大家好,我是无涯,一个工作多年的安全老司机, 曾在奇安信集团担任高级渗透测试工程师,前后参与四届全国HVV行动、北京冬奥重保等活动。
又快到了毕业季,大四的漂亮学姐即将下架,大一的小学妹还在来的路上,每逢这时候我心中总是有些小惆怅和小激动……
作为学长,还是要给这些马上要初出茅庐的学弟学妹们,说说走出校园、走向职场要注意哪些方面。
走出校园后的第一步就是面试啦,对于面试方面的技巧和文章网上太多太多了,而安全行业是有别于其他行业的,面试中遇到奇葩面试官和各种稀奇古怪的问题的几率是很高的,作为过来人我要和学弟学妹们说道说道啦,快搬过来小板凳好好听讲。
目录
一、面试开场白
一般首先是一段例行的开场自(说)我(学)介(逗)绍(唱),在这里我直接给你个万能公式:
在xx安全论坛投稿过xx篇文章,获得xx元稿费。
在xx众测,提交过xx漏洞,获得过xx元奖金。
有x年以上的Web/App漏洞挖掘、业务逻辑漏洞挖掘经验。
精通xx,xx,xx语言,能独立开发poc和exp。
获取xx张CNVD证书 和 xx CVE编号。
在xx安全会议上进行过xx演讲。
面试官要在这几分钟看看你的表达能力和随便翻翻你的简历,之后就会根据他们感兴趣的点开始面(盘)试(问)了,重点来了,经常被问到的有以下几点:
1、对安全行业的了解啊,之前有没有安全行业的实习或者工作经验啊;
2、毕设的方向啊,研究内容是不是有深度啊;
3、实习工作的内容啊,参与的实习项目,在项目中承担的工作及完成情况;
4、面试职位的优势啊,个人的优缺点啊;
当然上面这些都是很常规的,有些职位如渗透测试、漏洞挖掘、安全研究员之类的就会有各种意想不到的问题了……
如果问你离职原因:可以回答在公司个人发展受限,别整出“公司不被允许员工过年回家”的烂借口。
作为一个安全老司机,我曾经作为面试者被面试官折磨过,也作为面试官折磨过面试者,总结了以下几点经验供安全小白们参考:
1、简历切记不要贪全,页数不要太多,要结合面试职位突出重点;
2、了解专业技术问题,比如面试“WEB渗透测试”岗位,至少要掌握owasp top 10 的漏洞原理和测试方法吧;
3、代码作品可以附上github地址,有些技术类的面试官还真是回去看你的github,如果有像样儿的作品可以给自己加分不少;
4、提交过的漏洞编号,比如高大上的CVE啊、接地气的CNVD啊等等;
5、在互联网src提交过的经典漏洞和名次,用这个证明下实战经验还是不错的,至少比你说做过黑产要好。
二、高频面试题汇总
本套面试题,已整理成pdf文档,但内容还在持续更新中,因为无论如何都不可能覆盖所有的面试问题,更多的还是希望由点达面,查漏补缺,如果你感兴趣的话,可以给这篇文章点个赞同与收藏,然后点击《