年底,刚过了校招和跳槽的密集阶段,有的同学拿到了心仪的Offer,有的同学却铩羽而归。星球里也有小伙伴提出了这样的问题:安全相关的工作,有没有什么面试技巧呢?


由于安全门类巨大,涉及的技术很多,我们今天不聊具体技术,就说说面试前,你应该准备一些什么。


首先,发送简历时使用pdf,不要用word,简历文件名规范一点,比如[学校] - [姓名].pdf,不要“简历.pdf”这种,这样HR归纳汇总的时候很麻烦。


Github博客SRC等页面和id的可以附上。有挖掘过相关漏洞(CVE)的,请附上,如果是刷CVE的那种,别写。拿过CTF或SRC奖项的可以附上,比较水的可以不写。


工作经历写的简练一些,什么时间做了什么事,用了什么方法,达到了怎样的效果。一定要好好想想自己究竟做了什么,而不是给人以平庸或者混日子的印象。


面试的话,常见漏洞类型、防御方法、渗透思路什么的能够说清楚。然后像Java安全相关的内容、域和内网相关内容、或者前沿的一些攻击方式,至少得有一个方向你能擅长吧,并给面试官说明白。主动一点,你的长处你想办法主动说出来,否则跟着面试官的思路走,问一些你不懂的你怎么办。


建议自己主动做个自我介绍,然后把自己擅长的内容介绍出来,自信一点。


问问题的时候如果你真的不知道,那就干脆别说吧,说一堆错的也没意义。


像代码审计这种,如果你说你会代码审计,至少我得看到你有过一些完整CMS的漏洞挖掘的成果。不要说你做安服时候遇到一个php文件,你挖出一个漏洞这个就算代码审计,这个不算的。PHP、Java里常见的函数和作用、绕过方式等自己多多复习。


还有,历史上一些影响较大的漏洞,像Weblogic、fatsjson、jenkins、struts2、ThinkPHP、joomla的什么RCE呀SQL注入呀可以都复习一下,原理说不清楚利用方法也得说清楚,也许会被问到。


然后自己整理几个个自己觉得挖过的不错的漏洞、思路什么的,以备不时之需。


讲话口齿清晰一点,不要紧张,说事要有条理,回答最好能整理出1、2、3、4,这样说明知识在你那里是成体系的。