Fork me on GitHub

腾讯实习安全岗面经

前段时间投了份腾讯安全实习岗的职位,笔试感觉覆盖的范围比较广,包括了web,linux,c,ios,安卓,逆向等知识。当时答的时候感觉一直在被虐,当然也有一些比较简单的题目,当然放在多选里面(不选全不给分的多选就很方……)。后来诡使神差的给了面试的机会。一面二面的竟然都安排在了同一天,一面当天下午5点多,二面当天晚上九点多。不得不说腾讯的效率好高啊!下面就凭着自己的记忆,好好回忆下腾讯的笔试和面试题。

笔试

选择题

比较多,忘了……

填空题

1
2
3
4
5
1. linux 启动时需要从哪个文件夹读取文件系统
2. python os库三种执行系统命令的方式
3. 三题逆向都涉及汇编代码,不会......
4. ssrf 提交post请求的方式
5. 询问ip地址的mac地址协议是:

简答题

1
2
3
1. 获取了DMZ区域后的一台服务器,有哪几种搭建稳定的控制和数据流隧道来实现扩大利用战果的目的

2. 现在的人工智能AI语音助手比较风靡,试从攻击面和防御机制两个方面探讨AIOT应用设备

一面

整个一面的小哥哥人特别的随和,问的问题基本也是根据简历所写展开了问。基本就是提出一个点,让你去展开说,看知识面,然后他会选择性进一步问你某个技术细节,考验知识的深度。

    1. 为什么会走上安全这条路?
    1. 说说你理解的安全是什么?
    1. 你比较擅长于渗透,代码审计还是其他方向?
    1. 聊聊你理解的web安全,列举一下你知道的漏洞?
    1. 我们来深入聊聊csrf和xss(回答了二者的原理,xss的类型,二者的区别,二者的防御手段)
    1. 你提到了DOM 型xss,那么你给我解释一下DOM型xss和和反射型xss的区别,dom型xss的防御手段除了你提到的CSP策略以外还有什么防御的手段?
    1. sql注入的理解,种类,怎么防,预编译是个什么机制,为什么预编译可以基本上解决sql注入,预编译和服务器进行了几次交互?
    1. 聊聊SSRF吧(原理,攻击利用方式,哪些防御措施)
    1. SSRF有哪些常见的绕过?DNS Rebinding怎么防?
    1. XXE呢?有什么自己的看法和见解?
    1. 我们来聊聊命令注入吧,聊聊你理解的命令注入,命令注入你怎么防?
    1. 听说你渗透流程有一些理解,那么如果是你,你会选择攻击些什么东西,如果让你去攻击腾讯你会选择从哪些地方下手,说说你的思路吧?
    1. 如果你拿到了你想要的东西,你怎么把东西给安全的传出去?然后呢?
    1. 看你简历上你有写在一些网站发过一些文章和SRC发过一些漏洞,能够给我说说一些细节吗?比如写的文章是哪些方面的,都提交过哪些漏洞,说说自己找洞和提交的过程吧。
    1. 下面就是巴拉巴拉聊项目经历,特别问了腾讯前端代码混淆的那个项目是个啥?然后说说项目进展,你在项目中负责哪一块,在项目中有没有提出什么改进性的意见?然后说下你在项目中遇到的一些问题,就那你暗网那个项目来说一下吧,以及你是如何解决这些问题的?

二面

二面和一面埃得比较紧,而且没有短信提醒,直接一个电话打过来,自己当时还在回宿舍的路上。而且奔波了一天,头脑不是很灵光,感觉二面我整个人有点铁憨憨。然后就是整个二面的过程问的问题都是比较开放性的问题。

    1. 举一个你觉得特别能体现你能力的一个渗透场景说一下吧
    1. 对代码审计这一块有什么比较独特的见解吗?说说你是怎么做代码审计的吧?黑盒还是白盒审计做得多,都用过哪些审计工具?xxxx,xxxx,白盒审计的工具有使用过吗?
    1. 你比较希望自己以后从事哪个方向?对这个方向有比较深入的理解吗?或者说你有什么相关的方法论吗?
    1. waf有理解吗。说下你理解的waf机制,说说你在渗透测试的时候有尝试去绕过waf吗?
    1. 说一说你理解的逻辑漏洞有哪些吗?
    1. 我听说你对机器学习还有一些了解,你能说下你都知道哪些算法吗?你有实际使用过类似的算法做过什么项目吗?
    1. 我还看到你说你对linux c有一些开发的基础,能够给我说说你做过哪些项目吗。
    1. 感觉你平时参加了比较多的项目活动和经历,会不会觉得自己弄得有点宽,不够精,你是如何安排自己的时间的?
    1. 平时加入过哪些社团活动,有什么兴趣爱好吗?

总结

面试完腾讯以后,发现自己的确还是有很多东西需要去深入学习,一面感觉还好,但是二面就被这问题的阵势给吓住了,人生第一次面试经历献给了腾讯,还是很希望能够得到鹅肠的实习机会。不过不得不说,面试也暴露出了自己不少问题,很多问题后来思来想去应该会有更好的解答,临场发挥还是比较重要的。如果最后没过,可以积攒一波面试经历也未尝不是件好事。“革命尚未成功,同志仍需努力!”

-------------本文结束感谢您的阅读-------------