安全工程师（大厂）面试题.docx

1/3

安全工程师（大厂）

一面

1.自我介绍

2.数组和链表各自的优势和原因

3.操作系统层面解释进程和线程区别

4.线程和进程通信方式以及数据安全问题

5.多进程和多线程的选用场景以及原因

6.了解过哪些WAF说说原理

7.尽可能多地说下SQL注入绕WAF方式

8.FUZZ绕WAF的Payload长度通常是多少

9.写过哪些正则说说具体的场景

10.不查资料不能测试直接写ipv4的正则

11.Fastjson的反序列化原理

12.Java反射机制会导致怎样的安全问题

13.XSS和CSRF的相同点以及如何配合利用

14.CSRF_TOKEN的位置以及原理和绕过

15.尽可能多地说你所知道的HTTP头

16.Nmap常见扫描方式的原理以及NSE脚本原理

17.看到你有不少CNVD证书讲一讲挖洞过程

18.讲一讲你考过的证书都学到了些什么

19.看到你Github有不少项目讲讲

20.你觉得自己还有什么亮点吗

21.你有什么要问我的

二面

1.自我介绍

2.熟悉哪些Web漏洞讲讲

2/3

3.跨域的解决办法原理以及安全问题

4.Python多进程和多线程如何选择

5.Python的GIL锁本质上做了什么事情

6.Java的JVM为什么要有GCROOT

7.Java的JVM有哪些垃圾收集器

8.垃圾回收计数引用机制的缺点是什么

9.CSRF怎么拿到Cookie

10.如何判断一个网站是钓鱼网站

11.不同域名怎样通过CSRF拿Cookie

12.说一些常见的HTTP头以及作用

13.HTTP-Only本质上做了什么事情

14.平衡二叉树和二叉搜索树讲一下

15.SYNFlood攻击原理及解决方案

16.SYN反向探测的原理是什么

17.TCPSYNCookie的原理

18.ARP欺骗攻击原理及解决方案

19.UDP端口探测的有效方式是什么

20.Nmap的FIN扫描和空扫描是什么

21.三次握手的序列号变化说一下

22.Python的值类型和引用类型是哪些

23.Python的list和dict线程安全吗

24.讲一下你做过收获最大的一个项目

25.你有什么要问我的

三面

1.自我介绍

2.解释下CSRF

3.结合实际的例子说说SSRF

3/3

4.结合实际的例子讲讲RCE

5.为什么现在文件上传很少了

6.基于语义分析的WAF了解吗

7.讲一下你上一段实习做了什么

8.讲几个印象深刻的挖洞经历

9.讲一下你对未来的规划

10.有没有转正的意愿

11.你有什么要问我的

四面（HR）

1.面试的体验怎么样

2.谈人生理想

3.最早实习时间.