最近1-2个月小伙伴们因为裁员或其他原因,都在面试,以应用安全为主。所以24年甲方大厂都在面试什么呢?这里供为参考
安全的行情确实不太好,讲明白简历上的项目和内容才是最为重要的。
面试资料,里面含有蚂蚁p9对于职业规划和面经分享,包含各种安全岗位
面经资料下载链接:
面经资料下载链接: 夸克网盘分享
自我介绍要尽可能简短
STAR⾯试法
-
Situation(场景):描述你⾯临的具体情景或挑战。
-
Task(任务):阐述你的责任或需要完成的任务。
-
Action(⾏动):详细说明你采取了哪些具体⾏动来应对挑战或完成任务。
-
Result(结果):描述你的⾏动带来的结果,最好是具体的成果或学到的经验。
STAR⾯试法能够让应聘者能够更有条理的⽅式讲述⾃⼰的⼯作经验和成就,能够突出重点⽽⾮泛 泛⽽谈。也有助于⾯试官更好的额理解应聘者的真实能⼒和潜⼒。
面试经历
虾皮
* 鉴权:
jwt 安全风险有哪些
oauth2.0 哪几种鉴权方式、存在安全风险
* 云安全:
AK轮转怎么做的?
AK最佳实践有哪些?讲述3条云AK泄露的最佳实践
S3治理风险
* Java:
预编译原理,和转义区别 哪些情况不能用
Log4j的利用原理, 利用Java版本限制,Java这个版本做了哪些限制
Ldap和RMI区别
* 其他:
你最近挖到最深印象的漏洞、spring actuator漏洞原理、
绕过WAF思路:超大数据包绕过的原理
Cookie和Session区别
滑动验证码和数字验证码技术原理实现
googleusercontent 和 githubusercontent 两个域名区别,域名的作用
腾讯
* SAST
codeql规则实现
越权如何检测
where后中的查询,如何检测注入,找到sink和source点
codeql中反序列化和注入类如何发现和降误报
优化SAST的思路
* SCA
sca实现原理
漏洞分析治理流程和方法(log4j2、fastjson为例)
* 漏洞原理
基本的漏洞原理:sql注入 http走私 host碰撞,三种漏洞的原理,防御方式
漏洞绕过方法
* AI安全
对于llm中prompt注入的了解
其他ai安全了解
shein
* SDL流程:
威胁建模、SAST、SCA 治理过程的方法,障碍和数据体现
* 漏洞原理:
反序列化的实现和防御
文件上传的风险和防御
ssrf 文件上传漏洞函数实现和规避
模板注入
* 云安全:
AK做了哪些治理,如何定义和发现风险
oss存在哪些风险
kubetecl提权和逃逸top3、apiserver未授权怎么利用
* 代码审计
springcloud代码审计思路
mybatis防注入
什么场景不能防止注入
sdl成熟度如何评估,治理过程的数据体现,能给团队带来什么
字节
* api安全
-
API安全治理中的top3风险
-
API安全全生命周期如何去治理:API发现、API业务安全、API资产管理、API销毁,治理过程中依靠什么能力去实现
-
越权、未授权这类认证漏洞的黑白盒实现
-
云安全中TOP3风险
-
线上API安全异常指标定义
-
流量特征和检测手段
* 业务安全
CSRF/SSRF
XSS(跨域策略绕过方式)
CORS
CSP(Content Security Policy)
cookie (httponly secure)
绕WAF常见思路
CDN缓存投毒
短链接风险
* 其他
-
项目落地经历\纵深防御建设的理解和思路
-
零信任建设思路
-
如何衡量公司安全水位,维度、指标
还有阿里、华为、美团、京东、理想、米哈游、得物等安全面经,大致包含以上问题,无非根据项目经历区分开去问,再加上各类devsecops工具的实现原理、治理方法,感兴趣的可以给我点个关注,后续进行更新!
如果你对其他安全岗位感兴趣(安全对抗、办公网运营、攻防专家、web安全、安全开发)等,可以后台留言,可以进行面经针对性更新
标签:25,安全,面经,漏洞,API,大厂,原理,治理 From: https://www.cnblogs.com/cn-sec-/p/18678350