關於安全工程師崗位的面試

先說說簡歷的問題，這幾位面試者沒有一個能寫得出好的簡歷，我所說的好的簡歷，大致應該包含這幾個內容：

• 個人聯繫方式（有個哥們兒連電話都不留，我咋面）
• 在學校期間做過哪些項目，個人的思路是什麼
• 有哪些能力，比如代碼審計、Python編程、Java安全等等，越具體越好

接下來說說面試，由於是Web安全方向，加上崗位和SDL有關係（安全產品研發、漏洞挖掘等），因此非常非常非常看重基礎知識。我想無論哪個面試官，都會特別看重這一點，基礎關過了才會根據簡歷再去問。

很多來面試的在校學生，都有在各大SRC提交漏洞的經歷，但是很多人卻答不上來這幾個問題令我很意外：

• 啥是同源策略，跨域有幾種方式？
• DOM XSS與反射XSS有啥不同，給你10s，如何快速判斷一個XSS是否是DOM XSS？
• SSRF漏洞原理是什麼？利用時有哪些偽協議？
• 在瀏覽器端，Referer可以篡改嗎？

我認為這些都是最最基礎的Web安全知識，並且適合針對馬上畢業的學生。如果好好讀幾本經典的書，至少本地Demo來一遍都不會不知道這些問題。答得上這些，我才有機會問你接下來深入的問題。如果基礎都答不好，甚至理解都有錯誤，這就好比大學的時候老師說某某基礎知識點如果哪個人在考試中答錯，其他答題都可以不看，直接可以給你不及格一樣的。

再一個就是實戰問題，發現應聘的哥們兒很少很少有滲透測試的實戰能力，做過的一些項目也只是拿著WVS掃掃寫個報告，或者介紹一下自己在項目中挖的那幾個CSRF，這都算是缺乏實戰。

還有就是眼界比較局限，僅僅盯著那一兩本書是不夠的，我們還希望你能知道諸如：

• 雲waf是怎麼實現的
• 什麼是鏈路劫持，怎麼檢測與防範
• 如何通過指紋識別，找出全世界儘可能多的某公司的伺服器等

總的來說，如果一個畢業生能具備以下條件：

1. 紮實的Web安全基礎
2. 一定的安全編程能力（不一定要多好，但至少小工具要會寫）
3. 具備一些有挑戰性的技術跟進能力（比如BH大會資料、Java反序列化漏洞、JVM基礎）
4. 具備良好的總結能力（通過提供個人博客證明等等）
5. 新漏洞的漏洞分析能力等

我會非常認可並給你個3.5的面試評分。