受惠於ptt 良多 最近找實習 也把面過的公司 整理分享心得 希望拋磚引玉
另外大家也可以考慮來JHU讀書 最近兩年 好像沒有很多台灣的學弟妹來 CS/IS
版上以前有人問 資訊安全的工作 要怎麼準備 有人回答刷題 我覺得 Yes and no.
據我所知 要去Bloomberg 做security intern 的話 也是先過SDE intern 然後 match 到
security team. 所以刷題是有幫助的 不過很多做安全的公司 他們會有自己設計的
challenge 面試時 通常會問 網路, 密碼學 等的知識 這些公司面試一般不需要刷題 可
能是從code 中找漏洞 像是overflow, injection 等的問題 或是像CTF一樣 Catch the
flag
安全的面試蠻多樣的 很多很雜 比如說
Fireeye 用Hackerrank問 how to privilege escalation in windows
Zscaler 電面問computer network such as DNS for UDP.
Facebook product security intern 問 XSS,用python寫一下palindrome
以下是我的面試經驗
NCC Group
Security Consultant Intern / rejected
申請之後 HR 會聯繫你 請你提供住址 會寄一本書給你 “The web application
hacker's handbook” 給你 告訴你面試基於這本書之上請你熟讀 我覺得這本書是不錯的
工具書 不過頁數很多 不容易短時間讀完 然後等你準備好 他們會寄一個link 給你 讓
你從網站找漏洞 然後是兩輪電面 我有同學面full time 就需要多做一個custom
protocol 的challenge 然後是三輪technical round
Intern phone interview 會問情境題 問你怎樣hack 一個vending machine等的 ,還有問
XSS, cookies, SSL/TLS and DNSSEC , CSRF, SQL injection. 等等的問題
Acquia
Information Security Intern/ rejected
這是我接到第一通的phone interview 當時好緊張 不知道準備甚麼 我同學告訴我說 電
面的層級越高 就越不會問得很technical 對方是senior manager 問了我resume 上的東
西 原本預計30分鐘 10分鐘我就面完了… 不意外最後收到拒信
Security Innovation
Security Engineer Intern / rejected
這家公司的challenge 蠻好玩的 http://canyouhack.us/ 大家可以玩玩看
總共有6題 我只做出了4 題 是一些SQL injection 等等的題 recruiter 說 至少要完成
5題 才會有phone interview. 被拒的時候 那位工程師也推薦了我“The web
application hacker's handbook” 這本書 看來是web vulnerability 的聖經
Cigital
Software Security Intern / rejected
這家公司去年給了我們6個intern offer 今年只發了4個 不知道是我們這屆太弱 還是縮
招了…
總共有4輪面試 第一輪HR phone screen 不過會問HTTP/HTTPS, Firewalls,
interpreter and complier language等的問題 再來是code review 你要在給的code 中
找出漏洞 有C++ , JSP, PHP, SQL 四選一 然後再一個安全系統架構題 第三輪是跟工程
師面 問的問題也是 XSS, CSRF, SQL (again!) 還有情境題跟密碼學的問題 hash,
encryption, SSL/TLS, buffer overflow, MD5 etc 不過也有同學被問到資料結構的問
題 還有邏輯題 所以應該是看面試者 第四輪是三位面試官 兩個工程師 一個HR 面的問
題跟之前很像
Amgen
Information System software engineer Grad intern/ offer get
一輪電面 經理問過去做過的project 還有問我對python 以及JavaScript的了解 工作內
容跟資訊安全無關 一周內拿到offer 感覺這家公司給的效率蠻高的
Quicken Loans
Security Intern/ rejected
HR 講話好快 我請他重複了好幾次… HR 基本上問一些 如果遇到困難 你會怎麼做 的問
題 收到拒信說工程師們看了我的履歷 覺得不符合就收到拒信了….
Blue Cross & Blue Shield of Minnesota
IT- Application Security Intern / rejected
他們寄信給我一個link 然後登入系統 錄影片回答幾個問題 估計我口語不好 就被拒了
沒進到下一步…
Gaikai (Sony Playstation)
Intern Security Engineer/ rejected
HR 寄email 問了6個問題 主要問你script automation 的經驗 請你回信 他說他們會根
據回的內容 挑選人面試 到目前還沒有下文 估計也是跪了….
Zendesk
Security Engineering Intern/ rejected
他們寄給我一個honeypot JSON file 然後讓我用python parsing 找IP 等的東西 寄出
code後一周收到拒信…
Orvis
IT Security Intern/rejected
他們要找intern幫忙做信用卡加密 跟HR 電面後 收到拒信… 就問問我的背景 課
project 會對這個職位會有甚麼貢獻 不知道是不是跟之前被其他家拒的原因一樣
可能我是轉專業的關係 背景不夠強就沒進到下一關…
Autodesk
Intern Security Architecture and Project Management Documentation/rejected
一天三輪電面 這個職位雖然要求要technical background 不只要懂資訊安全 可是也要
求要書寫能力好 Security Architecture就是會參與很多project 避免重複 跟過時的設
計 面我的三個分別是 security architect, Cloud security intern, Hiring
manager. 問的問題不難 主要問我履歷上的問題 還有問問job description 上 的軟體
有沒有用過 我是沒有用過.. 另外我覺得我寫作不好 面試時我也提到這點 面試官說我
很誠實 可能是被拒的原因之一