从实习到春招成为一名安全工程师,我经历了什么
前言
借朋友口述总结了安全招聘面试经历分享,希望更多的人看到这篇文,从中得到启发,找到自己心仪的工作。
基本情况
签了字节的三方,春招终于告一段落。从八月份边实习边准备春招到现在,经历了许多,这篇帖总结一下这几个月的努力。
本人普通本科网络空间安全科班,没有参加过任何竞赛,也没有论文。主要是大学实在有点混哈哈,不想去参加竞赛。大家不要学我,有竞赛经历会给自身能力和简历增添色彩,还能在面试中得到面试官的好感。所以1有能力就多去参加竞赛,比如CTF竞赛、护网行动等。
在大三出去实习的时候找的一个安全渗透的工作,实习了一段时间,也算是有经验了吧哈哈。在实习的期间没人等你,项目经理直接下达命令,一天八小时高强度学习,我只身自律性差,又不知从哪学起,所以报了个班,后面干了几个月,因为是几个人的小作坊,想着总要去大点的公司看一看的,所以就辞职了,开始准备春招。
春招准备
先投了一些提前批和一些小公司当做春招准备
之后在实习之余总结面试知识点,也在不断的面试中总结经验,查漏补缺,最后归纳总结了大概2W字的笔记
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
1、200份很多已经买不到的绝版电子书
2、30G安全大厂内部的视频资料
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
8、网络安全学习路线
春招投递及总结
广撒网,基本上有安全岗位的企业都投递了,主要分为了两个方向,互联网公司和金融证券银行,都是甲方企业,安全的乙方没有投
结果按offer,hr面,和已挂的排序
| 公司 | 理由 |
|---|---|
| 字节跳动 | 蓝军sp,已签 |
| vivo | offer拒 |
| 中国平安 | offer拒 |
| 海康威视 | offer拒 |
| 金山云 | offer拒 |
| keep | offer拒 |
| 上海银行 | offer拒 |
| 民生银行 | offer拒 |
| 盛趣游戏 | 薪资谈崩 |
| 小 鹏汽车 | 薪资谈崩 |
| 同程旅行 | 薪资在谈,估计崩 |
| 数禾科技 | 薪资谈崩 |
| 携程 | hr面完到现在还没消息,估计挂 |
| 招商金科 | hr面完到现在还没消息,估计挂 |
| 西山居 | 不能提前实习,挂 |
| 美团 | 方向不同,无消息 |
| 58同城 | 方向不同,无消息 |
| 百度 | 方向不同,拒 |
| 东方财富 | 整个秋招第一个面试的公司,没有准备好,挂 |
| 中兴 | 面试前沟通叫我去做安全产品销售 秒拒 |
| 网易 | 笔试挂 |
| 小米 | 简历挂 |
| oppo | 简历挂 |
| 知乎 | 简历挂 |
| 腾讯 | 简历挂 |
| 龙湖集团 | 简历挂 |
| 工商银行 | 笔试太晚,不想参加 |
| 建设银行 | 笔试太晚,不想参加 |
| 中信银行 | 笔试太晚,不想参加 |
| 招商银行 | 笔试太晚,不想参加 |
一面
- 自我介绍
- HTTPS协议,在比HTTP增加了什么?
- TLS协议的握手流程?
- 第三步发送后,客户端如何知道对面成功解密开了?
- TCP三次握手的过程
- SQL注入原理与防御
- 比较复杂的SQL搜索语句?
二面
- 介绍一下SSRF漏洞的原理?
- 如何利用SSRF进行提权?获取shell?
- CSDN的XSS漏洞挖掘过程?
- SQL注入的原理?
- 目前防御SQL注入的方式有哪些?
- 有哪些SQL语句无法使用预编译的方式?
- SQL注入如何判断注入点?
- 已知example.com/?id = 1,是mysql,如何获得mysql版本?
- 无回显情况下怎么弄?ceye dnslog外带
- 除了外带呢?
- CSRF的原理?
- CSRF使用POST请求时,如何攻击?隐藏表单
- 不是表单呢?
- 让你来写一个CSRF攻击插件,你怎么写?包含哪些模块?
- SSRF的原理?
- 让你写一个SSRF插件,你怎么写?
## 春招总结
1、一定要尽早投递!!! 一定要尽早投递!!!一定要尽早投递!!!重要的事情说三遍。一些大厂三月就开始提前批了,提前批不仅可以免笔试,还多了一次面试机会,可以积累经验。尽早投递一般hc都很多。而且有些公司不是统一排位评价,是面一个进一个。 所以一定要海投。
2、安全工程师准备面试的问题。面试了这么多公司发现,其实安全工程师不像一些开发岗,八股文问的很深入(安全开发除外)。
只需要把计算机网络,操作系统,数据库等基本知识掌握牢固即可。更重视的安全方面的知识,特别是漏洞相关。一定要熟悉各种漏洞原理,检测方法和修复方法。熟悉实战环境也是非常重要的,无论是实习还是hw,或者是自己平时的靶机练习,至少要有一个。
另外如果安全知识要全面,包括但不限于渗透测试、移动安全,内网渗透,sdl建设,逆向等,虽然工作后可能只做其中一个方向,但是面试时会加分。另外安全工程师面试时对手撕算法不会考得特别深,都是很基础的,有些公司甚至不会手撕,这一方面不必过于担心。
3、面试过后要总结此次面试的问题,最好做成笔记总结知识点,面试多了之后就能如鱼得水了
4、心态要好,简历挂或者面试挂都是很正常的事,特别是前几次面试。挂的原因也不一定完全是你的问题,也可能是岗位不太匹配;或者即使你很优秀,但是hc少,有比你更优秀的人出现。
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
如果你也想学习:黑客&网络安全的零基础攻防教程
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享