早上去9点出门去面试，地点离学校也就三个公交站，第一次去怕找不到就早点出门，大概45分到公司。

         hr让我坐下等等，到10点了她领了一个男生过来带我，估计是刚毕业不久的，23-25岁之间，他带我去了一间会议室，给了一份笔试题，说半个小时后过来看，我不到15分钟就做完了，有几道web方面不会直接放空，然后他结合试题和我的简历问了一些问题后，提及比赛经历，项目经历，负责的内容，看了试题他很清楚我web方面的几乎没基础（虚，也是事实），密码学部分和缓冲区溢出答得不错（这让我放心了一点点），还问了我熟悉的语言，最近在学的h5,css3,js学习出发点是什么，然后web安全方面我了解太少，但可以把Python工具的一些开发任务交给我来做，问我是否愿意学python？我回答说愿意，本来就有计划接下来要学PYthon的。然后他说让我等等，他得跟他老大沟通一下。

我又坐在沙发上等了一会，其间，有一个挺好看的女生也坐下来，看样子也是来面试的，我觉得玩手机不太好，就主动与她聊了几句，知道她是来面试会计的，从广州过来，工作已三年，过一会儿，男生过来领我去办公室见老大，年龄30-40之间，他先让我自我介绍，然后问起我的职业规划，从事安全行业的出发点是什么，明显专业老练了很多，然后提起CTF，跟前面的男生一样，会问比赛的性质，参赛队伍多少，拿到名次多少，举办方，我负责的模块，团队人数，带队老师，不过，老大还问我知不知道蓝莲花？显然老大对高校网络安全建设和CTF比赛是有了解的，我说认识，bluetotus，结束了话题。其实对名字印象很深，好像跟上交大、姜开达老师，Defcon,百度有关，但不太确定就没有说太多（还是应该说多点的2333），然后是年龄问题，问我是不是跳级了。。。父母是干什么的？哪里人？家里几个兄弟姐妹？怎么查起户口了。。。。估计想弄明白我一个女生从事这个行业的目的把。接着问我对那一门课最感兴趣？我说计算机安全导论，然后说语文，数学，英语这三门课呢？我说数学。回来想想，我应该说三门主科全面发展（理综不好233），语文是我喜欢的科目，高中花的时间不多；英语一直是不费力气分最高的（特别是阅读理解，对此我也不解怎么以前的同学英语花那么多时间还是考不好，得瑟下），而数学是花最多时间的，也感兴趣的）。接着稳网络基础怎么样，我说还行，其实网络没学好2333，一直想恶补。。然后他说你说说常见的端口？脑子里只记得0-1023是公认端口，1024-65535可以随便用，答不出来他又提示比如telnet是23端口，不好意思，我没了解（脑子怎么不好使了），路由追踪命令是什么？Ip和域名的对应关系？呀，明明有印象，却想不起来了。。。摸清我的底，老大说，你说你要从事这个行业，你怎么连网络基础知识都答不上来啊？尴尬。。。。问我还有没有问题？我说没问题了，但是想表达一下，我知道自己的分量，但是愿意学习，愿意一直学习，希望公司能给我一个机会？他说，他明白，毕竟还是学生，不懂也正常，也愿意给我机会，但是还要再沟通一下，周五无论如何都会给我答复。 

去年的华鑫，在深圳去的第一家公司，第一次简历发到师姐hr邮箱，去公司时觉得不太适合我，没时间没精力，不了了之，不过师姐也提出简历太简单了，多写点东西，哪怕没东西也可以把大作业什么的写上去。第二次去是快寒假的时候，想实习了，师姐说直接去龙岗，没带简历就去了，被师姐反问，你连简历都没带就想来我们公司啊？你能做什么？尴尬。。。然后说我回去考虑考虑，再发简历给师姐。结果那天，来回三个小时地铁，站足三个小时，头晕目眩，不是想说我娇气（2333），真的好累，外面阳光高照，地铁里对着空调吹，快感冒了，而且这学期忙学习熬夜什么的，整天坐着，抵抗力明显下降了，并且才1500，交通补贴都不够，舍友也劝，别着急，我可以找到更好的。我便回去发信息说不去实习了，回家先。

这家公司不知道算不算我第一次面试呢？

---------------------------------------------分割线--------------------------------------------------------------

先放下今天的笔试题，（靠回忆的），然后一一百度了答案，内容相关的也附上链接，方便以后查看：

1、常见的密码算法：流密码：RC4，分组密码：DES，3DES，公钥密码：RSA

2、对称和非对称的区别：非对称密码体制和传统的对称密码体制相比较，对称密码体制加密的优点是速度快，加密解密所需要的计算量小，而缺点是密钥管理工作量很大；公钥密码体制（即非对称公钥密码体制）加密解密所需要的计算量很大，但是密钥管理工作量很小。

3、CSRF和XSS的区别：

知乎精彩答案

网上的答案各有各说法，小白看了好乱，我翻了翻web前端黑客技术揭秘中XSS,CSRF两章，还是经典的书适合入门，将定义摘抄如下：（在道哥的白帽子讲web安全中xss、csrf都属于客户端脚本安全）

XSS, Cross Site Scripting,即跨站脚本攻击，发生在目标网站中目标用户（强调场景）的浏览器（解释执行）层面上，当用户浏览器渲染整个html文档的过程中出现了不被预期（输入了可控的脚本内容）的脚本指令并执行时，XSS就会发生。

XSS有三类：反射型、存储型、DOM XSS。

CSRF：Cross Site Request Forgery，即跨站请求伪造，两个关键点：跨站点的请求（字面定义的来源是其他站点）、请求是伪造的（不是用户的意愿）。

4、option方法的作用：www.jb51.net/article/44657.htm

5、web应用中会话令牌：会话令牌

6、Ping命令属于什么协议，处于网络模型第几层：ICMP协议，网络层

7、脱壳方法：脱壳

8、缓冲区溢出原理，对策

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

(1)、关闭端口或服务。管理员应该知道自己的系统上安装了什么，并且哪些服务正在运行

(2)、安装软件厂商的补丁,漏洞一公布，大的厂商就会及时提供补丁

(3)、在防火墙上过滤特殊的流量,无法阻止内部人员的溢出攻击

(4)、自己检查关键的服务程序，看看是否有可怕的漏洞

(5)、以所需要的最小权限运行软件

9、斐波那契数列编程实现

10、路由追踪命令：tracert

11、IP和域名的对应关系：

通常情况下一个域名同一时刻只能对应一个IP地址。但是在域名服务商那里，你可以把服务器群里面的多个提供相同服务的服务器IP设置一个域名可以轮询。但是同一时刻，一个域名只能解析出一个IP供你使用。这些IP可以轮流着被解析。这些IP其实对应的服务器提供的是同一种的服务。

一个IP可以绑定无数个域名，这个没有限制。

12、常用端口

13、SQL注入