前言:回顾自己的学习时光,我觉得最大的困难是没有老司机指导,没有技术氛围,只能自己摸索,甚至花了一个大量时间收集各种网上教程,加入各种小组和社区,很难一直保持热情,这对于非强校或学分保障专业的同学来说也是一种尴尬,虽然我的技术比较一般,没有你们好,但是我和其他安全技术号不同的是我不分享任何技术,但是我更愿意分享我各种踩坑的经验作为安全行业的新人。为了让大家少走点弯路,多一些感悟。在接下来的几篇文章中,我将谈谈我走渗透测试这条路的经历。今天,我将谈谈我对实习的看法以及如何准备面试。你想实习吗?其实这个问题的答案对于大多数人来说是毋庸置疑的。毕竟在真正的安全公司里,不管你是没完没了的拿着扫描仪写文档,还是写POC做杂务,乍一看好像很复杂。但这一般是每个安全菜鸟进入公司工作的第一步。这些经历非常宝贵,让你了解了安全工作的全过程,认识了很多安全联系人。大学的时候并没有真正去公司实习过,只是经历了一些项目和CTF比赛。回想起来其实挺后悔的,主要是三个方面:简历没有太多可说的,海外投简历比较容易被筛选掉,技术答案不实用,深度不够足够的。不过好在自己有一些CTF成果,对于web安全也有话要说。面试准备的很充分,所以对于技术面试中我能回答的话题也能有话要说。一般来说,如果不是技术高手,能静下心来深入研究技术,或者不是CTF高手,能拿到省级以上更好的排名,最好从第二学期开始。大二开始准备实习。我都说了,如果你还不想实习,我……你准备怎么面试?总结经验打开一个空白的记事本,思考并一一记下:你知道什么安全技术,可以细分技术,比如第一层是Web渗透,第二层是SQL注入,第三层是MySQL注入,第四层是如何发现,如何注入(技术细节),如何提权等。有什么相关的安全经验,包括CTF经验和实习或工作经验。你最怕面试官问什么问题?您可能对第三点持怀疑态度,但这是最能揭示您的问题并且可以及时补救您所遗漏的那一点。准备一份简单的简历。经验不多的同学在写简历的时候往往会找一个特别酷的简历模板。其实公司的HR有什么简历风格没见过?在我看来,最好的简历是重点和简洁的。应届毕业生写简历最大的问题之一就是工作经验少甚至没有,对企业招聘不了解。一般来说,一份简历只需要三个信息:个人信息、个人经历、其他信息。让我们专注于我的个人经历。如果你有工作经验,那是最好的。你需要写的三点是你在项目中做了什么,你是怎么做的(用了什么技术),最后的结果是什么。如果你没有工作经验,那你准备的时候需要有一些自己的小经验,比如如何实现一个小的WAF,如何实现一个扫描器,如何渗透一个网站等等。写最近的CTF经验好的两个排名和方向要关注。对于重要信息,请使用粗体关键标记。为什么要如此谨慎?因为这是面试官最有可能问的地方。所以,写完这块,站在面试官的角度想一想,如果你面试这个人,你会问什么问题,根据面试官的回答,你会根据这个答案问什么问题……不断问自己,暴露自己的缺点及时补漏。另一方面,这也是引导面试官找到你擅长的领域的重要途径。如果你擅长SQL注入,可以标记出关键点来体现你的SQL注入能力。如果你能看懂面试官的SQLinjection问题的回答很流畅,我想你这次在技术面就稳了。最后根据各公司的JD(职位要求)对简历进行微调。准备面试答案。虽然你可能知道很多东西,但是渗透的时候是穿梭,但是面试的时候不能直接google文档。您需要准备如何组织您的答案。有问题可以看我的面试题总结:https://shimo.im/docs/TdpXTY6...准备回答的时候把答案写下来,不断修改。想想你回答完这个问题后,面试官会根据你回答的内容来提问。经过不断的推敲,你会发现自己在准备的时候会学到很多东西,技能也会不断提高。最后,请你的朋友或同学为你进行一次小型模拟面试,以锻炼你的勇气。一旦公开发言就很紧张的同学要多加练习!如果你好好练习,面试官一定会赏识你的~END基本的面试准备就这些,准备好之后就可以开始投简历了。不过,最好最快的方法还是找个做安防行业的同学介绍一下。很多同学会很乐意在安全相关的群里提问。后面会讲一些大大小小的厂商的一些技术技巧和面试经验。我也在准备一篇关于如何开始渗透测试的文章。记得继续关注我哦!
