有粉丝问我,快毕业了,大学前几年啥也没学,大三考研又耽误了一年,错过了找实习的黄金期,到现在没有实习经历,项目经历也很少,毕业之后感觉也找不到工作,有没有高人指点一下下一步该怎么走?
这行要是想找好工作,八仙过海,各显神通。我说下我接触过的一些人和一些经历
1.很多大厂实习生要求有真实的内网渗透经验,在校上课的学生上哪里搞真实的内网打,有没有这个路子。
2.打CTF也没毛病,一直刷题最后得了国家或者省级的奖就熬出头了,省级奖够不够用我也不确定,但是祥云杯这种的还是可以,不过得奖的人去掉水赛和人情世故局,始终人数不多,id也和team都是熟悉的。
3.Hvv给的多,但是hr都知道这个项目经历没什么卵用,就是猴子看屏幕。除非你当攻击方,又回到了第1点,要求有hvv攻击方经验,内网经验,要拿过网站shell。
4.而且就算进了攻击方,依旧没有熬出头,我参与了好几次防守没有一次丢分的。
客户会预先让各个厂商用扫描器扫描一遍资产,有漏洞就修复,修复不了就拔网线。
然后客户把攻击面收敛,就两个入口ip,然后入口这里给怼上7-8个厂商的设备拦截,waf探针防火墙蜜罐ips ids都怼上,十几个人24小时监测,扫描立马封ip,攻击方为了完成扫描工作就要买代理池,几十几百一天,有的公司让自己掏腰包不报销。
你要是实名扫描,蜜罐一下子给你开盒。
即使攻击方挂上代理池,实际攻击流量能过入口的也不多,都被设备自动拦截了。为数不多不会被拦截的payload会被监测全部封禁,内网所有机器上全流量和edr,vpn所有账号密码24小时有人监控,有人新账号或者修改密码立马禁用。
然后就有人去社会工程,我在网上确实看到过有大佬成功案例的,但是我实际经历是有人跑过来社工送快递然后被抓了。。。客户防御纵深摆在这,很混难进来。
而且个别厂商要求出成绩,不然扣钱,所以就熬夜打。
5.还有种情况,就是在小地方当攻击队,那难度可能会低一点,但是依旧和牛马一样累,给的也不算高。
6.某师傅去了一个小公司,准一线城市,当地郊区房价18年已经2.2w一平了。转正后月薪4k多。真就离谱,我在那个城市市中心兼职过保安,一个月还4.3k包吃住呢。保安不用学习每天巡逻几圈剩下时间刷刷手机就4k。打攻防爆肝一个月给4k我确实接受不了,因为我单洞就2-4k(逃),所以我无业游民了hhhh
7.我为什么不推荐你小公司?安全圈有一个非常奇葩的现象,个别大厂也有。部分技术岗的技术非常捉急,连python的if else条件分支都看不懂,我已经在现实中遇到n次了(不懂int和str类型区别的人)。我不是强制所有人都会python,但是面试要求上都写着掌握漏洞原理和工具开发了,知道整型和字符串是什么不过分吧。有些面试官总让背那几个洞的poc,真没啥意思,我说出来了的框架的漏洞原理和出现问题的代码位置,面试官也听不懂。这种公司你去了浪费科班的知识,天天扫描器poc一把梭。还有一部分人有一种迷之歧视,眼高手低,觉得ctf随便百度下就能拿大奖。只有镀金赛会是这种难度。
8.做技术不是你想的那么公平,对于同一个岗位,不同的面试者可能是两个难度。某安全公司中高级工程师,月薪16-25k,考试题是buu的basic题目和墨者靶场,你去了也可以拿满分,但是不是所有人都有资格进入这个考试。所以如果有大腿可以抱,你可以在安全圈混的很舒服。
9.关于校招,秋招的时候学校要上课考试,我没有参加。春招群里好多哈工大复旦厦大上交的大佬,吓得我瑟瑟发抖。都说搞安全有技术就行,事实上985科班学历高,技术也强。搞病毒搞分析还有ctf到后期比的就是知识深度。
说了这么多,其实现在马上毕业了,也找不到合适的工作。在大安全厂实习过,真心不难,奈何生不逢时哈哈哈,现在单位渗透已经饱和了。有些等保工作缺人,但是国标之类的不了解也干不了。学网安当黑客其实是从小到大的梦想吧,找不到工作也不后悔。虽然没有和网上的黑客一样轻轻松松控制别人服务器,但是挖src的时候进管理员后台也知足了,梦想也算完成了。家里条件还可以,就当个爱好搞,挣不挣钱的无所谓。学习安全的过程还是挺快乐的,和别人一起讨论漏洞原理多有意思,当完全弄明白某个经典漏洞原理和代码位置的时候,那家伙,相当爽。
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享