同一公司放在一起写。

最终去向

  • PingCAP上海,Security
image.png

PingCAP(已接受)

四面

2022.2.28

大主管+HRBP面,一共面了约四十五分钟,大主管面了半小时,HRBP面了十五分钟左右。

大主管主要是业务方向,对攻击手段问的不深,主要是防护与架构相关的问题,给我一种我是架构师的错觉(不是)

  • 介绍一下你了解到的C/C++相关漏洞
    • 聊了一下缓冲区溢出
    • 聊了一下和其他业务嵌套时的漏洞
  • 详细聊聊缓冲区溢出
    • 栈溢出
    • 堆溢出(不会)
    • BSS溢出(不会)
  • 缓冲区溢出如何避免
    • 编译时避免
    • 运行时避免
  • 了解GO语言吗
    • “暂时不了解”
  • “没有关系,那根据你的认识,你认为GO语言有哪些安全漏洞呢”
    • “缓冲区溢出是不可避免的,只是利用难度的区别”
    • 然后提了一下嵌套业务相关的漏洞
  • 刚刚提到的其他漏洞如何避免
    • 提到了SQL注入等,“预编译,上WAF
  • WAF相关,对于某些实体,比如本身就是一段SQL代码,如何防止误报
    • 实体化,权限控制,纯代码直接实体化,使其没有执行权限
    • 不能实体化的代码宁可误报也不放过......(瞎答的)
  • 开放性问题,本公司的攻击面有哪些,应对策略有哪些
    • 具体比较细节了,包括内部攻击外部攻击之类的
    • 回答的比较泛,基于规则/行为/角色等,也对一些具体的服务说了些应对策略
  • 数据安全相关,安全架构相关,如何保障数据安全等
    • 零信任模型
    • 最小权限原则
    • 基于身份/角色的访问控制等
  • “简历里面提到了容器,你对容器安全有了解吗”
    • 瞎扯了点容器逃逸
    • “平时接除容器主要是开发,容器安全接除不多”
  • 剩下内容不记得了,大概问了半小时
  • 反问:安全组的人员配置、团队规模等,以及这个凑够一桌麻将开office具体政策
    • 安全团队其实都是remote work,基本上都不在北京......
    • 开office的政策由HRBP解答的,确实有,也可以在南昌开,凑够人就行。

HRPB基本上没有涉及技术问题,中途聊了一下作品赛,可能是提到了数据安全,HRPB对这个比较感兴趣(x)

  • 在北京吗
  • 有无实习打算
  • 是否为独生子女
  • 有无考研打算
  • 回应了一下刚刚开office的问题
  • 还有没有其他公司的offer
  • 对公司的选择是怎么样的
  • 为什么觉得PingCAPdream company
  • 反问环节问了一下怎么不谈薪资......“下一轮会有专门的同学和你交流”

三面

2022.2.16

项目主管面,总面试时间约50分钟,聊的内容挺多,体验也很不错。

  • 自我介绍
  • 介绍一下项目
  • SSRF相关
  • 开发过的脚本、项目等
  • python相关:python是真正的多线程吗
  • 挖过的漏洞
  • 英语相关:用英文介绍一下XSS
  • 英语相关:介绍不出来,介绍一下自己吧
  • 平时安全相关的技术是怎样学习的呢
  • 了解安全咨询的渠道等
  • 实战相关
  • 反问:主管介绍了工作内容、工作组等
  • 反问:实习相关
  • 主管点评:整体不错,渗透和开发这块需要加强,个人强项不够突出,可以多看看漏洞测试、漏洞公开等,尝试自己挖掘开源项目的漏洞
4ede2dd354219d9a90f4fd7fda08f94.jpg
其实面试官也犹豫了一下,过了半分钟才想起来(x)