网络安全

是谁在鼓吹网安人才缺啊，秋招破大防了，感觉岗位少的可怜，别人海投投个几千个，网安所有加起来有几百个吗…

开学大三应该投什么公司日常实习呢目前有两段实习，一段安服一段安全运维，都是小公司 有没有简历建议！谢谢友友们

一面  难，被问的要红温了20min业务+30min工作经历业务1.同源策略。 如果有需求a.x.com要访问b.x.com的接口，不同源，要怎么办2.讲讲你在浏览器输入url地址到服务器返回给你在前端展示的过程？你输入了http协议，但是最终显示的是https，这个是怎么实现的？3.Go的代码审计？具体会哪些？现场审计 shell_exec("ping -c")，存在的问题？怎么绕过？过滤了这些字符怎么绕过，IFS也过滤了呢？4.OAuth的场景，商家注册账号，设置Oauth的callback地址，服务器上存储callback地址，当发起Oauth流程后，服务器将Oauth code发送到callback地址，这个场景会有什么问题？ OAtueh劫持？劫持具体出现在那一步？怎么防护？SSRF漏洞？漏洞成因？怎么防护？ 写个SDK，判断callback地址是否合法，返回bool，讲讲思路？如何判断url地址工作经历1. 讲讲目前的工作内容？IAST是什么？和我现在静态的扫描有什么区别？具体的部署有什么考虑？做的什么开发？什么语言的？2. 以前的护网主要是攻击队嘛？3. 换工作是怎么考虑的反问

亚信安全2026届校园招聘秋招开始啦亚信安全校招内推码: V2NRKVF投递链接: https://asiainfo-sec.jobs.feishu.cn/s/SOfK-p3uo-Y岗位多多，覆盖Java、C++、前端、算法、AI大模型、AI架构、测试开发、UI、安全研究员、产品经理、交付运维等Base地多多，覆盖南京、成都、北京、厦门、郑州、南宁、海口网申8月22号正式启动，填内推码可以私聊我查看流程进度，26届的兄弟抓住这波机会了，早投早笔试

安全真的太难了二面主管面1h 0.5h技术面➕0.5h职业面在攻防演习中负责什么部分打点是手工呢还是利用什么工具让你攻击我们公司，有什么思路一个登录口要怎么渗透xss除了窃取cookie还有什么打法文件上传遇到waf要怎么绕过shiro有没有了解过？shiro是怎么修复漏洞的？key应当怎么存储？存储在内存中有什么缺陷？内网横向移动有没有遇到过获得了明文密码去横向时无法登录的情况域控怎么打获得域管后要怎么扩大权限？域控怎么控制域内主机的？什么协议什么端口？当域内主机把这个端口封了，你有域管和哈希，有什么打的思路edr绕过有没有了解java了解吗？开发语言会哪些个人职业规划如何看待团队和平台日常的兴趣爱好个人有什么不足期望薪资期望地点如果在深圳的话期望薪资是多少家庭地址如何评估你所做的工作，希望领导以什么样的方式来评估你的kpi？如果在一次攻防中，做了很长时间却没有什么漏洞结果，如何评估你所做的工作成绩？领导可能会认为你只干了苦力活什么成果都没有，你应当怎么做？漏洞越挖越少，以漏洞结果来评估是不是不太合理？长期的苦力活或者是没有获得很好的成果也就没有了正反馈，对工作感到无味，应当怎么办

2022届秋招，面试30余家公司安全岗，呕心沥血总结面经   本人本硕安全专业，了解web安全和内网渗透，从7月1日奇安信第一个面试开启了秋招旅程，8月整月都在面试中，9月已躺平，不过还是有面一些补录，更新一下。现分享本人面经，给安全圈的求职者一些参考，大部分问题自己有搜索相关答案参考，若无可自行搜索了解。最后，也希望大家在安全职业发展上给我一些建议。       10.12 阿里 安全工程师 10.22 二面   web安全 ，合规。一面问web，二面问内网。    1、跨域相关的内容   jsonp：如何实现跨域带第三方cookie？   跨域资源共享CORS   Ajx跨域请求ACCES...

2023秋招补录。1面，1小时Linux 如何在www文件夹下搜索含password关键字的文件 grep findDocker 指令含义 copy pull build …常见的内网IP段有哪些TLS（访问google.com的全过程）HTTP & HTTPShash和加密的区别hash 破解问题 如何缓解逆向查询hash 长度扩展攻击XSS 原理 分类 存储型和DOM型的区别sql injection 原理 出现在哪里 现场写 报错注入payloadCSRF / SSRF 原理CDN 识别 绕过WAF 识别 绕过SSO内网横向移动 mimikatz使用商城网站如何信息收集session和cookie的区别进程 线程 区别电商平台 优惠券设计有什么潜在安全问题race condition 如何处理python 正则表达式的潜在安全问题python gli锁Java反序列化漏洞了解多少jwt滑动验证码可能存在的安全问题JavaScript 现场审计代码潜在安全问题 写 xss payload开放问题：1. 超大数据集如何处理去重（内存角度）2. 作为甲方工程师，面对突发性0day漏洞曝光如何处理SDLC基本都是根据简历 SKILLS 栏目问的题，加上经典计网计操题目，OWASP Top 10 漏洞原理利用

贴一下我自己找的一些安全面经：https://github.com/h4m5t/Sec-Interview         技术面试问题     CTF     说一个印象深刻的CTF的题目     sql二次注入      Python     爬虫模块、框架、反爬虫机制（IP->代理池、验证码破解、UA）    并发(多线程、线程池、协程、三个程之间的区别)    常用的标准库    DJANGO和FLASK区别和使用    ORM    python安全工具编写/源码阅读    证明能力     密码学     RSA    DES    AES    国内SM系列     风险评...