年底,刚过了校招和跳槽的密集阶段,有的同学拿到了心仪的Offer,有的同学却铩羽而归。星球里也有小伙伴提出了这样的问题:安全相关的工作,有没有什么面试技巧呢?
由于安全门类巨大,涉及的技术很多,我们今天不聊具体技术,就说说面试前,你应该准备一些什么。
首先,发送简历时使用pdf,不要用word,简历文件名规范一点,比如[学校] - [姓名].pdf,不要“简历.pdf”这种,这样HR归纳汇总的时候很麻烦。
有Github、博客、SRC等页面和id的可以附上。有挖掘过相关漏洞(CVE)的,请附上,如果是刷CVE的那种,别写。拿过CTF或SRC奖项的可以附上,比较水的可以不写。
工作经历写的简练一些,什么时间做了什么事,用了什么方法,达到了怎样的效果。一定要好好想想自己究竟做了什么,而不是给人以平庸或者混日子的印象。
面试的话,常见漏洞类型、防御方法、渗透思路什么的能够说清楚。然后像Java安全相关的内容、域和内网相关内容、或者前沿的一些攻击方式,至少得有一个方向你能擅长吧,并给面试官说明白。主动一点,你的长处你想办法主动说出来,否则跟着面试官的思路走,问一些你不懂的你怎么办。
建议自己主动做个自我介绍,然后把自己擅长的内容介绍出来,自信一点。
问问题的时候如果你真的不知道,那就干脆别说吧,说一堆错的也没意义。
像代码审计这种,如果你说你会代码审计,至少我得看到你有过一些完整CMS的漏洞挖掘的成果。不要说你做安服时候遇到一个php文件,你挖出一个漏洞这个就算代码审计,这个不算的。PHP、Java里常见的函数和作用、绕过方式等自己多多复习。
还有,历史上一些影响较大的漏洞,像Weblogic、fatsjson、jenkins、struts2、ThinkPHP、joomla的什么RCE呀SQL注入呀可以都复习一下,原理说不清楚利用方法也得说清楚,也许会被问到。
然后自己整理几个个自己觉得挖过的不错的漏洞、思路什么的,以备不时之需。
讲话口齿清晰一点,不要紧张,说事要有条理,回答最好能整理出1、2、3、4,这样说明知识在你那里是成体系的。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
如果你也想学习:黑客&网络安全的SQL攻防
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
在这里领取:
这个是我花了几天几夜自整理的最新最全网安学习资料包免费共享给你们,其中包含以下东西:
1.学习路线&职业规划