校招网址:http://hr.xiaomi.com/campus/index
小米的网申系统只允许投递一个岗位志愿。其中,安全工程师的岗位要求如下:
图1 安全工程师的岗位要求
小米研发类(貌似仅软件)的笔试分A、B两套试题,其中A卷供应聘非运维类岗位的童鞋使用,B卷供应聘运维类岗位【职位列表条目中用运维部标注】的童鞋使用。而我应聘的安全工程师属于运维部,使用的是B卷。A卷我大概瞟了一眼,全是程序设计的大题,而B卷则以问答题为主。
B卷的范围主要涉及:Linux应用基础、计算机网络、网络安全(主要是Web渗透方面)、编程开发、数据库原理与应用。下面例举了一些我当时记下来的题目:
1.设计一个shell脚本xm.sh,在/tmp/test下创建50个目录,即user1至user50,并设置每个目录权限,其中其他用户权限为“读”,文件所有者权限为“读写执行”,文件所有者组的权限为“读执行”。
2.Linux系统中执行uptime后会有以下输出:
10:54:44 up 158 days, 20:11, 3 users, load average:0.62, 0.41, 0.31
其中load average的三个值分别代表什么含义?造成load值很高有哪些常见的原因?
3.线上运行的程序/usr/sbin/nginx,有可能因为某个特殊请求或BUG导致服务异常退出,但可以通过重新开启继续服务。设计一种方式,能够监管程序异常,并在异常退出时自动开启。
4.Linux系统掉电有可能造成数据损失,原因是什么?有哪些方面可以降低或避免这种问题?
5.有用户反馈无法访问http://www.xiaomi.com,请简述排查过程和可能的原因。
6.ARP协议的用途是什么?简述其工作过程
7.简述你所了解的网站负载均衡方式。
8.Linux下常用的文件系统格式有哪些?其特性是什么。
9.如在PHP源码中有如下语句,有什么安全风险?并写出其利用原理
<?$_POST['a']($_POST['b']);?>
10.你所了解或者使用过的渗透测试工具都有哪些?分别阐述其工作原理,以及对比各自的优缺点。
11.简述线程和进程的关系,对比http server的多线程实现和多进程实现的优缺点
12.请简述链表与数组的区别:编写一个程序,merge两个升序数组,用你熟悉的语言实现,如果是C语言的话,方法签名如下: int[] merge_array(int[] a, int[]b)
13.前端web开发
a)CSS:列出display的值,说明他们的作用?
b)JavaScript:请列出js中的基本数据类型。
c)JavaScript:通过js来隐藏一个DOM元素,比如ele为被操作的DOM元素。
14.数据库理论
a)说说你对索引的理解(包括结构、对dml影响、对查询影响)。一个表的索引是否越多越好?
b)什么是事务?有什么特性?
c)什么是巴斯-科德范式(BCNF)?
15.SQL语法
有如下三个表:
学生(学号,姓名,性别,年龄,系号)
课程(课号,课名,学时)
选课(学号,课号,成绩)
a)查询有不及格科目的学生姓名(60分及格)
b)查询各科成绩的最高分,显示课号和最高分
c)查询选课人数不足30的课程名称 一面采用电话面试的形式,主要针对简历上的内容发问,耗时1h20min左右。根据问题推断,应该是要对我做一个比较全面地初步了解。下面是我还记得的几个面试题:
1.做个自我介绍 2.当初为什么选择信息安全这个专业?你觉得研究生阶段收获了什么?你觉得读研是否有价值 3.说说BASE64编码的过程 4.熟不熟悉Linux系统,Linux命令用的多么?会不会使用awk,比如说我要读取一个文件的第二行信息,应该怎么做? 5.几个项目经历的一些说明 a)项目是做什么的?应用环境? b)系统的处理能力以及性能瓶颈 c)自己解决的问题,改进的地方
二面也采用电话面试的形式,提问偏向于一些开发的细节,耗时45min左右。根据问题推断,其目的是想要准确了解我的开发能力。下面是我还记得的几个面试题:
1.几个项目经历的一些细节 a)后台部分采用的什么语言?PHP还是JSP? b)项目的后台与前台之间采用什么通信机制?请描述细节 c)项目里面数据库是如何设计的,请描述数据表结构 2.用C语言设计一个公用函数,它的输入是n个字符串,功能是找出这些字符串的最长公共前缀,并将此前缀作为函数输出。 请告诉我函数原型怎么写,函数怎么实现,你的实现时间复杂度又是多少? 3.你期望的薪酬? 4.你有什么要问的?
我提了两个问题,分别问了他们团队的情况以及租房的情况。
1.我若能有幸加入你们的团队,主要从事哪方面的工作,需要哪方面的能力? 答:我们的团队不大,主要做两方面的工作,一是Web安全,二是系统入侵检测与流量监控。另外还有云计算安全、私有DNS服务等。流量监控的话,主要是从流量中检测是否存在SQL注入。流量比较大,1000~2000个G(不知道是不是听错了),所以会需要数据包捕获技术的优化以及数据包重组效率的提升。我们希望你对Shell脚本比较熟悉。 2.如果我被录用的话,就要去北京工作,不知租房如何,方不方便? 答:一般我们都租公司附近的小区,月租大概是1000~2000,2000已经可以住得很舒适。
就网申来说,小米的校招主页挂靠在小米官网上,感觉做的还比较简陋,使用起来感觉很不方便;
就笔试来说,小米的运维类岗位笔试考得范围比较广泛,也比较注重细节,深度的话一般,还算好做;
就面试来说,小米的安全工程师岗位偏向于安全开发类型,所以面试的时候安全技术问得不多,开发的东西反而问得多些(当然,这也可能只是针对我而言,因为我本身也是偏安全开发方向的);
就提问来说,小米的安全团队感觉还比较新,进去应该还有比较大的成长空间。
原文地址:http://blog.csdn.net/howeverpf/article/details/41412031
