本篇文章給大家分享一下我在面試阿里安全崗時(shí)都被問了哪些問題，總共經(jīng)歷了一面、二面、三面和HR面，下面一起來看一下吧，希望對(duì)有需要的朋友有所幫助啊~

安全崗面經(jīng)系列之阿里菜鳥-安全工程師

時(shí)間線：

• x 投遞 安全工程師

• x+16 一面

• x+23 二面

• x+32 三面

• x+50 HR面

• x+53 口頭意向

• x+56 正式意向郵件

一面

時(shí)長(zhǎng)：30分鐘

• 自我介紹

• hw的職責(zé)

• hw的成果

• 分享一下有意思的案例

• 每年的hw的分?jǐn)?shù)和規(guī)則有什么不一樣的地方

• 除了hw以外自己會(huì)去挖漏洞嗎

• 代碼審計(jì)的思路，審計(jì)的流程

• 代碼審計(jì)是java還是php的

• java用的多嗎

• java反序列化（fastjson、log4j、本身的反序列化的區(qū)別）

• java fastjson怎么修復(fù)

• java原生反序列化（readObject、writeObject）的修復(fù)

• 黑盒滲透測(cè)試的思路

• 找回密碼的邏輯漏洞

• 有沒有做過開發(fā)相關(guān)的，寫小工具之類的

• 了解阿里、菜鳥嗎

• 反問

二面

時(shí)長(zhǎng)：35分鐘

• 自我介紹

• 今年hw的經(jīng)歷，展開說說

• 這次hw和往年有什么區(qū)別，和往年不同的地方，規(guī)則、攻擊方式等

• 對(duì)供應(yīng)鏈的數(shù)據(jù)分的看法

• 甲方視角下關(guān)于代碼審計(jì)的想法

• 對(duì)越權(quán)類漏洞的看法，從研發(fā)的角度來看的話

• 最近發(fā)生的安全事件以及看法（聊了spring4shell和log4shell)

• 可以說一下對(duì)這兩個(gè)的看法嗎（其實(shí)面試官問的是安全事件以及看法，但是我莫名就回答成了漏洞的原理。。）

• 西北工業(yè)大學(xué)攻擊事件，對(duì)這樣的事情怎么看

• 上海數(shù)據(jù)泄露事件的看法

• 以甲方視角聊聊對(duì)安全行業(yè)的看法，安全措施、安全策略和思路之類的

• 在自己的職業(yè)規(guī)劃里有什么自己的要求，如果選擇以菜鳥為offer的話是什么想法

• 為什么沒留在實(shí)習(xí)3

• 反問

整體沒問什么技術(shù)問題，大多是對(duì)某些事件、某些問題的看法，面試官介紹了很多菜鳥的運(yùn)營(yíng)模式、產(chǎn)業(yè)之類的，包括工作的路線什么的，整體面試體驗(yàn)很好

三面

時(shí)長(zhǎng)：25分鐘

• 自我介紹

• 介紹實(shí)習(xí)經(jīng)歷和項(xiàng)目經(jīng)歷

• 寫poc的要點(diǎn)、會(huì)寫哪些產(chǎn)品的poc

• 指紋識(shí)別的要點(diǎn)

• 做測(cè)繪引擎時(shí)的關(guān)鍵因素有什么

• 實(shí)習(xí)3的hw成績(jī)

• 你們能取得這個(gè)成績(jī)的關(guān)鍵因素是什么

• 聊了下實(shí)習(xí)3

• 反問

HR面

時(shí)長(zhǎng)：40分鐘

• 自我介紹

• 聊了下對(duì)攻防演練的看法

• 聊了下攻防演練中從防守隊(duì)視角最容易或最常見的攻擊類型

• 聊了下工作地點(diǎn)的意向程度

• 反問

HR面完3天給了口頭意向，再過3天郵件正式意向

推薦學(xué)習(xí)：《PHP視頻教程》《Java視頻教程》