MENU

安全面试经验收集

March 19, 2018 • 安全技术,杂谈

又是一年毕业季。与往年不同的是我自己成了今年的主角。

说来也是幸运,自己从大二开始就算是接触了好几个不同的工作单位,有学校的各个部门,有外边的一些公司和团队。

自己经历过的面试也不算太多,但是每经历一次都会认认真真的反思、总结。最近慢慢的发现“面经”这个东西越来越多了。其实我对面试的态度属于“佛系面试”,基本上不会去看“面经”,也不会去特意准备,该干嘛干嘛,面试电话随时来,我也随时就面,能过就过,过不了算q,再学呗。

但是最近发现一些老哥的面试总结,感觉还是能学到蛮多东西的。同样一个问题,可能别人就有你不知道的解决方式和思维角度。不过暂时所有的问题尽量都从安全方向相关的面试中获取(夹杂一些Python,毕竟我喜欢),不然实在太多。

本文的目的就是打算搜集和记录一些别人面试时遇到问题,算是给自己一个备忘录一样。

每当打开再看就能知道,哪些是自己还没掌握的、哪些是自己还没遇到的,时刻提醒自己以后可能会去解决这些问题。

还有很重要的一点:面试中回答问题,遇到不熟悉的但又在别处看到过时,千万不要去照搬当时别人给出的答案。你的答案最好是你实践过、证明过的;哪怕你没做过,但是一定要经过自己的思考,不要人云亦云。

so,这篇博客也不是想去抄袭人家的答案。

当然了,这篇博客肯定不定时更新的。

面试问题

安全方面

  1. 怎么查找域控

  2. Discuz 论坛内容过多后搜索会比较慢,怎么改善

    • Xunsearch (中文名“迅搜”)代替 Discuz 的原生功能做全文索引
    • 分析慢查询日志,找出耗时比较长的语句,给相应字段做索引
  3. 解释下 CSRF
  4. PHP 作为弱类型语言,在底层它是怎么判断变量的类型的
  5. SQL 注入时有哪些替代空格
  6. 是否在各种 SRC 提交过漏洞
  7. 说说最近出现过的比较重大的漏洞
  8. 对Flash有研究吗
  9. XSS弹alert有那些方法
  10. 用户举报说他可能受到了流量劫持,你会怎么确定他遇到了什么攻击/故障?
  11. 啥是同源策略,跨域有几种方式?
  12. DOM XSS与反射XSS有啥不同,给你10s,如何快速判断一个XSS是否是DOM XSS?
  13. SSRF漏洞原理是什么?利用时有哪些伪协议?
  14. 在浏览器端,Referer可以篡改吗?
  15. 云waf是怎么实现的
  16. 什么是链路劫持,怎么检测与防范
  17. 如何通过指纹识别,找出全世界尽可能多的某公司的服务器等

开发

  1. 推荐一本看过最好的python书籍? 拉开话题好扯淡
  2. 谈谈python的装饰器,迭代器,yield?
  3. 标准库线程安全的队列是哪一个?不安全的是哪一个?logging是线程安全的吗?
  4. python适合的场景有哪些?当遇到计算密集型任务怎么办?
  5. python高并发解决方案?我希望听到twisted->tornado->gevent,能扯到golang,erlang更好

python进程&线程,多进程
python闭包
python lambda

百度是一个大型网站,内部含有多个产品线,比如广为人知的贴吧、知道、空间等应用。然而设计这些应
用的统一登录平台却是一件非常艰巨的挑战。需要考虑到通用性和安全性。
1)对于一个Web应用程序,主要的身份验证和凭证保持的方法主要有cookie和session两种。他们又是如何
起作用的?各有哪些优缺点?
2)影响到cookie值作用范围的因素有哪些?请一一说明。
3)从安全角度来考虑,一个大型网站的单点登录可能会引入哪些安全问题?如何设计安全的在线单点登录

  1. 爬虫的工作流程?URL去重如何实现?
  2. 给出了一个关于URL重复的更准确定义,现在给出一个含有超过1亿条URL记录的文件,问如何去掉其中重复的URL,请写出实现
  3. 如何扫描SQL注入,XSS
  4. 项目数据如何获取?
  5. 项目的性能瓶颈有哪些?
  6. 对于Edit控件,你如何抓防止密码框内容被抓取?

数据库方面

  1. 描述一下数据库设计的几个范式
  2. 有哪些措施或方法可以优化MySQL的效率?

网络方面

面试经验

  1. 在 Linkedin 写个英文介绍还是很有用的,时不时有猎头会加你…… 搞笑的是前些天居然有微软的 HR
    发邮件来问我有兴趣去么。我想去啊,但是算法又渣又不熟 C/C艹 还是不去找虐了……
  2. 面试职位目标明确,像我这种表示安全开发、渗透测试、安全研究、运维安全都能搞的往往悲剧。
  3. 面试前到乌云看看该厂商出现过的漏洞,有时间的话自己试试还有没有洞。 常见的英语技术名词要会读,比如 WAF Sphinx Debian Ajax ……
  4. 先说说简历的问题,这几位面试者没有一个能写得出好的简历,我所说的好的简历,大致应该包含这几个内容:

    个人联系方式(有个哥们儿连电话都不留,我咋面)
    在学校期间做过哪些项目,个人的思路是什么
    有哪些能力,比如代码审计、Python编程、Java安全等等,越具体越好

参考、引用链接

Tags: 面试, 招聘
Archives QR Code
QR Code for this page
Tipping QR Code