移动安全面试（7）——2023届OPPO秋季招聘面试

大家好！我是同学小E，某985硕，前面看过几个大佬的面试介绍，今天也来分享一下，我自己的面试经历，面试的是OPPO的移动安全实验室，听说oppo有两个移动安全实验室铂安和子午，具体是哪一个我也不清楚，面试结果：顺利拿到offer。

今年行情不好的情况，拿到oppo的offer还是十分开心的，有朋友说OPPO是学历厂，简历筛选比较看重学历，这个从今年的情况来看，可能确实有点，因为身边很多双985的朋友或211+985朋友简历挂了好多，可能今年的名额很少，不过感觉如果你和招聘要求比较符合，应211硕应该简历也能过，总体评估是这样。

OPPO面试的总体感觉比较好：一轮初试+两轮复试+一轮hr面试，遇到的所有面试官都比较和善，不会的问题也耐心解答，hr小姐姐也十分的温柔，感觉和面试官以及hr都聊的很开心。

初试：

初试的对象应该是同事，问的问题也比较温和，首先是自我介绍，这个我就简单介绍了一下个人经历。研究生期间发表过一篇B会，获得20个CVE的漏洞编号，参加了一些ctf的比赛并取得名次。然后就介绍了参与的一些实验室项目经历，就没有了。

然后和面试官相互交流了下学习心得体会，感觉大家聊的挺开心的，这个过程中顺道问了简历上的第一个项目，讲解了下项目背景，以及里面担任什么样的角色，以及遇到了哪些问题，怎么解决的。

接着就是问了一些技术问题：

Android框架层常见的漏洞及原理，请列举几个。（这里主要回答了Binder方面的几个经典漏洞）

如何进行Fuzz去挖掘一些漏洞，Fuzz的原理以及现有的一些通用的Fuzz工具。（这里会问你挖到的漏洞，然后以一个漏洞为例，进行深入的询问，不停的询问漏洞的原理以及如何使用Fuzz挖掘，有没有对一些Fuzz进行改进）

关于Fuzz这一块问了很多。

Fuzz技术的原理？

Fuzz技术的分类？

当前主流的Fuzz工具？

Fuzz的切入点？

例如如何获取Ibinder对象？

data如何构造？

然后就问了不了解webview漏洞？

关于这个我之前还看了看雪2020SDC研究嘉宾OPPO安全实验室何恩的《WebView安全攻防指南》，然后结合自己目前发现的一些，就回答了一下。

到这里基本一轮面试就完了，接着就是和面试官相互聊天，谈论一些看法。

复试一轮：

这一面的面试官主要问APP层面的漏洞，怎么说了APP层面漏洞我也了解一些，不过没做过总结，感觉一部分和web上漏洞其实挺像，这里借用一下星球里群主总结的感觉大概也是这些

主要问了Deeplink漏洞的类型，让我举几个例子。

Jauns漏洞的原理？

Pendingintent漏洞原理

（还有一些漏洞我自己说的，这里说了很久）

然后问如何进行半自动化漏洞挖掘？（这里我也看了一些当前开源的工具 app层面基本都是规则）

还有一些半自动化的漏洞工具就是用污点分析？

这里就问了下污点分析的原理？以及如何进行污点分析去挖漏洞，说一下大致流程？

基本到这里就结束了，面试快结束，面试官表示印象不错，最后很快就通过了

复试二轮：

二轮面试估计是一个领导，面试的侧重点在于对整体把控，问项目很多，问细节很少？

三个项目轮番问了一遍？最多的问题就是你遇到这样问题怎么解决的？

然后就是当前研究的一些新的动向了解么？

你认为当前Android上面哪些漏洞危害较大，值得关注？

你对未来自己职业发展的一个规划？

等等吧（其他还有几个问题记不得了）

hr面：

hr面没什么区别，就是你是否单身，期望薪资，个人发展规划，城市要求等等

整体就是这样了，感觉面试过程比较轻松，面试官也挺好，大家春招可以去尝试下。