三面：研二成功拿下阿里云网络安全工程师_蚂蚁集团 网络安全工程师

前言

这几天把安全朋友个人的面试经历简单整理了下，下面以朋友自称，方便大家阅读！！

点我有惊喜

个人情况

本科双非，考研上了北邮，目前研二。先找了某安全公司的日常实习（线下一下午，一面、二面、leader面、HR面，过了就去了），3月16日申请了阿里云安全开发暑期实习，4月14日收到意向书。

简历重点
WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营（所在小组获得第一，所以就写上去了，上了研究生才搞的安全，实在没什么好写的）。
字节跳动训练营是给了网站，挖漏洞，搭建WAF防护该网站，搭建WAF管理平台。
实验室漏洞挖掘项目是针对SDN的南向协议OpenFlow进行漏洞挖掘。

一面

1.自我介绍一下，讲一下课题和课外实践？

2.WAF管理平台后端API有做过压力测试吗？

3.你现在的论文已经发表了吗？

4.你的毕业论文是什么？

5.在字节跳动训练营最大的收获是什么？

6.在研究生期间或日常生活中有什么可以分享的有意义的事情？

7.快排的时间复杂度是多少？

8.最快的情况下是多少？是什么样的情况？
最慢的情况下是多少？是什么样的情况？

9.哈希冲突有哪些解决办法？

10.编程题(easy)

二面

1.自我介绍一下？

2.我们这里是密码管理服务，密码这块你了解多少呢？

3.你未来计划更偏向于安全研究还是安全研发？

4.你对云上PKI的安全，身份认证的能力感兴趣吗？

5.介绍一下字节跳动训练营做了什么？

6.Sql注入的原理和防御方案有哪些？

7.WAF防护SQL注入的原理是什么？

8.本次训练营中，怎么分工协作的？你的角色是什么？你的贡献是什么？有没有提升效率的可能？

9.漏洞挖掘是纯工具还是有一些手工的？

10.WAF管理平台后端API有哪些功能？

11.WAF的增删改查数据量大吗？

12.Redis解决了什么问题？

13.热点数据怎么保证redis和db中的一致？

14.用户登录认证是怎么做的？

15.Token的安全怎么保护？

16.Token的内容该如何设计？

17.怎么保证数据不被篡改呢？

18.SDN漏洞挖掘的思路？

19.漏洞挖掘有挖掘出RCE漏洞吗？

20.对栈溢出、堆溢出有研究吗？

21.说一下https协议的过程？

22.随机数一般有几个？

23.如果有一个的话会如何？

24.对C++或C熟悉吗？

25.哈希表的原理和冲突解决办法？（和一面重复了）

26.Mysql查询快的原因？

27.事务的四大特性，mysql隔离级别？

28.解释一下乐观锁和悲观锁？

29.多并发编程有涉及过吗？

30.读写锁和互斥锁/排他锁用过吗？有什么区别？为什么会用？

31.有一项软件著作权，做的什么软件？

32.编程题(medium)

三面（交叉面）

1.字节跳动训练营越权问题解决办法？

2.WAF都是自己写的规则去防御吗？

3.任务都是一样，你们得了第一，你们团队做的好的地方在哪里？

4.SDN漏洞挖掘项目，你能列举一个比较有技术含量的漏洞吗？漏洞原理和挖掘过程？

5.Python2和Python3的区别？

6.Xrange和range返回的是什么？

7.数据库索引的作用？mysql索引的变化？

8.数据库弱口令，登进去后如何提权？

9.你自己写项目的时候，怎么进行的 SQL注入防御？

10.怎么进行CSRF防御？

11.Token加密什么东西？

12.校验什么？

13.Token为什么需要加密？使用明文随机数可以吗？

14.怎么防重放攻击 ？

15.Docker有哪些安全上的好处？

16.个人发展方向？

17.当前在哪里日常实习？

18.实习多久了？为什么想来阿里？
HR面就是聊聊天，就不放了。

总结

面试的过程就是针对个人简历部分+部分知识的结合

最后，需要文中运维路线图、学习视频、全套工具包、精选面试题的朋友们点我蓝色字体领取