怎么准备安全面试最高效?不看后悔系列

Posted 代码熬夜敲

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了怎么准备安全面试最高效?不看后悔系列相关的知识,希望对你有一定的参考价值。

前言:

回顾我学习的时光里,我觉得最大的困难是没有老司机带带我、没有技术氛围,只能自己独自摸索,甚至花很多时间去搜集各种网络教程、加各种群和社区,积极性很难一直保持,这也是非信安强校或者非信安专业的同学们尴尬之处。


,我技术方面虽然比较一般,比不上各位大佬,但我与其它安全技术号不同的是,我不分享什么技术,而是更愿意去分享我作为安全行业新人的各种踩坑经验,以便能让大家少走一点弯路,有所感悟。下几篇文章我会说说我走渗透测试这条路的经验,今天就先讲讲我的有关实习的看法和怎么准备面试吧。

要不要去实习?

其实这个问题的回答,对大多数人来说都是毋庸置疑的吧,毕竟在真正的安全公司实习,无论你是无穷无尽地用扫描器写文档还是写 POC 打打杂,初看上去非常繁杂,但是这一般都是每位安全菜鸟进公司工作的第一步,这些经历都是非常有价值的,可以让你对安全工作的整体流程有所了解,也可以多认识很多安全方面的人脉。

大学的时候,我没有真正到公司实习过,只经历过一些项目和 CTF 比赛。回想起来其实有点后悔,主要在于三个方面:简历可说的东西不多,海投简历的时候容易在对比中被筛掉,技术面的回答不够实际或深度不足。但所幸,我 CTF 有些成绩,也对 Web 安全方面有点可说的东西,面试准备得比较充分,所以在技术面试的时候对我能答上的话题也能有话可说。


总的来说,如果你不是技术大牛,能够沉下心来将技术研究得很深的话,或者不是 CTF 大牛,能在省级以上拿过比较好的名次,最好还是从大二下学期开始准备实习。我说了这么多如果你还不想实习的话,我……

如何准备面试?

总结下自己的经验

打开一个空白的记事本,思考并且逐一写下:

你会什么安全方面的技术,可以对技术进行细分,比如说一级是 Web 渗透,二级是 SQL 注入,三级是 mysql注入,四级是如何发现、如何进行注入(技术细节)、如何提权等等。

你有什么相关的安全经历,包括 CTF 经历和实习或工作经历。

你最怕面试官问什么问题? 你可能对第三点有点疑问,但是这最能暴露出你的问题,能及时对你缺失的东西进行补救。

准备一个简单的简历

没什么经验的同学在写简历的时候,都会倾向于找一个特别酷炫的简历模板,实际上公司的 HR 什么简历样式没见过呢?在我看来,最好的简历是重点突出,简洁大气。应届生写简历最大的一个问题在于:工作经验较少甚至没有、不了解企业招聘。

一般来说,简历只需要有三个信息:个人信息、个人经历和其它信息。着重说一下个人经历吧,如果你有工作经历,那是最好不过了,你需要写的三点是在项目中你做了什么、怎么去做的(使用了什么技术)、最后有什么成果。如果你没有工作经历,那么在准备的时候你就需要有一些小的自己的经历,比如如何实现一个小 WAF、如何实现一个扫描器、如何对一个网站渗透等等,有 CTF 经历的写一下最好的两个名次和侧重的方向。对重点的信息,使用加粗重点标注。

为什么要如此慎重呢?因为这里是面试官大概率会问到的地方。所以,写完这块后,站在面试官的角度去想,如果你面试这个人,你会问什么问题,根据面试人的回答,你会根据回答问什么问题……一直反问自己,暴露自己的缺点及时补漏。另外一个方面,这也是引导面试官到你擅长的方面一个重要的方法,如果你很擅长 SQL 注入,你就可以标重点,体现自己 SQL 注入的能力,如果你能对面试官的关于 SQL 注入的问题对答如流,我觉得这次技术面你就稳了。


最后,根据每个公司的 JD(职位要求),对简历进行微调,这块儿又是一个大坑了,展开要说好多,总之,投其所好就对了。

准备一下面试的回答

虽然你可能会很多东西,渗透的时候就是一把梭,但是面试的时候可不能直接 Google 查文档,万一问到你会的但是回答不出的就凉了,所以你还是需要准备一下如何组织回答,问题可以看一下我的面试问题总结:

https://shimo.im/docs/TdpXTY6H9J8jygd8/read

在准备回答的时候,写下来你的回答,并不断修改,想一想你回答这个问题后,面试官还会根据你回答的点问出什么问题。不断地进行推敲过后,你会发现你在准备的时候也会学习到很多东西,你的技术也会不断上升。

最后,让你的朋友或者同学对你进行一个小小的模拟面试,练练你的胆量,一旦公开说话就很紧张的同学更加要多练啦!练好的话,面试官肯定会很欣赏你~

END

基本的面试准备就说这些,当你准备好后就可以开始海投简历啦。不过,最好也是最快的方法,还是找安全行内的同学进行内推,在安全相关群里一问都会有很多同学非常乐意的。在后面我还会讲讲技术面的一些小技巧和一些大小厂商面试的经历,我是如何入门渗透测试的文章也在准备中了,记得持续关注我噢!

以上是关于怎么准备安全面试最高效?不看后悔系列的主要内容,如果未能解决你的问题,请参考以下文章

js-面试官想知道你有多理解call,apply,bind-不看后悔系列

《Android开发从初级到资深全套学习资源》,Android大厂面试必备,不看后悔

面试官教你 ,如何应对秋招面试(不看后悔篇)!!!

《不看后悔》超赞!来一份常见 JVM 面试题+“答案”!

史上最全的数据库面试题,不看绝对后悔

史上最全的数据库面试题,不看绝对后悔