移动安全面试（4）——2023届美团秋季招聘

大家好，我是小A，应群主邀请，这里给大家分享一下我参加美团秋季校园招聘的心得！也很感谢在群主星球《安全后厨》里面学习到很多知识，对面试很有帮助。

美团移动安全招聘总共：

一轮笔试+五轮面试：一轮初试 + 两轮复试 + 一轮加面 + 一轮hr面

第一轮笔试：

美团的笔试都是统一的笔试题，这里题型包括五道算法题，题目难度：应该好像是两道简单 + 两道中等 + 一道hard题

不过要求可能不一样，针对开发的朋友要求较高，可能需要大部分的题型都做出了，针对安全的朋友要求可能低一点，不过今年的形式很严峻，大家能做出来，尽量还是多做一点，我当时就只做出3道半，因为自己算法题刷的很少，基本就刷了不到300道题，不过感觉安全的朋友做个大概，应该笔试都能过。

面试：

面试的话我建议简历制作还是十分重要的，因为简历的内容可以引导面试官去询问你擅长的方向，所以尽量将自己的简历做的完善一点，而且很多事情也可以作为面试的加分项，例如CVE/CNVD漏洞、安全顶会、github开源项目、博客文章、开源工具、CTF比赛等等，有的话尽量写上，在今年秋招的过程中，这些可能能进一步增强你的优势。

第一轮初试：（1h）

美团第一轮初试给我的感觉就是问题很广，比较考察你个人的综合知识能力，这不仅仅包括你这个研究方向的知识，还会涉及很多计算机基础、编程语言方面知识，当然面试官会根据你的熟练程度去把握尺度，当时第一轮面试官也挺友善的，所以很多朋友去面试时，遇到不会的问题不要慌张，尽力就好。

计算机基础：

操作系统：（操作系统感觉就把第二章准备熟练就可以了）

进程和线程的区别？

进程间的通信方式？

计算机网络：

NAT的作用及原理？

Http与Https的区别？

一般好像安全岗位就操作系统和计算机网络问的要多一点，偶尔有些会加数据结构，其他的就都还好了

编程语言：

做移动安全Android的都知道基本要会arm、C/C++、java、Android开发这几门语言，但一般安全岗的问题会比开发问的简单一点，所以大家掌握通用的一些问题就可以了

C/C++：

全局变量，局部变量，const修饰的值保存在elf文件结构的哪里？

堆和栈的区别？

java：

Java与C++面向对象的区别？

汇编：

函数参数传递的过程？

函数返回有几种形式？

Android开发：

Android四大组件是什么？

Activity的生命周期？

Android进程之间的通信方式？

我觉的移动安全朋友基本的Android开发四大组件、intent数据传递、数据库、网络编程、等等还是需要掌握。

安全相关问题：

逆向：

Android加壳的种类，以及脱壳的原理？

so混淆的基本方式？

Android抓包防护？

怎么绕过SSLpining？

怎么针对Socket通信防护？

权限的分类？

Bindler通信原理？

漏洞：

介绍一下四大组件的漏洞挖掘过程？

会简单结合简历上的项目来开展询问

第二轮复试：（55min）

美团第二轮面试是团队的小组长面试，考察的更多在于综合能力的考察，更多是你对一个完整项目的把握，这个环节更多的去考察简历上的内容。

技术方向：

你认为一个APP的渗透测试工作怎么开展？其中会结合你回答的一些问题去穿插的问一下？例如Xposed和frida的工作原理，Xposed和frida的区别等

你认为如何开展一个APP的漏洞挖掘工作，这个过程中会结合一些经典的漏洞，去询问你原理，例如Janus漏洞呀等

你认为当前移动安全最新关注的一些方向以及可能遇到的一些困境在哪里？

论文方向：

我本人发表了一篇c刊，然后就针对论文问了一下解决的问题，创新点，考虑后续研究什么？

其他问题：

介绍了一下美团的移动安全的一些业务？我记得有漏洞的、逆向的、风控的好像这些吧

以及美团的一些技术沙龙，人才培养呀？

其他就是个人的一些提问？

第三轮复试：（50min）

美团第三轮面试是终端安全负责人进行面试，和第二面一样，不过考察更多在于你在项目中遇到一些问题如何解决，问题偏向整体

技术方向：

你如何开展漏洞挖掘工作？

如果要提高自动化的工具，你觉得漏洞挖掘如何能够更加自动化一点？

介绍你的两个项目，并说一些你做的工作的突出点？

你觉得团队合作中最重要的事情是什么？

你觉得要实现自动化的逆向工具，可能会需要哪些技术和哪些困境，针对这些困境，你觉得是你的话了，如何解决？

其他的和第二面重合比较大

其他方向：

你怎么规划你的职业发展路线的？

你进行提问环节

第四轮面试-加面：（1h）

第四轮面试是电话面，我以为是hr面了，结果是技术面，后来才知道安全基本都是4轮技术面，第四轮面试应该算压力面，全程感受到了被质疑，技术会不停深入，直到你不会？

说一下arm-vmp与dex-vmp的区别？

说一下当前dex-vmp的一些解决思路，以及新的vmp的混淆点，有了解么？

说一些ollvm的分类以及如何解决ollvm的初步思路

现在ollvm中你认为比较困难的点是哪些？

针对这些问题，你觉得如何进行解决，有没有什么好的思路？

论文：

你认为你论文的优势在哪？反正就是疯狂的质问，压力很大？

全程感受就是给很大的压力。

第五轮面试-hr面：（30min）

第五轮是hr面，到这个阶段基本就是问一些通用问题了

你遇到的问题，怎么解决？

你为什么选择我们之类等？

你项目中认为什么是最重要的？

最后祝大家春招顺利，也感谢群主对我秋招工作中的帮助！