怎么准备渗透-安全面试最高效？不看后悔系列

前言

---

回顾我学习的时光里，我觉得最大的困难是没有老司机带带我、没有技术氛围，只能自己独自摸索，甚至花很多时间去搜集各种网络教程、加各种群和社区，积极性很难一直保持，这也是非信安强校或者非信安专业的同学们尴尬之处。

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/41c3ae5286154807a4e63d8e73a21d59.png)

所以在这 NeverSec
这个公众号这里，我技术方面虽然比较一般，比不上各位大佬，但我与其它安全技术号不同的是，我不分享什么技术，而是更愿意去分享我作为安全行业新人的各种踩坑经验，以便能让大家少走一点弯路，有所感悟。下几篇文章我会说说我走渗透测试这条路的经验，今天就先讲讲我的有关实习的看法和怎么准备面试吧。

要不要去实习？

其实这个问题的回答，对大多数人来说都是毋庸置疑的吧，毕竟在真正的安全公司实习，无论你是无穷无尽地用扫描器写文档还是写 POC
打打杂，初看上去非常繁杂，但是这一般都是每位安全菜鸟进公司工作的第一步，这些经历都是非常有价值的，可以让你对安全工作的整体流程有所了解，也可以多认识很多安全方面的人脉。

大学的时候，我没有真正到公司实习过，只经历过一些项目和 CTF
比赛。回想起来其实有点后悔，主要在于三个方面：简历可说的东西不多，海投简历的时候容易在对比中被筛掉，技术面的回答不够实际或深度不足。但所幸，我 CTF
有些成绩，也对 Web 安全方面有点可说的东西，面试准备得比较充分，所以在技术面试的时候对我能答上的话题也能有话可说。

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/fcde326ab6e34b58a5c6736e8bd3c69f.png)

总的来说，如果你不是技术大牛，能够沉下心来将技术研究得很深的话，或者不是 CTF
大牛，能在省级以上拿过比较好的名次，最好还是从大二下学期开始准备实习。我说了这么多如果你还不想实习的话，我……

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/b1b69c1a6e5c4eee822760bde4663274.png)

如何准备面试？

总结下自己的经验

打开一个空白的记事本，思考并且逐一写下：

1. 你会什么安全方面的技术，可以对技术进行细分，比如说一级是 Web 渗透，二级是 SQL 注入，三级是 MySQL注入，四级是如何发现、如何进行注入（技术细节）、如何提权等等。
2. 你有什么相关的安全经历，包括 CTF 经历和实习或工作经历。
3. 你最怕面试官问什么问题？ 你可能对第三点有点疑问，但是这最能暴露出你的问题，能及时对你缺失的东西进行补救。

准备一个简单的简历

没什么经验的同学在写简历的时候，都会倾向于找一个特别酷炫的简历模板，实际上公司的 HR
什么简历样式没见过呢？在我看来，最好的简历是重点突出，简洁大气。应届生写简历最大的一个问题在于：工作经验较少甚至没有、不了解企业招聘。

一般来说，简历只需要有三个信息：个人信息、个人经历和其它信息。着重说一下个人经历吧，如果你有工作经历，那是最好不过了，你需要写的三点是在项目中你做了什么、怎么去做的（使用了什么技术）、最后有什么成果。如果你没有工作经历，那么在准备的时候你就需要有一些小的自己的经历，比如如何实现一个小
WAF、如何实现一个扫描器、如何对一个网站渗透等等，有 CTF 经历的写一下最好的两个名次和侧重的方向。对重点的信息，使用加粗重点标注。

为什么要如此慎重呢？因为这里是面试官大概率会问到的地方。所以，写完这块后，站在面试官的角度去想，如果你面试这个人，你会问什么问题，根据面试人的回答，你会根据回答问什么问题……一直反问自己，暴露自己的缺点及时补漏。另外一个方面，这也是引导面试官到你擅长的方面一个重要的方法，如果你很擅长
SQL 注入，你就可以标重点，体现自己 SQL 注入的能力，如果你能对面试官的关于 SQL 注入的问题对答如流，我觉得这次技术面你就稳了。

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/e8e3674034f044fa9433a8a870ffbc79.png)

最后，根据每个公司的 JD（职位要求），对简历进行微调，这块儿又是一个大坑了，展开要说好多，总之，投其所好就对了。

准备一下面试的回答

虽然你可能会很多东西，渗透的时候就是一把梭，但是面试的时候可不能直接 Google
查文档，万一问到你会的但是回答不出的就凉了，所以你还是需要准备一下如何组织回答，问题可以去文章末尾取面试题资料。

在准备回答的时候，写下来你的回答，并不断修改，想一想你回答这个问题后，面试官还会根据你回答的点问出什么问题。不断地进行推敲过后，你会发现你在准备的时候也会学习到很多东西，你的技术也会不断上升。

最后，让你的朋友或者同学对你进行一个小小的模拟面试，练练你的胆量，一旦公开说话就很紧张的同学更加要多练啦！练好的话，面试官肯定会很欣赏你~

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-
blog.csdnimg.cn/direct/1161e216193940bc97f20fd2777a03a1.png)

END

基本的面试准备就说这些，当你准备好后就可以开始海投简历啦。不过，最好也是最快的方法，还是找安全行内的同学进行内推，在安全相关群里一问都会有很多同学非常乐意的。在后面我还会讲讲技术面的一些小技巧和一些大小厂商面试的经历，我是如何入门渗透测试的文章也在准备中了，记得持续关注我噢！

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/0213df45f67e440598f2eb7a281061ca.png)

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，

那么你需要的话可以点击这里[网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！](https://mp.weixin.qq.com/s/XUUi068FpkL-
MHzkVVTz2w)

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。

## 最后
从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门程度而已，能力越强机会才越多。

因为入门学习阶段知识点比较杂，所以我讲得比较笼统，大家如果有不懂的地方可以找我咨询，我保证知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。

干货主要有：

①1000+CTF历届题库（主流和经典的应该都有了）

②CTF技术文档（最全中文版）

③项目源码（四五十个有趣且经典的练手项目及源码）

④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）

⑤ 网络安全学习路线图（告别不入流的学习）

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

扫码领取