近期在和几位小伙伴聊信息安全招聘，尤其对于甲方来说，来应聘的暂分两类，乙方类型、甲方类型，区分还是很明显的，到底是面试造火箭，还是入职拎螺丝，真是一个巧妙地话题，我发现很多候选人在写简历和面试的时候不知道面试官想考察啥。所以想简单说说自己的看法。

这个问题知乎也有非常对地回答，经典地也很多，这篇文章，我把自己面试会问的题目大概的罗列下来，进行一个探讨；
因为不是大厂，而且岗位小众，为了尽可能不遗漏，基本所有简历都会过一遍，主要看以下几点：

技术方向：

1. 最基础的SQL注入、Xss与Csrf与Ssrf 的区别、文件上传绕过方法等应用安全测试点；

这个地方主要考察渗透测试能力，能都胜任岗位，说白了，就是能否干活，技术能否达标。

2. 后面会根据简历来问，主要是技术方向的细分场景

有的会写自己会内网渗透提权：
Q1:攻击机（kali）开了80服务（php及python），靶机存在远程文件包含（RFI）漏洞，靶机是PHP环境
   当靶机通过文件包含攻击机的文件时（文件中：反弹shell的命令），请问反弹的是谁的shell？
Q2：nmap 默认的扫码端口是多少个？
有的会写自己精通各种协议，如TCP/IP等，问的问题就是http转化https的过程
还有如加密算法，那问的就是对称加密和非对称加密，常见分类，还有DES S8 盲盒算法
接上面的问题，还会问进制转换，如二进制转换十进制，可以尝试现场手算

3. 最后会涉及移动端安全测试、小程序测试

这一块，主要切合本公司的业务进行提问，常见几个必问的问题：
基于微信生态圈H5抓包测试与PC端的的区别
安卓和IOS的小程序抓包情况，能否抓，那些版本有限制

意识方向：
1. SDLC整体流程及其各流程的事项

这一块主要考察，甲乙双方的意识形态的切换，很对乙方往甲方切换的时候，会以技术为第一
里面涉及的安全培训、安全测试工作安排、漏洞修复推进、沟通技巧几个问题

2. 法律法规

这一块主要会问，网络安全法、数据安全法等是否有了解，
契合数据安全法，作为IS，应该主要关注问题，核心考察敏感数据展现、传输、存储

3. 沟通技巧

这一部分可以问一个问题：如何推动漏洞修复以及如果推进研发不认可的漏洞。

顺带吐槽，约好的面试，千万不要鸽子，实在不行也要和HR沟通，约其他时间；
约好的电话面试，提前准备好环境，别让面试官打很多次电话。这样对双方都没有好处；
生而为人，从被面试到面试，转化很快的，如果一直这样的品行，我觉得其真不适合工作，祝好。