深信服安全服务-安全运营工程师 2024届校招面经

最新推荐文章于 2025-06-11 13:55:36 发布

原创最新推荐文章于 2025-06-11 13:55:36 发布 · 2.6k 阅读

49 ·

CC 4.0 BY-SA版权

文章标签：

#安全

前言

9月底，我参加了深信服安全服务工程师的线下面试，目前已经收到了offer，以下我会分享安全服务工程师的面经。当时的一面二面还是HR面是一天面完的，早上10点是第一面，中间休息了15分钟紧接着是二面，一面二面合在一起有两小时，然后下午2点HR面，就结束了，整个过程还是比较艰辛的。

面经

一面

我之前是在某二字大厂实习过，所以一面大部分在聊实习经历，整体比较轻松，问题也比较简单。

1、询问实习经历，都做了什么？有什么收获？同事怎么评价你？

2、实习期遇到什么困难？如何处理的？

3、你对你的实习期满意吗？为什么？

4、平时挖掘过漏洞吗？讲讲你挖SRC的思路？

5、挖掘过什么框架的漏洞？利用过什么EXP？

6、做过完整的渗透测试吗？流程是什么？

7、询问我的sql注入检测工具项目，过程，如何学习完成的？

8、询问项目的代码量和使用的python库

9、Sqlmap可以提权哪些数据库？

11、了解过orcale数据库提权吗？sql注入可以提权orcale吗？

12、sql注入当你发现某个字段存在注入点，如何查询某张表的某些字段？

13、了解过反序列化漏洞吗？

14、讲一讲shiro反序列化的利用链和防御方法

15、平时时如何自学web渗透的，每周大概学习多久？

16、觉得当客户提出了一些问题或需求，但实际上和我们公司关系不大或者毫无关系，你会怎么办？

17、你觉得如何高效的和客户沟通、处理可以的需求？

18、你觉得你的优点是什么？为什么?怎么证明给我看？

19、反问（我问了工作内容）

二面

二面感觉上了压力，问的比较深，追问了很多问题的细节，以下我会列出问题的大致方向

1、哪些漏洞可以直接或者间接方式可以getshell（问了很多很多细节，漏洞面一定要广，还要了解利用过程）

2、XSS可以打内网吗？

3、通过文件上传漏洞getshell的条件有哪些？

4、当你成功上传一个shell，但是上传shell的目录没有读取的权限，你有什么思路？

5、jsp，asp，php代码执行/命令执行函数，木马等

6、RCE漏洞、Apache log4j2远程代码执行漏洞

7、应急响应的流程（追问了很多细节，给了一些应急场景，询问你的思路）

8、当发生了应急响应事件，内网有很多台主机，你如果判断此事件与某台主机有关系？

9、研判、溯源。

10、APT攻击

11、防火墙可以防御哪些攻击？防御攻击的原理有哪些？

12、下一代防火墙和传统防火墙有什么区别？

13、了解病毒吗？病毒的传播途径有哪些？

14、了解挖矿吗？知道挖矿的原理吗？如何排查挖矿进程？

15、感觉你对于渗透测试了解多一点，你觉得怎么样学好渗透测试？

16、如何在短期内学习网络安全？

17、如果让你带领你的学弟学妹们学习渗透测试？你觉得学习的重点是什么？

18、将来打算做哪一个方向的安全？

19、反问（因为我觉得我应急回答的不好，所以问了如何学好应急）

HR面

现在很多公司校招不仅看重技术，还看重个人的价值观、综合能力等，所以HR面不能太随意，回答问题一定要思路清晰，有理有据，把自己的优点完美的展现出来。

1、恭喜你通过前面几轮的面试，想必之前的面试官都和你讲了此职位具体做什么了吧，可以简单介绍下吗？

2、你是通过哪些渠道了解到我们公司？

3、你知道我们公司的主要业务有哪些吗？

4、这个实习经历你有什么收获？

5、实习期间加班多吗？

6、实习中有没有遇到一些困难？如何解决的？

7、你觉得你做过最有成就感的事情是那些？

8、你觉得你个人在做人做事方面有哪些优缺点？（注意是做人做事、优缺，四个方面来回答）

9、平时有什么兴趣爱好？

10、读过哪些书籍？

11、女朋友相关

12、你有哪些工作意向城市？

14、你想过以后去做什么？

15、为什么不选择考研？

16、你对薪资有什么要求？

17、你对我们公司校园招聘有什么建议吗？

18、反问