阿里云 安全一面凉经 攒人品

面完官网状态就挂 自动换了个部门投递

这里我要说的一点就是，那些招聘的岗位职责岗位描述真的都很假。
这里阿里云的安全工程师职位要求
【必备项】
1、熟识计算机网络，具备Linux环境下C/C++开发能力，至少掌握Perl/Python/Shell一种脚本语言；
2、熟知Web安全，了解当前流行的Web漏洞（XSS, SQL Injection, CSRF, etc.），了解Java开发框架（Struts, Spring, iBATIS, Hibernate,etc.）；
3、具备服务端开发经验，熟悉Java、Spring框架、分布式技术栈，了解消息队列、分布式事务、docker容器、微服务原理；
4、具备Windows客户端安全攻防的经验，或了解Android/iOS无线客户端安全；
5、了解Linux系统管理和网络管理相关操作，了解Linux系统的安全漏洞，有Linux exploit code/shellcode编写经验；
6、熟悉TCP/IP协议栈和路由交换原理，熟悉企业级服务器安全 ；
7、熟悉数据分析或机器学习，并且有过安全领域的实践；
8、精通SQL，掌握Hadoop、Hive、R或相关大数据工具的使用方法；了解Scrapy、Selenium等爬虫框架的工作原理；
9、熟悉常用深度学习工具pytorch和tensorflow等至少一个的使用，能快速验证算法的可行性；
10、熟悉图像/视频/音频的编解码、处理、分析、建模和语义理解等相关技术，熟悉OpenCV的使用，具有信息论知识背景更佳；
11、熟悉密码学基础理论；同态加密、多方安全计算、本地差分隐私、密码工程优化、白盒密码、商密认证、SGX；
12、学习能力强，对新事物保有好奇心，并能快速适应新环境；良好的沟通能力和团队协同能力；能与他人合作，共同完成目标；对所在领域有热情，善于独立思考并反思总结。

【加分项】

1、在校园或互联网公司有相关实习或项目经历。

但是我想说的是 实际上 这里边的几乎都没问到。
比如：c++ 八股 linux 相关 TCP、IP，数据分析和机器学习。pytorch 密码学 opencv 

我个人比较重视阿里云的面试。对着他的岗位要求 看一些这种相关的东西。
反而忘掉了很多跟安全、渗透相关的。
毕竟现在找工作。也不会去挖src 。没时间了。很多漏洞细节都记不清楚了。

这些岗位要求 估计都是hr胡写的。有点坑人。
不知道的还以为这个岗位是和一些ai 深度学习相关的呢。但是面试压根没问深度学习什么的。害我准备错了方向。

主要问了这些问题：

自我介绍

还是mysql 命令注入，怎么提权。数据库rce。

还是问了好多数据库渗透的场景题。

如果你能sql 注入来命令执行 如何判断受害者机器可以出网。

如何判断命令执行成功。有waf怎么绕。

如果站库分离怎么办

java反序列化的深入了解。不止于工具使用。

java反序列化的common collections利用链 。ChainedTransformer类。

readObject 。说了一些java的利用链，12345什么的。问原理，问源码。

问的很深很深。
怎么绕waf
shiro的poc shiro 反序列化如果waf限制长度 怎么打进去

如果你能反序列化打进去 如何判断机器是否出网。

问蓝队应急响应。

场景题很多。想不起来了一些。下次录音 唉 老是忘

你有一个主域名 怎么去制定方案渗透。

问内网。内网横向移动。内网信息收集。

学校打ctf的经历

深挖免杀的项目。

反沙箱

你的免杀 能过360吗。是不是过的动态

多久失效

你想对于其他人 你的优势在哪里。

面试官委婉说我实战经验可能还要多做（觉得主要说的是web）。指出了一些不足。
我觉得他意思是我比赛打得少。我src挖的多，。有很多面试题，实际src漏洞挖掘根本用不上。你能懂的。
比如mysql提权 springboot漏洞 你不可能找到这样的src 。很多这种都是程序员犯剑自己改了设置。默认都是安全的。
实战？实战怎么会碰到？实战数据库还想提权还想rce？

对挖src没怎么问。唉，。反正准备了很多 偏偏都没用上。

才30min。。。

面试官说话有点口音和含含糊糊。老是听不起他说啥。
是电话面 总感觉阿里系的面试就是信号不好。怪烦人的
不过总体人比较好。能让我把话说完。

最近没怎么准备安全的东西了。准备转开发。

安全就业会越来越难。即使你面试答得好 也会排序挂 也会因为没有hc或者hc很少挂掉。
逐渐接受自己是个普通人吧 。将就着过
这个世界99%的人不管怎么努力怎么挣扎都是一样的