文章目录
前言
近期秋招也即将结束,经过几个offer的对比,最终选择了深信服。以下我会以聊天的形式分享一些安服类岗位的面经,有想要进一步了解的同学可以评论或者私信我。
岗位
深信服的安服类岗位有以下两种:
安全服务工程师
安全运营工程师
我自己投的是安全运营岗位,但我实习的时候做的是安全服务岗,所以对二者都有一定的了解。
安全服务工程师基本算是驻外岗位,会伴随经常的出差,对技术能力要求会更高。伴随着近几年的经济形势压力,安全服务更像是一专多能,不仅要做漏扫之类的简单服务,还需要丰富的实战能力,所以如果要投安全服务岗,最好是有一段安全服务的实习经历,会对该岗位有更深的理解,也会积攒一些宝贵的实战经验,此外,还需要自学一些漏洞原理,这些我会在下文提到。
安全运营工程师的好处就是不用出差,没有出现安全问题的时候可能很闲,大部分时间会与客户进行线上交流,技术上可能会做应急响应多一些。安全运营岗我也建议最好有一段安服类实习经历,毕竟安服安服,一半安全技能,一半服务意识,如果没有真切感受过和客户交流、代表企业出项目,可能无法让企业感受到你规范的服务意识。
面经
安全服务
虽然我没有面深信服的安全服务岗,但在秋招中也投过其他企业的此类岗位,加上我也有一段安全服务的实习经历,以下问题是我结合了面试过深信服同学的面经和我的经历:
- 反序列化原理
- 项目经验
- 网络层和平时涉及是哪几层
- 红队的一个大致流程
- 给定目标如何渗透
- 如何在大量目标中快速拿下内网权限
- 平时复现的漏洞
- 内网渗透
- 红队打点
- Linux命令
- 主动被动代理
- 反弹shell
- 常见端口
- 内存马原理
- 对于安服工作的展望
- 实习工作时间占比
- 攻防中担任的角色,应急演练中的角色
- xss类型和防护
- Linux提权,Windows提权,数据库提权
- log4j和weblogic反序列化原理
- 免杀白加黑原理
- SQL注入时间盲注函数,报错注入函数和原理
- sql注入绕过
- 文件上传绕过
- 文件上传白名单绕过
- 文件上传.htaccess原理
- xxe怎么挖
- 逻辑漏洞具体怎么挖
- 内网渗透信息收集
- shiro利用链有没有了解
- 黄金票据白银票据
- 网站被篡改怎么办
- 常见中间件日志位置
- 怎么查看网络连接情况
- 怎么通过pid号判断应用路径
- 发现服务器有外连怎么办
- 路由器和交换机的区别
- redis的利用方式
- python协程、线程、进程大概讲一下区别/原理
- 渗透测试流程
- 有成就感的渗透测试
- 常用工具
- xss原理分类、xss防御方式,分为前端后端
- sql注入原理,防护措施、常用函数
- ssrf造成的危害、用到的协议
- xxe用到的函数
- redis未授权
- 序列化和反序列化,依靠什么机制触发的反序列化漏洞
- 接触过java反序列化漏洞
- 有接触过weblogic反序列化吗,触发的恶意类有哪几个
- 熟悉的业务逻辑漏洞
- 水平越权和垂直越权的区别,如何让测试垂直越权
- app测试经历
- 写过poc吗
- 获奖经历(获奖项目的的代码框架是什么样的)
安全运营
安全运营面经主要是我面试深信服时的情况,我分三面详细分享:
一面
- 交换机和路由器处于OSI第几层
- 有没有配置过交换机路由
- 对防火墙等安全设备的了解,策略配置、实践接触
- 挖矿应急流程
- 渗透测试项目经验与成果
- 攻防演练红队、蓝队中扮演的角色
- 溯源流程
- 对安全运营有哪些了解
- 如何看待工作与生活
- 未来三到五年的职业规划
个人总结主要方面为计算机网络、数通安全、应急响应、渗透测试、实习/项目经历、岗位认知、个人思想及规划。
二面
二面的形式是从两个课题中选一个进行分享,呈现方式不限。
- 分享学术研究成果
- 分享实习履历
随后的问题会从分享的内容问起,后续更偏一些聊天,总体感受二面比较轻松。
三面
三面即为HR面,大致问题如下
- 自我介绍
- 对深信服了解
- 对安全运营了解
- 对工作时间怎么看待
- 大学经历
- 工作地点
- 如何体现抗压能力
- 感觉有挑战点、成就点的事
- 对薪资如何看待
- 职业规划
结语
感觉今年的就业形势真的不好,考研也很难,能感受到周围人的压力,同为学生我感同身受,所以希望我的分享能有些帮助,祝大家都能找到满意的工作,实现自己的目标,有一个好的人生起点。
版权归原作者 pinkward 所有, 如有侵权,请联系我们删除。