怎麼準備安全面試最高效?不看後悔系列
前言
感謝兩百多位朋友關注我的公眾號,在上次發文前我是沒有想到的,這對我是一種激勵。
回顧我學習的時光裡,我覺得最大的困難是沒有老司機帶帶我、沒有技術氛圍,只能自己獨自摸索,甚至花很多時間去搜集各種網路教程、加各種群和社群,積極性很難一直保持,這也是非信安強校或者非信安專業的同學們尷尬之處。
所以在這 NeverSec 這個公眾號這裡,我技術方面雖然比較一般,比不上各位大佬,但我與其它安全技術號不同的是,我不分享什麼技術,而是更願意去分享我作為安全行業新人的各種踩坑經驗,以便能讓大家少走一點彎路,有所感悟。下幾篇文章我會說說我走滲透測試這條路的經驗,今天就先講講我的有關實習的看法和怎麼準備面試吧。
要不要去實習?
其實這個問題的回答,對大多數人來說都是毋庸置疑的吧,畢竟在真正的安全公司實習,無論你是無窮無盡地用掃描器寫文件還是寫 POC 打打雜,初看上去非常繁雜,但是這一般都是每位安全菜鳥進公司工作的第一步,這些經歷都是非常有價值的,可以讓你對安全工作的整體流程有所瞭解,也可以多認識很多安全方面的人脈。
大學的時候,我沒有真正到公司實習過,只經歷過一些專案和 CTF 比賽。回想起來其實有點後悔,主要在於三個方面:簡歷可說的東西不多,海投簡歷的時候容易在對比中被篩掉,技術面的回答不夠實際或深度不足。但所幸,我 CTF 有些成績,也對 Web 安全方面有點可說的東西,面試準備得比較充分,所以在技術面試的時候對我能答上的話題也能有話可說。
總的來說,如果你不是技術大牛,能夠沉下心來將技術研究得很深的話,或者不是 CTF 大牛,能在省級以上拿過比較好的名次,最好還是從大二下學期開始準備實習。我說了這麼多如果你還不想實習的話,我……
如何準備面試?
總結下自己的經驗
開啟一個空白的記事本,思考並且逐一寫下:
你會什麼安全方面的技術,可以對技術進行細分,比如說一級是 Web 滲透,二級是 SQL 注入,三級是 MySQL注入,四級是如何發現、如何進行注入(技術細節)、如何提權等等。
你有什麼相關的安全經歷,包括 CTF 經歷和實習或工作經歷。
你最怕面試官問什麼問題? 你可能對第三點有點疑問,但是這最能暴露出你的問題,能及時對你缺失的東西進行補救。
準備一個簡單的簡歷
沒什麼經驗的同學在寫簡歷的時候,都會傾向於找一個特別酷炫的簡歷模板,實際上公司的 HR 什麼簡歷樣式沒見過呢?在我看來,最好的簡歷是重點突出,簡潔大氣。應屆生寫簡歷最大的一個問題在於:工作經驗較少甚至沒有、不瞭解企業招聘。
一般來說,簡歷只需要有三個資訊:個人資訊、個人經歷和其它資訊。著重說一下個人經歷吧,如果你有工作經歷,那是最好不過了,你需要寫的三點是在專案中你做了什麼、怎麼去做的(使用了什麼技術)、最後有什麼成果。如果你沒有工作經歷,那麼在準備的時候你就需要有一些小的自己的經歷,比如如何實現一個小 WAF、如何實現一個掃描器、如何對一個網站滲透等等,有 CTF 經歷的寫一下最好的兩個名次和側重的方向。對重點的資訊,使用加粗重點標註。
為什麼要如此慎重呢?因為這裡是面試官大概率會問到的地方。所以,寫完這塊後,站在面試官的角度去想,如果你面試這個人,你會問什麼問題,根據面試人的回答,你會根據回答問什麼問題……一直反問自己,暴露自己的缺點及時補漏。另外一個方面,這也是引導面試官到你擅長的方面一個重要的方法,如果你很擅長 SQL 注入,你就可以標重點,體現自己 SQL 注入的能力,如果你能對面試官的關於 SQL 注入的問題對答如流,我覺得這次技術面你就穩了。
最後,根據每個公司的 JD(職位要求),對簡歷進行微調,這塊兒又是一個大坑了,展開要說好多,總之,投其所好就對了。
準備一下面試的回答
雖然你可能會很多東西,滲透的時候就是一把梭,但是面試的時候可不能直接 Google 查文件,萬一問到你會的但是回答不出的就涼了,所以你還是需要準備一下如何組織回答,問題可以看一下我的面試問題總結:
github.com/Leezj9671/Pentest_Interview
在準備回答的時候,寫下來你的回答,並不斷修改,想一想你回答這個問題後,面試官還會根據你回答的點問出什麼問題。不斷地進行推敲過後,你會發現你在準備的時候也會學習到很多東西,你的技術也會不斷上升。
最後,讓你的朋友或者同學對你進行一個小小的模擬面試,練練你的膽量,一旦公開說話就很緊張的同學更加要多練啦!練好的話,面試官肯定會很欣賞你~
END
基本的面試準備就說這些,當你準備好後就可以開始海投簡歷啦。不過,最好也是最快的方法,還是找安全行內的同學進行內推,在安全相關群裡一問都會有很多同學非常樂意的。在後面我還會講講技術面的一些小技巧和一些大小廠商面試的經歷,我是如何入門滲透測試的文章也在準備中了,記得持續關注我噢!
