网络安全23届求职流程
实习阶段
在这一个阶段我投递了四个企业,按照时间顺序为阿里巴巴、微众银行、华为和腾讯,时间跨度从三月到五月中旬收获实习offer,历时两个半月。
阿里
在阿里巴巴我主要投递的是 CRO线-安全工程师 ,负责整个集团的基础建设这一方面。
阿里可以说是对人才的要求比较高的,那时候在学长的内推下投递了个人简历,后面也如约进入到面试阶段。一面面试官很和蔼,整体上的面试过程很和谐。面试要点记录:
自我介绍(学历、项目经历简介)
接下来就考查知识点了,我在简历中说熟悉web安全,有SQL注入/XSS,然后面试官问我xss如何防止获取cookie。我想了半天可能只能想到在前端中转义过滤可疑字符(单引号等)、或者添加双写绕过。面试官笑了笑,示意我继续说下去,然后说还是比较浅,角度刁钻了些。
是否会JAVA?
了解过什么中间件,都有什么好处?
了解了我所涉及到的项目,提了几个问题。
重点在手撕代码环节,面试官考的是代码审计,由于楼主主要用的python技术栈,对php相关的审计没有了解过。问题详解可以参考我另一个链接:
总的来说,阿里考察的比较全面,更侧重实际分析解决问题的能力,大概是需要那种来了就能干活的人。不出意外,挂了。阿里CRO线为整个集团服务,提供安全基建,可能更看重JAVA相关的基础,当然py肯定也需要会的,以及一点点代码审计的能力。
题外话,内推我的人和面试官都是我的校友,当时和面试官聊了聊,更发现我和他的导师是同门师兄弟,这样四舍五入我和面试官也有关系了hhhh。面试官提了很多学习成长方面的建议,也算是受益匪浅吧~
微众银行
在3月末投递微众银行后,收到了笔试邀约,我投递的是 信息安全工程师-反欺诈专员 。
笔试主要考察用户通过银行业务建立机器学习模型从而风控的能力,以及基础的SQL语句编写。需要阅读场景材料,然后问你如何从建模的方面来开展相关工作。
我自己认为当时答得还可以,金融科技一直是我很感兴趣的方向,之前还发现过银联云闪付的相关漏洞。
但是自从提交过笔试材料后,一直处于用人部门筛选的阶段,一个月后仍维持此状态,通过邮件反馈依然无果:
华为
投递华为也大概是因为17级的学长在华为ICT线部门任职,有一天突然在群里说华为的勇敢星计划开始招聘了,你要不要来试试。
于是楼主投递了东莞的网络安全某部门(保密需要),华为对应的岗位为 网络安全与隐私保护工程师。
华为需要经过一轮上机笔试、两轮面试和综合测试以及保密协议承诺。
一面的时候,面试官为某产品线的部门主管,工龄17年。一开始的时候,面试官说我们的对话大概会进行1个小时,然后他也自我介绍了下(这点真的很重要的,就感觉受到了同等程度的尊重吧)。
部门主要从事的5g网络下的网络安全研究,也涉及到sdn和工控安全的相关概念,有点类似于为华为整个设备的安全产品服务。一面主要问题如下:
有没有了解过os安全
aes算法怎么写,简要概括,画图
机器学习常见算法简述
介绍项目,遇到了哪些问题?如何解决的?
写一写常见的排序算法。
挖掘银联src的经历?如何从客户端和服务端防御?钉钉和微信在相关方面又是如何做的,为什么他们做得好?说的比较细并且得到了赞许,思考全面。
ctf经历?有没有常见的工具?
常用的技术栈,python?
后面就随便聊了聊,5分钟后收到通过短信。
二面在第二天,主管面的问题,大概半小时:
职业规划
常见的加密算法,我回答了RSA,他又问了RSA的用途,我就说了数字签名什么的,然后他让我解释了下数字签名原理
平时如何学习
最近看了什么书/论文
你英语水平怎么样
你如何证明你组织能力强
你的创业基金申请人是怎么一回事
你的篮球水平怎么样
5分钟后收到通过短信。
29面试完,12号变的状态码,13号主管电话询问意向,16号意向书。至此实习offer拿到了。
我觉得华为今年大概很喜欢养鱼的样子,也有很多人简历投递在我前,但是我的流程走的比他们快,这也充分证明了内推的重要性。我二面结束到拿到offer一共15天左右,中间还有5天五一假期。群里的其他同学很多都是走流程动辄一个月,长的甚至有一个半月。
题外话:后面在学校线下的活动中现场见到了一面的面试官,很和蔼的一个人hhh,希望入职了也能同样如此。
腾讯
投递腾讯的时候大概已经比较晚了,所以也没有走任何流程,看来做什么事情都要趁早。
总结:
明确提前准备的重要性,对应大厂的核心要求,查漏补缺。
尽可能的找内推,或者牛客上的,群里的大多不靠谱。
打铁还需自身硬。
---------------------------------------------------------------------------------------------------
秋招:
由于六月和七月在华为公司实习,导致没时间补基础和处理八股文。
蔚来(提前批已挂)
校招-安全开发管理工程师
一面(7.12)
蔚来面试官看起来三十多出头,看起来很年轻的样子。看到我简历里写熟悉burpsuite等渗透工具的使用,所以问了一下导入CA的原理是怎么回事,以及认证和信任的过程,让我参考PKI体系。我当时回答得不好,现在想起来是基于非对称加密的数字签名机制。这里留个坑,我回头写写我的理解。
面试官对我的项目不太感兴趣,问了下详情就开始问渗透和密码学的基础了。确实是我回答的不好,挂了也很正常。
地平线
安全工程师(信息/功能方向)
8.8(一面)30mins:
问了很多项目上的问题,感觉答得还算不错。八股方面密码学问的比较多,考了非对称加密的典型算法RSA和ECC之间的原理和区别,以及汽车中重放攻击的解决方法。
然后问我机器学习的项目和国家重点研发计划的项目,以及问了我的漏洞是怎么挖出来的(CNVD)。
这里多嘴一句,传统的网络安全重放攻击会修改数据包的内容,再通过凭证来利用服务端漏洞来绕过验证。但是面试官告诉我汽车重放不是这样的,我就大概讲了我的思路。
四十五分钟结束,面试体验很良好。感觉地平线是一个很注重硬件+安全结合的芯片公司。
吉利
网络安全开发岗
8.10(一面)30mins:
自我介绍,项目简介。
问我了不了解汽车安全,我随口提了一个重放攻击和中间人攻击。问了我华为的实习经历和其他工作经历,还问了OSI七层和物理层存在的网络安全风险,以及泛洪攻击,以及这类攻击会带来的后果。在后面的反问环节,我主要问了你们公司和造车三大新势力有什么区别和业务上的联系,以及面试的该岗位的职能以及方向。
我感觉整个面试过程轻松愉快,大概聊了三四十分钟,结束。#提前批##内推##秋招##面经##网络安全#
在这一个阶段我投递了四个企业,按照时间顺序为阿里巴巴、微众银行、华为和腾讯,时间跨度从三月到五月中旬收获实习offer,历时两个半月。
阿里
在阿里巴巴我主要投递的是 CRO线-安全工程师 ,负责整个集团的基础建设这一方面。
阿里可以说是对人才的要求比较高的,那时候在学长的内推下投递了个人简历,后面也如约进入到面试阶段。一面面试官很和蔼,整体上的面试过程很和谐。面试要点记录:
自我介绍(学历、项目经历简介)
接下来就考查知识点了,我在简历中说熟悉web安全,有SQL注入/XSS,然后面试官问我xss如何防止获取cookie。我想了半天可能只能想到在前端中转义过滤可疑字符(单引号等)、或者添加双写绕过。面试官笑了笑,示意我继续说下去,然后说还是比较浅,角度刁钻了些。
是否会JAVA?
了解过什么中间件,都有什么好处?
了解了我所涉及到的项目,提了几个问题。
重点在手撕代码环节,面试官考的是代码审计,由于楼主主要用的python技术栈,对php相关的审计没有了解过。问题详解可以参考我另一个链接:
总的来说,阿里考察的比较全面,更侧重实际分析解决问题的能力,大概是需要那种来了就能干活的人。不出意外,挂了。阿里CRO线为整个集团服务,提供安全基建,可能更看重JAVA相关的基础,当然py肯定也需要会的,以及一点点代码审计的能力。
题外话,内推我的人和面试官都是我的校友,当时和面试官聊了聊,更发现我和他的导师是同门师兄弟,这样四舍五入我和面试官也有关系了hhhh。面试官提了很多学习成长方面的建议,也算是受益匪浅吧~
微众银行
在3月末投递微众银行后,收到了笔试邀约,我投递的是 信息安全工程师-反欺诈专员 。
笔试主要考察用户通过银行业务建立机器学习模型从而风控的能力,以及基础的SQL语句编写。需要阅读场景材料,然后问你如何从建模的方面来开展相关工作。
我自己认为当时答得还可以,金融科技一直是我很感兴趣的方向,之前还发现过银联云闪付的相关漏洞。
但是自从提交过笔试材料后,一直处于用人部门筛选的阶段,一个月后仍维持此状态,通过邮件反馈依然无果:
华为
投递华为也大概是因为17级的学长在华为ICT线部门任职,有一天突然在群里说华为的勇敢星计划开始招聘了,你要不要来试试。
于是楼主投递了东莞的网络安全某部门(保密需要),华为对应的岗位为 网络安全与隐私保护工程师。
华为需要经过一轮上机笔试、两轮面试和综合测试以及保密协议承诺。
一面的时候,面试官为某产品线的部门主管,工龄17年。一开始的时候,面试官说我们的对话大概会进行1个小时,然后他也自我介绍了下(这点真的很重要的,就感觉受到了同等程度的尊重吧)。
部门主要从事的5g网络下的网络安全研究,也涉及到sdn和工控安全的相关概念,有点类似于为华为整个设备的安全产品服务。一面主要问题如下:
有没有了解过os安全
aes算法怎么写,简要概括,画图
机器学习常见算法简述
介绍项目,遇到了哪些问题?如何解决的?
写一写常见的排序算法。
挖掘银联src的经历?如何从客户端和服务端防御?钉钉和微信在相关方面又是如何做的,为什么他们做得好?说的比较细并且得到了赞许,思考全面。
ctf经历?有没有常见的工具?
常用的技术栈,python?
后面就随便聊了聊,5分钟后收到通过短信。
二面在第二天,主管面的问题,大概半小时:
职业规划
常见的加密算法,我回答了RSA,他又问了RSA的用途,我就说了数字签名什么的,然后他让我解释了下数字签名原理
平时如何学习
最近看了什么书/论文
你英语水平怎么样
你如何证明你组织能力强
你的创业基金申请人是怎么一回事
你的篮球水平怎么样
5分钟后收到通过短信。
29面试完,12号变的状态码,13号主管电话询问意向,16号意向书。至此实习offer拿到了。
我觉得华为今年大概很喜欢养鱼的样子,也有很多人简历投递在我前,但是我的流程走的比他们快,这也充分证明了内推的重要性。我二面结束到拿到offer一共15天左右,中间还有5天五一假期。群里的其他同学很多都是走流程动辄一个月,长的甚至有一个半月。
题外话:后面在学校线下的活动中现场见到了一面的面试官,很和蔼的一个人hhh,希望入职了也能同样如此。
腾讯
投递腾讯的时候大概已经比较晚了,所以也没有走任何流程,看来做什么事情都要趁早。
总结:
明确提前准备的重要性,对应大厂的核心要求,查漏补缺。
尽可能的找内推,或者牛客上的,群里的大多不靠谱。
打铁还需自身硬。
---------------------------------------------------------------------------------------------------
秋招:
由于六月和七月在华为公司实习,导致没时间补基础和处理八股文。
蔚来(提前批已挂)
校招-安全开发管理工程师
一面(7.12)
蔚来面试官看起来三十多出头,看起来很年轻的样子。看到我简历里写熟悉burpsuite等渗透工具的使用,所以问了一下导入CA的原理是怎么回事,以及认证和信任的过程,让我参考PKI体系。我当时回答得不好,现在想起来是基于非对称加密的数字签名机制。这里留个坑,我回头写写我的理解。
面试官对我的项目不太感兴趣,问了下详情就开始问渗透和密码学的基础了。确实是我回答的不好,挂了也很正常。
地平线
安全工程师(信息/功能方向)
8.8(一面)30mins:
问了很多项目上的问题,感觉答得还算不错。八股方面密码学问的比较多,考了非对称加密的典型算法RSA和ECC之间的原理和区别,以及汽车中重放攻击的解决方法。
然后问我机器学习的项目和国家重点研发计划的项目,以及问了我的漏洞是怎么挖出来的(CNVD)。
这里多嘴一句,传统的网络安全重放攻击会修改数据包的内容,再通过凭证来利用服务端漏洞来绕过验证。但是面试官告诉我汽车重放不是这样的,我就大概讲了我的思路。
四十五分钟结束,面试体验很良好。感觉地平线是一个很注重硬件+安全结合的芯片公司。
第二天显示面试通过。
8.16(四面) 25mins:
hr面试,聊的还挺好的,应该问题不大了
吉利
网络安全开发岗
8.10(一面)30mins:
自我介绍,项目简介。
问我了不了解汽车安全,我随口提了一个重放攻击和中间人攻击。问了我华为的实习经历和其他工作经历,还问了OSI七层和物理层存在的网络安全风险,以及泛洪攻击,以及这类攻击会带来的后果。在后面的反问环节,我主要问了你们公司和造车三大新势力有什么区别和业务上的联系,以及面试的该岗位的职能以及方向。
我感觉整个面试过程轻松愉快,大概聊了三四十分钟,结束。#提前批##内推##秋招##面经##网络安全#
传音控股工作强度 30人发布
投递传音控股等公司6个岗位
