真实面经分享：阿里安全工程师（四面）

本篇文章给大家分享一下我在面试阿里安全岗时都被问了哪些问题，总共经历了一面、二面、三面和hr面，下面一起来看一下吧，希望对有需要的朋友有所帮助啊~

安全岗面经系列之阿里菜鸟-安全工程师

时间线：

• x 投递 安全工程师

• x+16 一面

• x+23 二面

• x+32 三面

• x+50 HR面

• x+53 口头意向

• x+56 正式意向邮件

一面

时长：30分钟

• 自我介绍

• hw的职责

• hw的成果

• 分享一下有意思的案例

• 每年的hw的分数和规则有什么不一样的地方

• 除了hw以外自己会去挖漏洞吗

• 代码审计的思路，审计的流程

• 代码审计是java还是php的

• java用的多吗

• java反序列化（fastjson、log4j、本身的反序列化的区别）

• java fastjson怎么修复

• java原生反序列化（readObject、writeObject）的修复

• 黑盒渗透测试的思路

• 找回密码的逻辑漏洞

• 有没有做过开发相关的，写小工具之类的

• 了解阿里、菜鸟吗

• 反问

二面

时长：35分钟

• 自我介绍

• 今年hw的经历，展开说说

• 这次hw和往年有什么区别，和往年不同的地方，规则、攻击方式等

• 对供应链的数据分的看法

• 甲方视角下关于代码审计的想法

• 对越权类漏洞的看法，从研发的角度来看的话

• 最近发生的安全事件以及看法（聊了spring4shell和log4shell)

• 可以说一下对这两个的看法吗（其实面试官问的是安全事件以及看法，但是我莫名就回答成了漏洞的原理。。）

• 西北工业大学攻击事件，对这样的事情怎么看

• 上海数据泄露事件的看法

• 以甲方视角聊聊对安全行业的看法，安全措施、安全策略和思路之类的

• 在自己的职业规划里有什么自己的要求，如果选择以菜鸟为offer的话是什么想法

• 为什么没留在实习3

• 反问

整体没问什么技术问题，大多是对某些事件、某些问题的看法，面试官介绍了很多菜鸟的运营模式、产业之类的，包括工作的路线什么的，整体面试体验很好

三面

时长：25分钟

• 自我介绍

• 介绍实习经历和项目经历

• 写poc的要点、会写哪些产品的poc

• 指纹识别的要点

• 做测绘引擎时的关键因素有什么

• 实习3的hw成绩

• 你们能取得这个成绩的关键因素是什么

• 聊了下实习3

• 反问

HR面

时长：40分钟

• 自我介绍

• 聊了下对攻防演练的看法

• 聊了下攻防演练中从防守队视角最容易或最常见的攻击类型

• 聊了下工作地点的意向程度

• 反问

HR面完3天给了口头意向，再过3天邮件正式意向

推荐学习：《PHP视频教程》《Java视频教程》