绿盟科技面试经验

从智联上看到的，面试的是办事处的安全工程师岗位。第一轮面试是直属领导的技术面，问了网络基础知识，VRRP协议，熟悉的操作系统，常见的漏洞原理与防护方法，自己所熟悉的拓扑类型，产品等。大概聊了有一个小时。半个月后通知一轮面试通过，并且初步确定薪资。接下来是区域代表面试，HR面试，以及VP面。后边的面试基本不涉及技术，主要是了解下个人的情况，比较轻松愉快。然后就是人力具体介绍薪资待遇，确定入职时间，发放offer。

绿盟科技：２５钟１、自我介绍２、sql注入攻击是什么３、应用有漏洞，无法修复和停用，你怎么办？４、php反序列化漏洞的原理５、你了解的常见的数据库的端口号是多少。６、加密算法有了解吗？７、bp加密用什么模块８、说几个业务逻辑漏洞

1.自我介绍2.印象深刻的一次渗透3.渗透测试的流程4.SQL注入原理，及常用payload(手写-爆表名)5.SQL注入空格不能使用如何绕过6.SQL注入防御，延申预处理不能预防哪些注入7.同源策略8.a.baidu.com和b.baidu.com是否同源9.SSRF原理，利用10.攻击redis的方式（手写payload）11.CSRF的原理及防御12.一种特殊的CSRF场景：后端只解析json格式的时候如何利用CSRF(非更改Content-Type)13.SameSite14.DNS Rebinding15.Fastjson反序列化及如何修复16.子域名枚举用过那些工具，原理是什么，如果出现了任意子域名都返回200是什么原因？17.Java学到哪种程度了？

一面： 1：自我介绍2：介绍sql注入原理、XEE原理、请求走私原理及修复方案3：介绍文件上传漏洞原理及waf绕过方法4：云waf是什么，如何进行绕过，CDN是什么，绕过方法有哪些5:  JSONP劫持是什么、防御方法是什么6：反序列化是什么原理、各个语言的反序列化函数、使用过ysoserial工具7：xss的防护方法有哪些，要是有了httponly是不是不能xss绕过了呢8：印象最深的一次渗透项目是什么9：印象最深的CVE漏洞是什么10：印象最深的漏洞什么11：拿到一个站点，如何进行渗透问了这些问题之后，然后问我有什么问题，大概聊了快40min之后，过了一天让我准备第二次面试1：问到简历上的东西，做过的渗透项目主要负责什么内容2：有没有做过内网渗透，具体项目讲述一下3：做过代码审计么，具体审计步骤、有什么危险函数4：有参加过CTF比赛么，主要是什么位置，印象最深的经历是什么，最好名次是什么5：了解过容器化什么步骤么，讲一下docker逃逸漏洞6：了解应急响应么，如何进行攻击溯源，列举一个对攻击溯源的例子

1.自我介绍2.数据仓库的分层，以及为什么要做数据仓库3.数据仓库的血缘关系4.拉链表的实现5.hive的压缩格式和存储格式6.星型模型和雪花模型优缺点7.spark和hadoop的区别8.spark数据倾斜发生原因及解决方案9.spark的新特性AQE和DPP10.kafaka的特性11.kafaka为啥不能读写分离12.sql索引作用13.联合索引的使用14.窗口函数15.redis的一些内容16sparkstreaming和flink的区别17.平时怎么学习技术的18.情景题 left join on和where两个语句的区别

211硕士，面试岗位，北京绿盟华北产品交付部安全工程师。首先感谢学姐给的内部推荐，一共经历两轮面试，都是电话面试，一轮技术面，依据简历对有关网络基础知识考察和网络安全技术考察，题目:1.BGP的路由属于有哪些?2.SQL注入产生的原因?3.XSS的分类？4.XSS产生的原因？ 第二面是HR面试，由于第一面面试官反映较好，所以HR面试仅仅只是闲聊。本来说安排第三轮面试，后面回复说无需安排第三轮面试。等了接近一个月就收到offer了。工资就同行业来说较为少，但是好在上班时间较为轻松，每周五天上午9点到下午5点，具体是否需要加班需上班后才能确认。就学姐透露内部非常完善的学习资料可以学习，因此对于我个人而言，可以有充足的时间进行锻炼和学习。