标签：一面 面试官 请求 自己 面试 聊一聊 内容 小米 这里

前篇：

首先，感谢不知名大哥，将小米的内推码发到了群里，正好那几天在思考要不要去投甲方的问题，有时候缘分真的很奇妙吧，然后开始了第一次认真的写简历，在之前公司的时候下班总会路过小米科技园，当时只觉得很羡慕在这里的大佬们。但是由于面试比较匆忙，准备不是很充足，所以好多地方都感觉自己做的特别不好，简直可以说一塌糊涂。废话少说，正片开始，记录这篇类似于日记的内容目的是让我更好的反思这次面试的不足，然后铭记于心。

0x01 万变不离其宗

因为是两个互相不熟悉的人，所以面试的一开始都会让你做一个自我介绍，给自己找个借口，我是一个和见到大佬就会紧张的人，所以几乎每次面试的自我介绍环节都是让我最头疼的点，每次都是几句草草了事，感觉这里会很拉低面试官对自己的好感，每次面试完，都会很懊悔，但是又不知道该怎么去准备这件事，让这次面试作为一个引子吧，是时候准备一篇自我介绍的内容了。

0x02 开始了开始了

结束了并不流畅的自我介绍之后，可能面试官也看出了我的窘态，为了缓解尴尬的气氛，说直接开始聊聊吧。（给面试官小哥哥点赞，特别nice，很亲和）

面试内容基本就是跟简历上走，简历上写了什么就会问写什么，因为之前有过一些工作经验，面试官就问了问一些工作的内容和工作中挖到的洞，基本说几次自己挖洞的经历就可以，这里感觉自己说的不是很好，在自己没用挖到过高质量漏洞的情况下没有把自己挖掘漏洞的细节说的很清楚，扣分扣。聊了聊之前的工作内容和现在的工作内容，因为有周报的习惯而且对这方面脑子里记得比较清楚，之前做过的项目以及项目内容说的都还可以。

下面开始问了一些细节漏洞原理和利用方式。面试官先问的 redis 的一些漏洞和利用方式，当时只想起来了未授权、数据库备份写shell、写计时任务这三个，别的怎么想也想不起来了，感觉脑子里有了浆糊，下来之后翻了翻自己的笔记，落下了两种方法。其一可以登录 redis，然后去写 ssh 公钥；其二，主从复制（这点最不应该忘，可是当时就是怎么也想不起来了）。

第二问：ssrf 的漏洞原理和可以怎么利用？这里出现了搞笑的一幕，我和面试官两个人总是 get 不到对方的点。面试官提问，ssrf 的原理是什么，我的回答是没有对请求的地址做过滤，比如在请求图片的时候，面试官继续问，是对 url 没有过滤还是对请求的图片没有过滤，按照我当时的理解来想，图片是请求的内容，ssrf 是对请求的内容没有做过滤，所以肯定是没用对图片做过滤。回来之后思考了一下，这个问题如果回答，ssrf 形成的原因是当前服务端对资源进行请求时没有对请求的地址做过滤效果应该会更好，吸收教训。漏洞方面的东西也就到此为止了。

第三问：对语言有了解吗？之前帮同学爬小说，写爬虫的时候学过一段时间的 python，最近也看了看 php，所以回答了这两个。面试官主要是以 python 为主问，问我平时写脚本都常用什么库，我回答 sys，re，requests，pymysql，此时此刻，脑子又开始犯浑，threading、socket 等都忘了说，还是因为用的少，归接下来还是自己的问题。然后又问了一个写过什么脚本，这里主要问我写没写过端口扫描的，我脑子一热，想起来一二年前写过一个小小小脚本，就说了出来，结果被问的想找个地缝钻进去。这里还是奉劝大家不要对自己会的内容夸大其词吧，不然翻车妥妥的，再有，会一门语言真的还是挺重要的。

第四问：问了一些 msfconsole 的一些内容和常用的一些命令。又双叒叕是被问住的一题。我是一个特别懒的人，搞起来基本靠笔记，面试官问的时候好多命令都没有办法去完整的说出来，还好面试官小哥哥比较好，后来换了方式，他说功能，我说有没有这个功能，是命令还是文件去实现，从这开始才逐渐流畅了点。在后面问 windows 和 linux 一些常用命令的时候，有些命令还是记得的，还被面试官打趣到还能记住命令，可太尴尬了。这里补充一个之前不知道的知识点，在被问到怎么去看 3306 端口是被哪个进程占用时，只知道 linux 下面可以用 ps -aux | grep 3306 去查看，下去查了查类似的方法还有 lsof -i:3306。最后还问了当拿到 msfconsole 的 shell 之后会进行的操作，这里因为太过心急，所以一些操作的顺序颠倒了，显得很杂乱，建议大家到时候先思考2-3分钟，整理下思路。

第四问：这里面试官想问一下网络协议方面的内容，这里感觉自己答得挺糟糕的，但是面试官说我懵对了挺多的。按照惯例，懵的一律算不会。这里总结一下自己学到的知识点。学到的知识点：其一、编码、加密、hash 的区别。这个就属于个人理解的问题了，通过面试官点拨之后的总结为 编码是为了防止传输特殊符号、中文等乱码的情况将内容去编码，例如 url 编码。加密是一些传输的内容时不想让用户拦截下请求包等可以知道传输的内容。hash 是不可逆的，所以用来作为密码，因为加密只要知道加密过程就可以解密，hash 只能去碰撞，所以 hash 更加安全。其二、在我们请求域名时，在请求域名时，会请求 DNS 服务器，然后去将域名解析为 ip ，从而去请求 ip，但是本机上会有 hosts 文件，将域名和 ip 进行绑定，绑定之后请求时还会去请求 dns 服务器吗？这里百度得知，hosts 文件用来充当 DNS 服务器的功能，且在请求 DNS 服务器之前，会先检查自己本机的 hosts 文件是否有这个地址映射关系。（这里可以用来绕过云 waf）

大概就问了上面的内容，聊了一个小时，问问题的时间总结下来也会有45分钟以上，但是总结下来就四个方面，感觉还是因为自己对知识点的掌握不够熟练，大大的耽误了面试的时间，继续加油。

0x03 最后的最后

又到了日常谈理想的时候，问了问面试官小米那边的情况，大概了解了一下，然后面试官问了问未来一段时间的目标。这里思路要清晰一些，例如要向面试官了解哪些方面的内容，了解什么内容。
最后的最后，给面试小哥哥打 cool，真的真的很面善，也希望自己一面顺利通过，如果没有通过，也当作一次经历，了解了自己的不足，从中学到东西才是最重要的。明年继续冲！！！
记于 2020/10/16 晚上1:11 分

标签：一面,面试官,请求,自己,面试,聊一聊,内容,小米,这里
来源： https://www.cnblogs.com/BuFFERer/p/13824029.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。