受惠于ptt 良多 最近找实习 也把面过的公司 整理分享心得 希望抛砖引玉
另外大家也可以考虑来JHU读书 最近两年 好像没有很多台湾的学弟妹来 CS/IS
版上以前有人问 资讯安全的工作 要怎么准备 有人回答刷题 我觉得 Yes and no.
据我所知 要去Bloomberg 做security intern 的话 也是先过SDE intern 然后 match 到
security team. 所以刷题是有帮助的 不过很多做安全的公司 他们会有自己设计的
challenge 面试时 通常会问 网络, 密码学 等的知识 这些公司面试一般不需要刷题 可
能是从code 中找漏洞 像是overflow, injection 等的问题 或是像CTF一样 Catch the
flag
安全的面试蛮多样的 很多很杂 比如说
Fireeye 用Hackerrank问 how to privilege escalation in windows
Zscaler 电面问computer network such as DNS for UDP.
Facebook product security intern 问 XSS,用python写一下palindrome
以下是我的面试经验
NCC Group
Security Consultant Intern / rejected
申请之后 HR 会联系你 请你提供住址 会寄一本书给你 “The web application
hacker's handbook” 给你 告诉你面试基于这本书之上请你熟读 我觉得这本书是不错的
工具书 不过页数很多 不容易短时间读完 然后等你准备好 他们会寄一个link 给你 让
你从网站找漏洞 然后是两轮电面 我有同学面full time 就需要多做一个custom
protocol 的challenge 然后是三轮technical round
Intern phone interview 会问情境题 问你怎样hack 一个vending machine等的 ,还有问
XSS, cookies, SSL/TLS and DNSSEC , CSRF, SQL injection. 等等的问题
Acquia
Information Security Intern/ rejected
这是我接到第一通的phone interview 当时好紧张 不知道准备什么 我同学告诉我说 电
面的层级越高 就越不会问得很technical 对方是senior manager 问了我resume 上的东
西 原本预计30分钟 10分钟我就面完了… 不意外最后收到拒信
Security Innovation
Security Engineer Intern / rejected
这家公司的challenge 蛮好玩的 http://canyouhack.us/ 大家可以玩玩看
总共有6题 我只做出了4 题 是一些SQL injection 等等的题 recruiter 说 至少要完成
5题 才会有phone interview. 被拒的时候 那位工程师也推荐了我“The web
application hacker's handbook” 这本书 看来是web vulnerability 的圣经
Cigital
Software Security Intern / rejected
这家公司去年给了我们6个intern offer 今年只发了4个 不知道是我们这届太弱 还是缩
招了…
总共有4轮面试 第一轮HR phone screen 不过会问HTTP/HTTPS, Firewalls,
interpreter and complier language等的问题 再来是code review 你要在给的code 中
找出漏洞 有C++ , JSP, PHP, SQL 四选一 然后再一个安全系统架构题 第三轮是跟工程
师面 问的问题也是 XSS, CSRF, SQL (again!) 还有情境题跟密码学的问题 hash,
encryption, SSL/TLS, buffer overflow, MD5 etc 不过也有同学被问到资料结构的问
题 还有逻辑题 所以应该是看面试者 第四轮是三位面试官 两个工程师 一个HR 面的问
题跟之前很像
Amgen
Information System software engineer Grad intern/ offer get
一轮电面 经理问过去做过的project 还有问我对python 以及JavaScript的了解 工作内
容跟资讯安全无关 一周内拿到offer 感觉这家公司给的效率蛮高的
Quicken Loans
Security Intern/ rejected
HR 讲话好快 我请他重复了好几次… HR 基本上问一些 如果遇到困难 你会怎么做 的问
题 收到拒信说工程师们看了我的履历 觉得不符合就收到拒信了….
Blue Cross & Blue Shield of Minnesota
IT- Application Security Intern / rejected
他们寄信给我一个link 然后登入系统 录影片回答几个问题 估计我口语不好 就被拒了
没进到下一步…
Gaikai (Sony Playstation)
Intern Security Engineer/ rejected
HR 寄email 问了6个问题 主要问你script automation 的经验 请你回信 他说他们会根
据回的内容 挑选人面试 到目前还没有下文 估计也是跪了….
Zendesk
Security Engineering Intern/ rejected
他们寄给我一个honeypot JSON file 然后让我用python parsing 找IP 等的东西 寄出
code后一周收到拒信…
Orvis
IT Security Intern/rejected
他们要找intern帮忙做信用卡加密 跟HR 电面后 收到拒信… 就问问我的背景 课
project 会对这个职位会有什么贡献 不知道是不是跟之前被其他家拒的原因一样
可能我是转专业的关系 背景不够强就没进到下一关…
Autodesk
Intern Security Architecture and Project Management Documentation/rejected
一天三轮电面 这个职位虽然要求要technical background 不只要懂资讯安全 可是也要
求要书写能力好 Security Architecture就是会参与很多project 避免重复 跟过时的设
计 面我的三个分别是 security architect, Cloud security intern, Hiring
manager. 问的问题不难 主要问我履历上的问题 还有问问job description 上 的软件
有没有用过 我是没有用过.. 另外我觉得我写作不好 面试时我也提到这点 面试官说我
很诚实 可能是被拒的原因之一