山大地纬软件股份有限公司

一面 自我介绍哪些途径学习网络安全知识简述XXE漏洞原理、利用文件上传漏洞绕过方式中间件解析漏洞有哪些Java反序列化原理反序列化漏洞有哪些Last -f的f是什么意思Linux有哪些日志，怎么看？Sql注入解释一下？Sql注入防御？二次注入了解吗？MSSQL、Oracle、MySQL等数据库有了解吗？怎么判断当前的是什么数据库？宽字节注入解释一下？ 平时写什么编程语言比较多？ 平时怎么自学安全？有别人带你吗？

自我介绍topsec实训经历，主要学习为主还是真实的项目？详细说一下印象最深的渗透测试经历sql注入：基于什么数据库，sql注入漏洞产生的原因sql注入的三大手法，除了这三种还有什么dns盲注的使用前提：只能针对win进行复现二次注入xss漏洞的理解：原因及危害xss的三种类型dom和反射型的本质区别，是否经过服务器除了获取cookie还有什么攻击思路吗-xss获取管理员的账号密码-获取ip，劫持表单，鼠标点击流量，截图开发方面：工作是渗透和武器化爬网站时需要引入的访问的库：request库php反序列化漏洞java反序列化调用的方法免杀有了解过吗怎么判断自己在内网环境使用过那些漏洞攻击域控cs用过吗你有什么想问我的吗

从投递简历到面试大概是两周左右，现在面试已过一周，暂无确切消息。写完面经就去给hr发消息了。言归正传，没笔试，直接boss上hr约的视频面试，时长大概半小时，部门主管和hr一起面，没开摄像头。自我介绍结束后，主管对我所做的一个省科技厅项目很感兴趣，仔细地问了。随后，他介绍了一些公司的主要工作方向。我提了两点问题：一是安全服务和安全研究工程师二者的区别，因为我在初投递简历的时候，hr说前者投递人太多，建议我考虑后者；二是贵公司是否加班。以及，我希望可以在靠南方的地方工作。希望我可以通过吧，最后，祝愿大家都能找到心仪的工作！

初面：自我介绍。纯聊天，做的方向不是很匹配，就开始说他的部门方向，以及让我介绍下我的研究方向，还夸赞了我一波，这个面试官很nice，不懂也不会深问别的，所以18分钟就结束了，流程到复试中了，不知道会不会有二面。

本人是23届毕业生，有半年左右网络安全服务实习工作经验。2023年11月28日在BOSS投递后2023年11月29收简历，通过后邀请2023年11月30日参加笔试，是考试星+腾讯会议视频监考，笔试通过之后，2023年12月5日约2023年12月7日面试，需要准备自我介绍PPT10分钟。2023年12月7日参加面试前先参加机试有两个小题，第一个是使用一个windows的文件监控软件（英文）去捕获doc文件压缩成zip文件的底层文件操作，然后做分析；第二个是写一封电子邮件教客户用上面那个软件。笔试通过后在会议室对着三位面试官进行自我介绍PPT的演示，演示结束后简单进行一些交谈，有问到很多网友提到的三个优点一个缺点，其他的记不清了。2023年12月13日询问面试结果告知：与岗位匹配度不高，岗位停招，所以面试未通过。至此，满怀的期待落空咯，看看其他机会了。

技术面3轮，基本先芭拉扒拉自我介绍了下，根据简历上写的问了一些项目细节，常规性问了下最新的WEB打点相关、中间件漏洞利用及一些难点如何绕过等等，最后问了下内网免杀，代码审计等，感觉是自己的弱项，最后和面试官交流了下公司福利待遇情况，出差补助，是否加班、项目奖励等情况，还不错。感觉技术氛围比较浓厚，薪资也还可以，希望对自己的成长有帮助。

本来是没有约上面试的，面试截止时间错过了，但是后来，sxf打电话给我，询问原因，我说我没看邮件错过了。安排了第二天的面试，面试官是一个战队的大牛，开始师傅进行了介绍，我也进行了自我介绍，询问我的校园经历，在学校的时候，是否挖到过一些漏洞，做没做过靶场练习，因为我大学期间参加了工作室，询问了在工作室的经历，学习什么干什么等等。因为自己没有挖到过漏洞主要是打ctf，师傅对漏洞的挖掘和实战的攻防比较看重。对ctf不太敏感。个人觉得还是要提高自己的挖洞和实战能力。对编程语言的要求还是比较高的，尽量要拿出自己实际的项目，太简单的看不上的。综上所述，应该知道我的结果了吧，差的有点远收到了感谢信。但是面试下来感受不错，最后我询问的问题就是“此刻的我应该在准备哪些技术是企业所希望看到的？”给出了中肯的建议