阿里钉钉安全工程师面试

面试记录

全程录了音，所以问题会很详细地记录。
这也是我第一次面试。由于不太可能去杭州实习，所以大概率不会有二面。
本来就是抱着试一试的心态，想知道一下自己的水平到底是什么样子，想经历一下面试的场面，为之后秋招攒一些经验。
（莫名有点害怕重新听一遍录音的）

记录

1. 自我介绍。
2. 你主要是学的Web安全对吧？那你简单描述一下XSS。
3. XSS主要包括哪几种类型？这几种类型的分类标准是同一种嘛？
4. 防御XSS一般有哪些做法？
5. SQL注意除了预编译之外还有什么防护的策略？
6. 我看你还做过网站账户安全的东西，那你聊一下网站的账户安全体系，比如密码存储，传输验证等等。
7. 你刚刚说到密码存储用到的算法你接触的是什么？（我用过MD5。还有哪些？SHA256。密码只用这些处理就可以了吗？他可能会出现什么问题？可能会被碰撞，可以加一个salt）
8. 那传输过程中要考虑用什么方式？(用https)
9. 那你了解https吗？大概分为哪两步？
   10.数字加密的算法有哪些？(RSA)
10. RSA是个什么样的加密算法？（非对称）
11. 非对称加密里面除了RSA里面还有哪些？(Diffie Helmen。那你了解吗？不是很清楚。设计这个协议的目的是什么？这个好像答错了)
12. RSA这种加密算法有什么弊端吗？（我答了RSA基于质数分解，如果出现量子计算的话可能快速分解质数，然后就把面试官引向了问我量子计算？？？震惊）
13. 量子计算的原理是什么呢？它为什么能区别于传统计算机？为什么算力更强呢？
14. 回到刚刚的问题，我其实是想问RSA相对对称加密的优缺点？对称加密、非对称加密一般用在什么场景？ （答了一半吧？？半路百度了一下，结果边看网页编答题，更答不上来了）
15. 那你说一下数字签名技术，描述一下流程。
16. 你自己有没有做过一些渗透测试？（大概说了一下我少的可怜的经历，就一两句）
17. 你有没有研究过语言的漏洞？比如x86、php等等。（我说php的一些漏洞做题的过程中有见到过。然后面试官就没有再问了）
18. CSRF你有没有了解过？（大概说了一下过程，就结束了）
19. 你了解反序列化的漏洞吗？（说了两个有点印象的，明明我昨天还专门想到来着，感觉答的不是很好，不具体，但是面试官也没有再多问）
20. 你说一下固件的一些相关措施？让你设计的话你怎么去设计这个系统？（然后我说我没有做过固件）
21. 然后发给了我一道题，反转字符串。（我还以为是考算法题。我就直接[::-1]，面试官说也行吧????）
22. 你学过哪些安全的课程？（我其实记得我上了哪些课，但我也没好好上，我怕我说了之后，他问我我不知道的东西…好像实在有些尴尬，我就说了Web追踪，果然…）
23. 那你描述一下浏览器指纹？（关于浏览器指纹的这一段答的稀里糊涂吧。再听录音感觉面试官有点失望呀????????）
24. 浏览器指纹还有哪些特性？除了唯一性这种？（需要较长时间不变。又问那怎么保持这种稳定性？指纹这些有一个数学原理在里面，是什么？）
25. 然后面试官问我有没有什么想问他的。
26. 最后又确认了一下是不是只能在北京实习？吧啦吧啦又聊了几句。

总共面了38分钟吧。面试官还是挺好的，语气基本没啥变化????????，处变不惊的感觉。自己答的感觉吧，反正面完还是挺开心的，再听一遍觉得也还可以，没有 然后然后 的，还算连贯。然后就是觉得自己知道东西还是太一知半解了，（不过想想总比一句也答不上来好点????）。

这次面试让我知道，哦，原来我也不算是特别辣鸡。

答案

1. XSS分类？（我就按我的理解写了）
   • 反射型、存储型、DOM型
   • 反射型：可能需要攻击者构造一个恶意url，受害者点击这个url之后，会执行url中携带的恶意代码
   • 存储型：攻击者注入的JS代码会被存储到服务器中，每当有用户访问被攻击页面，服务器读取注入的恶意代码，经浏览器解析执行。访问该页面的每个用户都会被攻击。
   • DOM型：通过非法输入来闭合对应的html标签，给某一标签增加一些属性，比如说通过单引号闭合，给a标签增加onclick事件。不涉及服务器
2. XSS防御措施？（之前没有整理过，这个问题感觉就是那种觉得很简单，但问我，我还真就说不上来）（从《白帽子讲Web安全抄下来的》）
   • httponly。xss主要是为了拿到受害者的cookie，使用httponly标记某一cookie，可以禁止JS访问该cookie
   • 输入检查。对特殊字符进行过滤或者编码
   • 输出编码
   • 处理富文本时，通过白名单，禁止一些危险的标签
3. sql注入防御措施？
   • 预编译
   • 转义
   • 过滤
4. Diffie Hellmen是一个**交换协议！！所以它设计的目的就是用来交换**的！！让双方在完全缺乏对方私有信息的前提条件下，通过不安全的信道达成一个共享的**。（面试时候有点反应过来了，但是最后也没说…emm…????我到底瞎答了些啥？？）贴一个当时公钥密码学课的报告吧，感觉自己当时整理的还是挺好的。
   
   
5. 对称加密、非对称加密的优缺点：
   • 对称加密：简单快捷，**较短，且破译困难。如果用户一旦多的话，管理**也是一种困难。不方便直接沟通的两个用户之间怎么确定**也需要考虑，这其中就会有**泄露的风险，以及存在更换**的需求。
   • 非对称加密：加解密比对称加密耗时。但是比对称加密更加安全。
6. 量子计算原理？（这个就当科普大概了解一下吧）

量子比特可以制备在两个逻辑态0和1的相干叠加态，换句话讲，它可以同时存储0和1。考虑一个N个物理比特的存储器，若它是经典存储器，则它只能存储2^N个可能数据当中的任一个，若它是量子存储器，则它可以同时存储2^N个数，而且随着N的增加，其存储信息的能力将指数上升，例如，一个250量子比特的存储器（由250个原子构成）可能存储的数达2^250,比现有已知的宇宙中全部原子数目还要多。
由于数学操作可以同时对存储器中全部的数据进行，因此，量子计算机在实施一次的运算中可以同时对2^N个输入数进行数学运算。其效果相当于经典计算机要重复实施2^N次操作，或者采用2^N个不同处理器实行并行操作。可见，量子计算机可以节省大量的运算资源（如时间、记忆单元等）。
https://blog.****.net/zz709196484/article/details/78337387

7. 浏览器指纹的相关问题我放弃了…