秋招回忆录：我的网络安全求职之路

最新推荐文章于 2024-10-02 15:25:16 发布

网络安全_入门教程

最新推荐文章于 2024-10-02 15:25:16 发布

阅读量902

点赞数 10

文章标签： web安全安全网络网络安全秋招

本文链接：https://blog.csdn.net/Python84310366/article/details/141641370

版权

又到八月，又是一年秋招季。

半年前跟明叔交流时，我说要把我去年的秋招经历写下来，发给他做文章，希望给大家一些参考经验。现在终于有时间，坐下来好好写写自己的经历。

首先，简单介绍一下自己。我是24届应届生，本科毕业于211院校的计算机专业，研究生就读于中上985院校的计算机专业。出于个人隐私保护的考虑，这里就不详细说明了。

与明叔的结缘

大约六七年前刚上大学的时候，我因为身边有人从事网络安全行业，开始接触CTF和学校里的网络安全社团，也因此看到了明叔的渗透测试教程。从那时起，因为个人的兴趣与缘分，我在本科时就确定了要走网络安全这条路。尽管身边很多同学选择了开发方向，但我觉得开发比较烧脑，竞争压力也更大。

在本科期间，我参加了几次CTF比赛，成绩一般，只是获得了中间位置的排名。不过，通过这些比赛，我认识了很多志同道合的同龄人。现在的CTF比赛大多是各个企业或院校举办的，内容比较抽象。用周鸿祎的话说，这些比赛更多是“花拳绣腿”，很少能获取到实战经验。我印象最深的例子是在某次CTF比赛中遇到一道凯撒密码的题目，当时我用Python脚本解密，输入日期时写的是“2021.7.12”，结果没对上，后来才发现要写“2021.07.12”才能得到正确的密文。从那之后，我也就很少再参加CTF比赛了。主要原因是技术不过关，拿不到好名次就放弃了，哈哈。不过几次比赛中，我也请教过明叔一些技术问题，他的回复很及时，帮助我顺利完成了任务，获得了不错的积分。

转战SRC漏洞挖掘

后来，我除了玩CTF，也开始转向挖掘SRC漏洞。在2020年左右，我还挖到了不少SQL注入漏洞，每提交一个都能标记为严重。同时，技术上也有了明显提升，我需要阅读大量技术文章来进行实操，例如WAF绕过、编写时间盲注脚本等。刚入门时的一年多，我一边通过实践操作积累经验，一边通过看暗月不断更新的视频学习新知识。

大二那个暑假，我有幸获得了某安全厂商的渗透测试实习机会，实习了三四个月。在这段时间里，我跟着实习带我的师傅学了很多，主要是做一些项目的标准化渗透测试流程。虽然这些操作对技术提升帮助不大，但让我充分了解了各类漏洞的多样性和利用方式。我印象最深的是某CMS系统的登录模块，可以通过二次注入写入WebShell。这种攻击方式我在暗月的教程中学到过，但真正遇到实战时，还是感到耳目一新。

初次接触HVV

大三的时候，我还参与了HVV（红蓝对抗演习），不过当时不太懂，被中介骗去做了红队的“打下手”。不过，同组里有非常厉害的红队师傅，我经常向他请教思路和想法，与大佬进行头脑风暴，受益匪浅。记得师傅让我写了一个Python脚本，扫描资产的50050端口，看有没有服务器被挂上CS并使用了弱密码。连续扫描了几个小时，最终真的找到了一台被挂上CS 4.0的服务器，密码竟然是百度上CS教程的默认密码。这次经历让我大开眼界，虽然被中介坑了，但学到了很多技术思路，感觉也不亏。

研究生阶段

本科毕业后，我选择继续读研究生，方向是车联网的网络安全。研究生期间，我没有太突出的成绩，但一直坚持挖SRC漏洞。有一个月还曾在漏洞盒子的月排行榜上名列前茅，不过之后再也没上过榜了。

秋招总结

研究生快毕业时，我参与了秋招。从找暑期实习到最后做出选择，持续了半年时间。总结一下，竞争压力非常大，学历非常重要。我记得暗月的教学交流群里第一句话就是“学历很重要”。除此之外，经历也很重要。我手里有2篇安全相关专利、1篇安全相关论文、2个CNVD，以及某月SRC的靠前排名，加上有渗透相关的实习和项目经历，这才让我在去年的秋招中苟延残喘地挺了过来。

Offer总结

最后，简单列一下我手里的Offer：

某外卖平台：年包32

某物联网公司：年包35

某车企：年包30

某运营商：年包21

某安全厂商：年包25

另一家安全厂商：年包22

某知名企业：年包30

可能是运气和实力稍差一些，没能进到互联网大厂，不过我计划再准备几年，之后再尝试跳槽到大厂。

最后

说实话，在网络安全这个圈子里，除了学历，明叔教给我的东西对我的帮助是最大的。刚看明叔的教程入门时，我就开始玩CTF，之后又有幸获得安服实习的机会，并通过明叔后期难度较大的教程提升了技术，比如Shiro、Redis未授权、Java反序列化漏洞等，在SRC漏洞挖掘中都起到了重要作用。整个经历对我找工作帮助很大。