讨论/求职面试/阿里云|安全开发|一面、二面、三面(已收到意向书)|2021|/
阿里云|安全开发|一面、二面、三面(已收到意向书)|2021|

个人情况


本科双非,考研上了北邮,目前研二。先找了某安全公司的日常实习(线下一下午,一面、二面、leader面、HR面,过了就去了),3月16日申请了阿里云安全开发暑期实习,4月14日收到意向书。

简历重点


WEB安全、Python、软件著作权一项、实验室的漏洞挖掘项目和字节跳动安全与风控部门寒假训练营(所在小组获得第一,所以就写上去了,上了研究生才搞的安全,实在没什么好写的)。
字节跳动训练营是给了网站,挖漏洞,搭建WAF防护该网站,搭建WAF管理平台。
实验室漏洞挖掘项目是针对SDN的南向协议OpenFlow进行漏洞挖掘。

一面


自我介绍一下,讲一下课题和课外实践?

WAF管理平台后端API有做过压力测试吗?

你现在的论文已经发表了吗?

你的毕业论文是什么?

在字节跳动训练营最大的收获是什么?

在研究生期间或日常生活中有什么可以分享的有意义的事情?

快排的时间复杂度是多少?

最快的情况下是多少?是什么样的情况?
最慢的情况下是多少?是什么样的情况?

哈希冲突有哪些解决办法?
编程题(easy)

二面


自我介绍一下?

我们这里是密码管理服务,密码这块你了解多少呢?

你未来计划更偏向于安全研究还是安全研发?

你对云上PKI的安全,身份认证的能力感兴趣吗?

介绍一下字节跳动训练营做了什么?

Sql注入的原理和防御方案有哪些?

WAF防护SQL注入的原理是什么?

本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?

漏洞挖掘是纯工具还是有一些手工的?

WAF管理平台后端API有哪些功能?

WAF的增删改查数据量大吗?

Redis解决了什么问题?

热点数据怎么保证redis和db中的一致?

用户登录认证是怎么做的?

Token的安全怎么保护?

Token的内容该如何设计?

怎么保证数据不被篡改呢?

SDN漏洞挖掘的思路?

漏洞挖掘有挖掘出RCE漏洞吗?

对栈溢出、堆溢出有研究吗?

说一下https协议的过程?

随机数一般有几个?

如果有一个的话会如何?

对C++或C熟悉吗?

哈希表的原理和冲突解决办法?(和一面重复了)

Mysql查询快的原因?

事务的四大特性,mysql隔离级别?

解释一下乐观锁和悲观锁?

多并发编程有涉及过吗?

读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?

有一项软件著作权,做的什么软件?
编程题(medium)

三面(交叉面)

字节跳动训练营越权问题解决办法?

WAF都是自己写的规则去防御吗?

任务都是一样,你们得了第一,你们团队做的好的地方在哪里?

SDN漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?

Python2和Python3的区别?

Xrange和range返回的是什么?

数据库索引的作用?mysql索引的变化?
数据库弱口令,登进去后如何提权?
你自己写项目的时候,怎么进行的 SQL注入防御?
怎么进行CSRF防御?

Token加密什么东西?

校验什么? 

Token为什么需要加密?使用明文随机数可以吗? 

怎么防重放攻击 ?
Docker有哪些安全上的好处?
个人发展方向?
当前在哪里日常实习?

实习多久了?为什么想来阿里?

HR面就是聊聊天,就不放了。
祝大家早日上岸,斩获大厂offer,个人博客,大佬们有空来逛逛呀,Python和WEB安全相关的可能暂时不更了,阿里这边是密码安全和go,在转go,冲冲冲!请大佬们推荐一下go学习资料、书籍,谢谢!

10

大佬这么强,学啥肯定都很快的,个人觉得最好的材料就是官方文档

  1. 入门可以看:
  2. 进阶可以看:
1
展开全部 2 讨论