腾讯安全实习 应用运维安全面试

大二的暑假让师傅们帮忙内推一下暑期实习，简历被丢到腾讯简历池里面被捞起来一次，但是那个时候大三刚开学，想着还是多学点技术，沉淀自己的想法婉拒了腾讯面试官。昨天简历又被捞了起来，虽然已经决定大三下好好学习考个研究生成为村里的唯一一个研究生（滑稽

主要还是想看看腾讯面试的水平，前一天在网上搜了一下应用运维安全这个岗是做啥的：

https://www.nowcoder.com/discuss/164645

感觉偏向于安全开发

https://prontosil.me/posts/ddd168ac/

其他的面经：

https://0x0d.im/archives/school-recruit-interview.html

等到第二天三点，面试官说临时有会议，面试改到四点，去b站看了会视频，到了四点就准时电话面试了。

大概回忆一下问的问题，都比较常规：

• 先做一下自我介绍吧

  (你好我是xxx，是来自xxx，我xxx balabala)

• 看到有做过扫描器，说一下扫描器的流程吧

  (然后我就噼里啪啦xxx)

• 说一下SQL注入是怎么检测的吧

  (SQL注入的类型，根据不同类型进行不同的方式检测balabala)

• 对于一个URL是通过爬虫爬取检测链接的吗

  (使用深度优先遍历 balabala)

• SQL注入的原理

  (由于程序员相信用户输入或者过滤不严格导致xxxxx)

• 对于SQL注入的防御手段

  (统一参数入口，过滤，开启GPC，加强程序员的安全意识balabala)

• 讲一下SQL语句参数化查询吧

  (emm，xxx)

• 对于GPC有什么绕过的办法吗

  (宽字节注入，$_SERVER字段不受限制balabala)

• 简述一下XSS漏洞的防御吧

  (关键字过滤，httponly缓解，CSP内容安全策略，加强开发人员的安全意识)

• 怎么才能根除XSS漏洞

  (建立SDL安全开发流程 ，规范化安全体系balabala)

• 对开发人员应该培训一些什么

  (不要信任用户的输入，规范编码，统一入口xxx)

• 看你会代码审计，说一下追的一些框架漏洞吧

  (这个没追过，之前审的都是原生的balabala，跟简历上写的会简单代码审计不冲突)

• 讲一下逻辑漏洞的挖掘吧

  (之前在实习的时候balabala)

• SSRF无回显的时候应该怎么探测内网信息

  (SSRF内网探测,balabala)

然后就结束面试了

后面面试官说这边想要代码审计的实习生，我偏向于做黑盒渗透和安全开发，就没有然后了，戴上我的痛苦面具

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/13968721.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！