文章目录
引言:面试官与应届生的对话
最近在招人,面了一些应届生或准应届生。在面试的最后,我经常会问,有什么想问我的吗?这次比较有意思,候选人大部分都问,请问我该怎么继续学、我还有什么地方需要加强或你对我有什么建议吗?
安全研究员的困境与误解
不知道什么时候开始,现在的安全研究员有点不太敢想了。也有人可能说,这是因为现在网络比之前安全了,导致安全研究员怂了。但是从我自身观察,网络可能没有变得更加安全,在大家看不见的地方,各类安全事件还是频繁发生。这也反映了一个问题,那就是安全研究员不能仅仅依赖于外界的评价、预期来判断自己的能力和潜力。在我对我们实验室新人培养的时候,我从来不会跟他说这个工作有多难,而是说业务的细节,这也让我成功引导我们的应届生毕业论文选择了rasp这个方向,如果我开始就说了rasp有多难,那他们自己就先打退堂鼓了。
安全行业是一个竞争非常激烈的领域,在这样的环境下,外界的评价和业界标准往往会影响我们对自己能力的认知。因此,除了关注这些评价和标准,更重要的是要有自己可靠的信心来源。例如,我个人更看重在数据分析方面能够得出的直接和有用的结果,而不是过分依赖他人的评价。
个人经验
在大学快毕业的时候,我曾经给自己定了一些目标,例如入侵topX以内的所有公司。为什么我要这么做呢,因为那个时代,只有入侵才能证明一个人的能力,如果我没能力入侵xxx,那你怎么说我是一名黑客呢?当然,入侵的这些地方,漏洞我都交给他们的src了><。这样的目标设定,虽然现在看起来有些极端,但它至少给了我一个明确的方向和激励,让我知道要朝哪个方向努力。
超越表面:真正的能力标准
也有人会说,挖洞吗?谁都会挖。我当然定的不是这种水货目标,我定的是打到内网,拿到核心数据,这才算完。
从雇主角度看应届生
回到给应届安全研究员建议的这个问题上。如果真的想让别人刮目相看,你至少得整点狠活。狠活,如果不知道什么是狠活,那就自己收集一些近年来各大安全会议的ppt,选一些自己觉得很牛的当作狠活的参考。当然,狠活不仅仅是技术层面的,还包括如何与团队合作,如何高效解决问题,以及如何在压力下保持冷静。
工作需求与市场
在面试官,用人单位的角度来讲,招人实际上在做某种工作的补充。拿安卓逆向来说,某些公司招聘这个岗位往往是为了进行竞品分析。具体来说,他们想通过逆向工程来了解竞争对手的产品特性和优缺点。更深层次是要监控自己的服务商在签了2选1协议以后,是不是跑到友商又赚福利去了。
所以这个工作,除了考察应聘者在逆向工程上的广度,例如潜在竞品、优势竞品和直接竞品的应用逆向能力,也会重点考察他们对能力深厚的直接竞品防御体系的对抗能力。通俗来讲,你能不能在出问题的时候迎头而上。这也意味着,作为应届生,你不仅需要有技术能力,还需要了解业务逻辑和市场需求,这样才能更好地融入团队和公司。
很多公司招人的时候,都会写有XXX排名、CVE编号、XXX证书等优先,这个其实在服务市场行为。如果大家分析过安全行业的招标文件,你们就可以发现,CVE编号也可以成为一个招标参数。CISP、PMP、CISSP、OSCP四证合一的项目经理正成为安全行业招标参数中的天选之子。工作,要服务与市场,市场要什么,工作也要做什么。如果说你是做web的,我在招二进制,咱们俩肯定不会产生什么共鸣,你也会有面试挫败感。
资格证书可能是一个加分项,但它绝不是决定因素。雇主更看重的是你能为公司带来什么具体的价值,你在过去的项目中有何表现,以及你的问题解决能力如何。资格证书可能能帮你打开面试的大门,但走进去之后,你需要用你的实际能力来证明自己。
让自己在面试中更加出色
面试不仅是公司评价你的机会,也是你展示自己的平台。面试时问的问题,可能就是你以后的工作。对于我来说,学习是第一位,所以我经常问一个人怎么学习。其实这是在考察你的学习能力上限。如果一个人只是看看安全咨询网站,他接触的可能都是二手信息。如果一个人加了漏洞百出、代码审计、赛博回忆录等知识星球,他就可以接触到一手的安全信息。如果一个人英语很好,跟安全研究员们谈笑风生,那他可能就是一手信息的来源。所以,记住,面试考察的不仅仅是技术能力。
还有就是,我建议候选人更直接一点,直接问面试官现在有什么难题需要解决。因为我每次换工作都是这么换的,有没有需要解决的难题,没有难题让我解决我也不想来。
总结
在这个快节奏的时代,不仅要有出色的技术能力,还要能快速适应不断变化的市场需求和业务环境。拿到面试的机会是第一步,如何让面试官记住你,并确信你能为公司带来价值,才是关键。
零基础入门网络安全/信息安全
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
标签:入门,安全,就够,学习,面试,应届,能力,应届生,漏洞
From: https://blog.csdn.net/SpringJavaMyBatis/article/details/143755112