怎么准备安全面试最高效?不看后悔系列
前言
感谢两百多位朋友关注我的公众号,在上次发文前我是没有想到的,这对我是一种激励。
回顾我学习的时光里,我觉得最大的困难是没有老司机带带我、没有技术氛围,只能自己独自摸索,甚至花很多时间去搜集各种网络教程、加各种群和社区,积极性很难一直保持,这也是非信安强校或者非信安专业的同学们尴尬之处。
所以在这 NeverSec 这个公众号这里,我技术方面虽然比较一般,比不上各位大佬,但我与其它安全技术号不同的是,我不分享什么技术,而是更愿意去分享我作为安全行业新人的各种踩坑经验,以便能让大家少走一点弯路,有所感悟。下几篇文章我会说说我走渗透测试这条路的经验,今天就先讲讲我的有关实习的看法和怎么准备面试吧。
要不要去实习?
其实这个问题的回答,对大多数人来说都是毋庸置疑的吧,毕竟在真正的安全公司实习,无论你是无穷无尽地用扫描器写文档还是写 POC 打打杂,初看上去非常繁杂,但是这一般都是每位安全菜鸟进公司工作的第一步,这些经历都是非常有价值的,可以让你对安全工作的整体流程有所了解,也可以多认识很多安全方面的人脉。
大学的时候,我没有真正到公司实习过,只经历过一些项目和 CTF 比赛。回想起来其实有点后悔,主要在于三个方面:简历可说的东西不多,海投简历的时候容易在对比中被筛掉,技术面的回答不够实际或深度不足。但所幸,我 CTF 有些成绩,也对 Web 安全方面有点可说的东西,面试准备得比较充分,所以在技术面试的时候对我能答上的话题也能有话可说。
总的来说,如果你不是技术大牛,能够沉下心来将技术研究得很深的话,或者不是 CTF 大牛,能在省级以上拿过比较好的名次,最好还是从大二下学期开始准备实习。我说了这么多如果你还不想实习的话,我……
如何准备面试?
总结下自己的经验
打开一个空白的记事本,思考并且逐一写下:
你会什么安全方面的技术,可以对技术进行细分,比如说一级是 Web 渗透,二级是 SQL 注入,三级是 MySQL注入,四级是如何发现、如何进行注入(技术细节)、如何提权等等。
你有什么相关的安全经历,包括 CTF 经历和实习或工作经历。
你最怕面试官问什么问题? 你可能对第三点有点疑问,但是这最能暴露出你的问题,能及时对你缺失的东西进行补救。
准备一个简单的简历
没什么经验的同学在写简历的时候,都会倾向于找一个特别酷炫的简历模板,实际上公司的 HR 什么简历样式没见过呢?在我看来,最好的简历是重点突出,简洁大气。应届生写简历最大的一个问题在于:工作经验较少甚至没有、不了解企业招聘。
一般来说,简历只需要有三个信息:个人信息、个人经历和其它信息。着重说一下个人经历吧,如果你有工作经历,那是最好不过了,你需要写的三点是在项目中你做了什么、怎么去做的(使用了什么技术)、最后有什么成果。如果你没有工作经历,那么在准备的时候你就需要有一些小的自己的经历,比如如何实现一个小 WAF、如何实现一个扫描器、如何对一个网站渗透等等,有 CTF 经历的写一下最好的两个名次和侧重的方向。对重点的信息,使用加粗重点标注。
为什么要如此慎重呢?因为这里是面试官大概率会问到的地方。所以,写完这块后,站在面试官的角度去想,如果你面试这个人,你会问什么问题,根据面试人的回答,你会根据回答问什么问题……一直反问自己,暴露自己的缺点及时补漏。另外一个方面,这也是引导面试官到你擅长的方面一个重要的方法,如果你很擅长 SQL 注入,你就可以标重点,体现自己 SQL 注入的能力,如果你能对面试官的关于 SQL 注入的问题对答如流,我觉得这次技术面你就稳了。
最后,根据每个公司的 JD(职位要求),对简历进行微调,这块儿又是一个大坑了,展开要说好多,总之,投其所好就对了。
准备一下面试的回答
虽然你可能会很多东西,渗透的时候就是一把梭,但是面试的时候可不能直接 Google 查文档,万一问到你会的但是回答不出的就凉了,所以你还是需要准备一下如何组织回答,问题可以看一下我的面试问题总结:
github.com/Leezj9671/Pentest_Interview
在准备回答的时候,写下来你的回答,并不断修改,想一想你回答这个问题后,面试官还会根据你回答的点问出什么问题。不断地进行推敲过后,你会发现你在准备的时候也会学习到很多东西,你的技术也会不断上升。
最后,让你的朋友或者同学对你进行一个小小的模拟面试,练练你的胆量,一旦公开说话就很紧张的同学更加要多练啦!练好的话,面试官肯定会很欣赏你~
END
基本的面试准备就说这些,当你准备好后就可以开始海投简历啦。不过,最好也是最快的方法,还是找安全行内的同学进行内推,在安全相关群里一问都会有很多同学非常乐意的。在后面我还会讲讲技术面的一些小技巧和一些大小厂商面试的经历,我是如何入门渗透测试的文章也在准备中了,记得持续关注我噢!