首页 > 其他分享 >24年网络安全大厂原来都面试这些,附大厂面经下载链接

24年网络安全大厂原来都面试这些,附大厂面经下载链接

时间:2024-09-09 14:53:07浏览次数:13  
标签:24 漏洞 面经 安全 API 大厂 原理 治理

最近1-2个月小伙伴们因为裁员或其他原因,都在面试,以应用安全为主。所以24年甲方大厂都在面试什么呢?这里供为参考

安全的行情确实不太好,讲明白简历上的项目和内容才是最为重要的。

面试资料,里面含有蚂蚁p9对于职业规划和面经分享,包含各种安全岗位

面经资料下载链接:

面经资料下载链接: 夸克网盘分享

自我介绍要尽可能简短

STAR⾯试法

  • Situation(场景):描述你⾯临的具体情景或挑战。

  • Task(任务):阐述你的责任或需要完成的任务。

  • Action(⾏动):详细说明你采取了哪些具体⾏动来应对挑战或完成任务。

  • Result(结果):描述你的⾏动带来的结果,最好是具体的成果或学到的经验。

STAR⾯试法能够让应聘者能够更有条理的⽅式讲述⾃⼰的⼯作经验和成就,能够突出重点⽽⾮泛 泛⽽谈。也有助于⾯试官更好的额理解应聘者的真实能⼒和潜⼒。 

面试经历

虾皮

* 鉴权:

jwt 安全风险有哪些

oauth2.0 哪几种鉴权方式、存在安全风险

* 云安全:

AK轮转怎么做的?

AK最佳实践有哪些?讲述3条云AK泄露的最佳实践

S3治理风险

* Java:

预编译原理,和转义区别   哪些情况不能用

Log4j的利用原理, 利用Java版本限制,Java这个版本做了哪些限制

Ldap和RMI区别

* 其他:

你最近挖到最深印象的漏洞、spring actuator漏洞原理、

绕过WAF思路:超大数据包绕过的原理

Cookie和Session区别

滑动验证码和数字验证码技术原理实现

googleusercontent  和 githubusercontent  两个域名区别,域名的作用

腾讯

* SAST

codeql规则实现

越权如何检测

where后中的查询,如何检测注入,找到sink和source点

codeql中反序列化和注入类如何发现和降误报

优化SAST的思路

* SCA

sca实现原理

漏洞分析治理流程和方法(log4j2、fastjson为例)

* 漏洞原理

基本的漏洞原理:sql注入  http走私  host碰撞,三种漏洞的原理,防御方式

漏洞绕过方法

* AI安全

对于llm中prompt注入的了解  

其他ai安全了解

shein

* SDL流程:

威胁建模、SAST、SCA 治理过程的方法,障碍和数据体现

* 漏洞原理:

反序列化的实现和防御

文件上传的风险和防御

ssrf  文件上传漏洞函数实现和规避

模板注入

* 云安全:

AK做了哪些治理,如何定义和发现风险

oss存在哪些风险

kubetecl提权和逃逸top3、apiserver未授权怎么利用

* 代码审计

springcloud代码审计思路

mybatis防注入

什么场景不能防止注入

sdl成熟度如何评估,治理过程的数据体现,能给团队带来什么

字节

* api安全

  • API安全治理中的top3风险

  • API安全全生命周期如何去治理:API发现、API业务安全、API资产管理、API销毁,治理过程中依靠什么能力去实现

  • 越权、未授权这类认证漏洞的黑白盒实现

  • 云安全中TOP3风险

  • 线上API安全异常指标定义

  • 流量特征和检测手段

* 业务安全

CSRF/SSRF

XSS(跨域策略绕过方式)

CORS

CSP(Content Security Policy)

cookie (httponly secure)

绕WAF常见思路

CDN缓存投毒

短链接风险

* 其他

  • 项目落地经历\纵深防御建设的理解和思路

  • 零信任建设思路

  • 如何衡量公司安全水位,维度、指标

     

     

  还有阿里、华为、美团、京东、理想、米哈游、得物等安全面经,大致包含以上问题,无非根据项目经历区分开去问,再加上各类devsecops工具的实现原理、治理方法,感兴趣的可以给我点个关注,后续进行更新!

   如果你对其他安全岗位感兴趣(安全对抗、办公网运营、攻防专家、web安全、安全开发)等,可以后台留言,可以进行面经针对性更新

标签:24,漏洞,面经,安全,API,大厂,原理,治理
From: https://www.cnblogs.com/cybersecuritystools/p/18404559

相关文章

  • 软件著作权申请教程(超详细)(2024新版)软著申请
           目录一、注册账号与实名登记二、材料准备三、申请步骤1.办理身份2.软件申请信息3.软件开发信息4.软件功能与特点5.填报完成一、注册账号与实名登记    首先我们需要在官网里面注册一个账号,并且完成实名认证,一般是注册【个人】的身份。中国版......
  • 2024ICPC网络赛前总复习 2024.2.29复盘
    https://www.luogu.com.cn/problem/CF1934B此题有完全背包写法不再赘述意识到我们不可能用3个1去换一个3也不可能用2个3换一个6.。一次类推开几个for循环voidsolve(){ intlte=1e9; cin>>n; for(inti=0;i<=2;i++){ for(intj=0;j<=1;j++){ f......
  • Flutter 3.24 构建 release 抛出部分依赖 AAPT: error: resource android:attr/lStar
    问题截图:一些讨论:https://github.com/transistorsoft/flutter_background_fetch/issues/369问题原因及解决方案:@Aziz-T该问题与插件的compileSdkVersion和targetSdkVersion有关。出现该问题的原因是部分插件的compileSdkVersion和targetSdkVersion版本过旧。请前往......
  • KernelWarehouse:英特尔开源轻量级涨点神器,动态卷积核突破100+ | ICML 20242A
    动态卷积学习n个静态卷积核的线性混合,加权使用它们输入相关的注意力,表现出比普通卷积更优越的性能。然而,它将卷积参数的数量增加了n倍,因此并不是参数高效的。这导致不能探索n>100的设置(比典型设置n<10大一个数量级),推动动态卷积性能边界提升的同时享受参数的高效性。为此,论文提出......
  • 什么是网络准入控制系统?2024年7款好用网络准入控制系统推荐
    随着信息技术的飞速发展,网络安全已成为企业和组织不可忽视的重要议题。网络准入控制系统(NetworkAccessControl,NAC)作为网络安全领域的一项关键技术,扮演着至关重要的角色。它类似于网络世界的“门禁系统”,确保只有经过认证、符合安全策略的设备和用户才能接入网络,从而有效防范......
  • P2471 [SCOI2007] 降雨量 题解
    题目传送门分析分讨题。首先发现是RMQ问题(区间最值),可以用线段树或ST表来维护(代码为线段树,因为我忘记ST表怎么写了)。然后发现有些年份不明确导致区间判断似乎不好搞。但事实上只要判断下标差是否等于年份差即可得出该区间有无不明确年份。其次考虑“必真”,“必假”,“......
  • 大厂代码规范
    在选择成为计算机类软件工程专业的学生后,我便与代码有了紧密的联系,在写代码的同时,每个人的习惯都不同,所以也会形成自己的代码特点,而通过在网络上查找资料,我也了解了一些大厂的代码规范。大厂代码规范可以提升代码质量,一致的代码风格、命名约定和编程习惯能够减少错误发生的概率,提......
  • GZOI2024 Day1 T2 card
    GZOI2024Day1T2card首先最后一张牌可能不会弃满\(b_i\)张牌。而如果我们要打出若干张牌,肯定想要最后打出\(b_i\)最大的那张牌,这样显然更划算。因此要先按照\(b_i\)排序。首先很容易想到背包。把同类牌拆成\(c_i\)个,然后直接背包:\(f_{i,j}\)表示遍历到第\(i\)张牌,......
  • CS3214 Fall 2024     Exercise
    CS3214Fall2024       Exercise0DueDate: seewebsiteInthisclass,youarerequiredtohavefamiliaritywithUnixcommandsandUnixpro-grammingenvironments.Thefirstpartofthisexerciseisareviewtomakesureyouarecomfortableinou......
  • KernelWarehouse:英特尔开源轻量级涨点神器,动态卷积核突破100+ | ICML 2024
    动态卷积学习n个静态卷积核的线性混合,加权使用它们输入相关的注意力,表现出比普通卷积更优越的性能。然而,它将卷积参数的数量增加了n倍,因此并不是参数高效的。这导致不能探索n>100的设置(比典型设置n<10大一个数量级),推动动态卷积性能边界提升的同时享受参数的高效性。为此,论文提出......