17届,回顾记录一下自己的大三大四生活and自己的找工作经历(安全方向相关)
想写这个回顾帖好久了,但秋招找好工作去实习,加上毕业设计、准备毕业、工作入职、入职后又忙了一阵,最后加上自己的拖延症发作,所以这个帖子一直拖到了现在。
首先还是感谢牛客这个平台,在自己秋招的时候帮助到了自己很多,自己在这个平台上面也认识了不少志同道合的小伙伴,面经也确实在招聘时帮助到了我很多,所以,自己也就想把自己的那段时间的想法和经历写成了本帖。
前排提示
本帖很多内容个人主观色彩比较浓厚,所以内容什么的,参考一下就好,哪里有说错的,也希望大家可以帮忙提出来。 如果碰巧里面说的某些东西能得到某些人的认可,甚至是能帮助到某些人就更好了。帖子某些地方可能写的有点乱,希望不要影响到大家观看的心情。
正文开始。
概述
关于安全职业
怎么说呢,自己在秋招的时候才是真正意义上的去了解到这个行业,安全行业具体的细分起来也是有很多的,包括各种安全方向,相同的方向具体的工作内容和工作规划也不同。
简单说了一下自己之前的误区,在了解了安全行业,最后在安全行业工作之后,说几点自己领悟到的东西吧。
1.首先是相关岗位工作内容。
安全也是分甲方和乙方的,乙方就是安全公司,就是360之类的。甲方的话,各种互联网公司或者是传统国企都是甲方。工作内容的区别的话,可能甲方里面的安全更加面向业务,而乙方里面的安全更加面向服务吧。同时,在甲方和乙方里面,也是有很多岗位的划分,不同岗位做起来也可以说是完全不一样吧,甲方里面,一般大的互联网公司会有自己的红蓝军,还有做安全开发、安全测试、安全运营、安全合规等等。乙方里面,一般都会有几个核心实验室,主要做技术输出,剩下的根据不同的安全方向和内容,也会有具体的岗位:做iot、二进制、web等等方向,做安全开发、漏洞挖掘、漏洞分析等等内容。
虽然上面说了那么多,但只是大概描述,意思只是有太多的岗位方向和岗位工作内容了。
2.相关就业。
怎么说呢,之前从各种新闻上面总是听说“安全从业人员多少多少,缺口有多少多少,收入有多少多少”类似的话。但实际经历了招聘之后,才发现安全行业也没有那些人吹的那么好。首先是招聘的公司,也就是甲方和乙方,甲方公司每年招聘的安全人员其实少的可怜,也就从几人到几十人不等,而且也只有有钱的大厂养的安全相关的人会多一些。小厂也养不了那么多的人。然后是乙方,乙方的招聘人员会稍微多一些,但一般涉及研究的岗位都在一线或准一线城市,只有一些岗位可能会存在于小城市(比如做安全服务的)。但是安全公司也是招开发的,招聘的人数可能开发还会更多。
我上面说的也只是一个大概的描述吧,有点以偏概全的意思。不过实际情况也差不太多吧。
3.关于这个职业圈子。
安全圈子算是相当小的了,没准我在写这个帖子的时候,就会有师傅知道我是谁,在哪工作(笑)。在这个圈子里面也认识了很多优秀的前辈和师傅。整体来说,我感觉还好,在这个圈子里面你只要肯努力,肯定是会发光的。
关于自己
自己是怎么入坑的呢?其实我本人的路还算曲折吧,在大一的时候还参加过学校CTF队伍的宣讲会,不过也仅仅是在大一有过一次交集了,后面就放飞自我,玩了两年多。在大三下学期的时候,才真正的算是开始学习关于安全的知识,所以入坑算是很晚。在自己刚开始学习的时候,也遇见了好多的困难,不过最后还算是侥幸加入了安全这个圈子。
学习经历
自己在大三下学期开始决定自己要学习这个方向,当时因为自己之前接触过渗透的一些东西,索性就直接从Web开始搞了。
学习的经历现在回想起来,也算是走了很多弯路吧,毕竟真的是靠自己自己去研究的。
从网上找各种视频,然后开始看视频,但其实这些视频好多都是在给你讲工具如何使用,如何使用扫描器,如何搭建虚拟机之类的。然后自己跟着搭环境,用工具。搞来搞去,最后感觉没有学到什么东西。后来我觉着不行,然后就开始在网上搜索该怎么学习,后来看到某个帖子里面建议从各种漏洞开始,自己后面又在网上找各种漏洞的视频,然后搭靶场,搞完这些就已经开始寒假了。
同时因为疫情的原因,我过年也没回成家,然后也就是寒假的时候,知道了牛客,在牛客上面搜着别人的面经,然后看着继续学。
春招
在牛客上面搜面经的时候,才知道有春招这回事,然后就按着别人的样子,自己学习准备春招,(为什么不考研?因为自己实在静不下心来准备考研,自己大学的基础也不好,感觉自己没啥考上的概率,就着手准备春招了。)虽然说是准备,但实际上也没有什么好准备的,毕竟自己也算上是速成,思维和动手都跟不太上。
然后就是投简历,自己是从3月中旬开始投简历的,但感觉还是投递晚了,因为疫情的原因,课程也改成线上,自己线上的课就在那挂着,然后琢磨春招的事情。投递了几个公司,因为疫情的原因,面试也都是电话面试。自己投递的也比较晚,好多岗位也招的差不多了,然后就是面试,自己没有CTF经历,也没有SRC经历,一轮面试过了几个,到二轮面试都没有下文了。
当时自己的压力确实蛮大的,当时自己一个人在外面,然后自己学习、自己准备面试、自己调整心态。面试没过我一度以为我要毕业就失业了。后面都是,线上投递的公司的面试都G了,我觉得这么下去不行,然后就打开招聘软件(这里不是广告),去搜公司,然后去私聊,一个个发简历。因为疫情的原因,好多公司的实习生都不招了,因为确实没那么多的业务。在私聊了几个之后,当地的某盟给了我回信,然后就是线下的面试,成功通过,准备入职。
我到现在都很感激某盟给我的实习机会,在这个实习过程中虽然有点累(也确实当了很久的工具人),不过还是收获到了很多,学习到了很多业务、公司管理、学习思维上面的东西,学到的这些东西直到现在我可能依然受用。
敲定入职已经是5月份了,因为学校的课程都是线上,就麻烦同学帮我签到了。自己就在公司一边工作、一边学习。在某盟实习那阵,做的多的其实好多都是工具人的任务,比如扫扫描、做做文档、做做交流之类的。实际的技术项目没有做多少。当然也是自己技术不是很好的原因在这。
实习的时候大概做了一个月的扫描?好像是吧,记不太清了。做文档也做了好久,实际接触和接手到渗透的项目也没有几个,所以就在工作闲暇着手准备秋招。当时的那段时间也算蛮辛苦的,学校的课程虽然是线上,但还要应对测验和考试,实习的项目有些交流的客户都很不讲道理,也很搞人心态。9月份学校开学,自己也就回学校,顺便编了同事的项目,做出来一版看起来还行的简历,准备开始秋招。
秋招
自己是9月初才开始投递的简历,实际上已经有点晚了。一个C++的舍友8月中旬就已经开始投递简历了,在开学的时候,舍友已经开始做笔试了,自己那时候简历还在初筛,刚开始就是广撒网,什么公司都投递,最后剩几个自己想去的公司(因为想好好准备一下),本来以为秋招会有很多时间来总结和学习,但是投递的公司不少,做笔试,做调查,准备面试。没多少学习的时间,忙的时候一天会有好几个面试。忙了很久。虽然自己的基础不算好,但是最后还是有幸拿到了几家乙方和甲方的offer。
因为自己的实习经历和基础,所以投递的岗位其实很有限。面试的过程其实也挺坎坷的,心态好几次都要崩掉,不过最后还是稳下来了。在几个offer里面,选择了离家里比较近的乙方公司的offer。
秋招准备
因为自己是一边实习一般准备的秋招,所以等实习结束,回学校之后,就已经开始准备做笔试了。
当时自己对秋招,实际也没有太多的准备,简历,自己照着实习的简历,又填上了几个编的同事项目(因为自己实在没做过几个),然后在牛客上面看看面经,做了做牛客上面的题,和舍友一起学了学计算机网络和操作系统,就开始秋招了。
秋招笔试
笔试甲方和乙方还是稍微有点区别的,乙方的笔试题目一般都是计算机网络+操作系统(linux)+渗透+问答题,其中渗透占比比较多。甲方的话,会有一些计算机网络+操作系统+编程+业务安全等,渗透的题目不会出多少,主要还是一些基础的题出的比较细致。甚至甲方的一些岗位,问的Linux问题问的都特别细致,异常进程,文件位置之类的题目。总之来说,还是乙方的题目比较对我的胃口。我做起来也比较顺手。
当然也有答的比较糟糕的笔试,我记得oppo的笔试做了好多的安卓的题,我都没怎么答,不过后来还是给了面试机会,虽然一面最后没有通过。
秋招面试
面试的话,其实甲乙方区别也类似,乙方细致问的话会问漏洞利用过程、内网渗透、实战渗透等等。甲方面试的话,会根据面试官的业务偏好问不同的问题,比如开发类、业务安全类、安全思想类等等。
具体的不同公司的面试问题我没做过记录,下面就说说记录几个面试题目点和题目方向吧
乙方
乙方会偏实战一点
1.绕waf和免杀有没有研究过
2.内网渗透
3.常见工具使用和排错,原因分析等
4.漏洞原理和利用方式
5.实战渗透经历
6.计算机网络基础
7.linux命令
8.漏洞复现
9.面试官给出的渗透情景,需要渗透思路和排错等
10.SRC、CTF
举几个现在还想的起来的面试问题:
SQL注入分类、原理、利用方式。
mysql拿shell方法
sqlmap的os-shell原理
sql注入、上传绕waf
webshell、远控免杀
未授权漏洞
信息收集思路
ssrf
钓鱼方法
提权方法
一个jsp的webshell,访问1000次,200次200,其余都是404,是什么情况
wordpress getshell
thinkphp漏洞分析
蚁剑编码器解码器
cdn判断和绕过,单ip一定没cdn吗
内网信息收集
甲方
甲方更偏向于业务安全、漏洞处理等
1.安全思维
2.应急响应
3.漏洞原理
4.开发能力
5.漏洞防护
6.漏洞定位与溯源
7.SRC、CTF
说几个记得起来的问题
JSON格式的csrf如何利用
csp的绕过
CORS
内存马的定位和清除
应急响应
shiro漏洞原理和利用
http only的绕过
burp插件开发
快速定位失陷主机
webshell定位
编程题目
DDOS和CC的处理
用户恶意刷单
新用户优惠风控
益智数学题目
面试想起来的就这么多,甲方和乙方的差别大致在这里,而且我的面试是针对web的,其他二进制等方向应该不太适用我的面试题目
秋招offer抉择
自己秋招还是拿了几个甲方和乙方的offer,甲方虽然没有啥大公司,有几个互联网金融的offer,还有58同城的offer,乙方的也就只拿了三四个安全公司的offer,甲方都在北京等一线城市,薪资也没有特别高,最后自己选择了离家比较近的乙方公司的offer。
因为自己的offer都是在差不多的时间来的,也就没有毁三方的操作,自己也是抉择了好久吧, 每个人可能看重的点也都不一样。
秋招后
敲定公司之后已经是10月中旬了,然后就是签约,学校因为学分不够还选了个半学期的8周的课程,然后就是签约。在学校玩了半个月后,我做出了个决定:想提前去公司实习看看。和校招HR申请实习后,在11月份中旬去公司实习,这时候公司正好不是忙的时候,我也趁这时间了解了公司的部门、同事、工作内容等等。
实习时候自己已经可以在同事的帮助下自己参与项目了,学校那边没有什么事情,自己就一直在公司这边实习。实习了两个月后,自己也最终决定毕业之后就来这个公司了,春招就拜拜了。
这里说说我选择留在公司的几点原因吧,因为自己之前也在某盟实习过。
1.公司部门的领导之前都是做技术出身,所以某些情况下,领导在和销售交流项目时候不会给技术人员挖坑,可以提前避免很多坑点。
2.公司部门的几个技术前辈的技术都很扎实,有很多值得我学习的地方
3.公司的团队氛围很不错,领导也没什么架子,平时经常一起打王者荣耀。自己生活中有什么事,在项目不忙的时候也可以适当请假,工作可以很好的兼容生活。
4.公司其他部门的师傅的技术水平也都很厉害,平时与其他部门的师傅交流也能学到不少东西。
5.领导有意的培养自己,愿意给我安排很好的学习机会。
至于缺点嘛,也有,不过在我比较看重的几个优点方面,就不太值得一提了。
大四下
后面都是无聊的打工人时间了,5月份和领导请假回学校搞毕设,本科的毕业设计,水一水就过了。在实习的时候,感觉自己也学到了很多,成长了很多吧。答辩完成之后,大学时光也就剩的不多了,然后就是准备毕业。
在毕业典礼的嘈杂的音乐声中,我的学生时代就这样的结束了。
关于自己的一点碎碎念
之前的一段时间,我总是觉得我的大学生活非常荒废,实际上,我的大学也只有两年半的时间。之前高中时候幻想自己大学要怎样怎样,结果现在想起来,好像想的事情什么都没做成,学习没有学习好、恋爱也没有谈、玩游戏也没有玩的过瘾。这种想法在春招找实习和秋招刚开始找工作时候尤为强烈,自己总是想把面对的困难和不顺利归咎到之前的无所事事的自己上。
那段时间,自己总觉得自己什么都不是,可能面临失业的危险,总觉得自己的大学什么都没有做。不夸张的说,那段时间自己确实有点神经衰弱的迹象。半夜躺在床上就开始失眠,开始胡思乱想。总想着有没有大学/remake的机会。
可是后来啊,自己还是想明白了,自己之前一直以为大学时候最重要的是学习成绩,是竞赛,是保研,是能找到好工作。
但现在,我觉得大学最重要的是认清自己,认清自己是什么样子的人,认清自己想做什么,学会接受自己的不足,不去羡慕其他人。默默做自己,规划好自己的生活,然后努力就好。
不知道是否还有其他人和我的经历、想法一样,我也希望我的这些话可以帮助到你。
总结
这个回顾贴可能就码这么多字了,面试和笔试那里分享的可能不够全面,不过暂时能想起来的也就这么多吧,还是希望能够帮助到大家。
有些话可能有点乱,有些描述可能也有错误,不过自己实在是不想再次回顾那段时间了,我觉得我回顾一次就够了。
献给正在春招/秋招的你,这段时间可能对某些人来说很难熬,不过心态一定要保持住,你只要想,每天的自己比昨天的自己多会一道题,多会一个知识点就好了。
还有献给那些可能错过机会的某些人,工作只是生活的一部分,机会时时刻刻都会有的,不要病急乱投医,也一定要防范骗子,保护好自己。我们还年轻,我们机会多得是。
最后希望每个看到帖子的人都能被好运包围,能被生活眷顾,希望大家都可以找到自己想要的工作,过好自己的生活。
夹带私货
成为社畜之后的自己可能很少会回来看牛客了,不过最后还是感谢牛客这个平台,真的帮助到了我很多。
最后夹带点私货,之前在微博上认识到了几个优秀的师傅,也想通过微博认识更多优秀的师傅或者有趣的人,所以,如果师傅不介意的话,可以关注我的微博,我会回关的。我的微博也只会转发一些技术文章或吐槽之类的,不追星。因为自己微博只刷关注的人的消息,最近有点刷的无聊。
如果大家还有什么问题也欢迎通过微博联系我呀,或者通过微博的微信联系我的话我也不会介意的(笑)。
能帮助到大家最好了。
最后附上毕业那天拍的学校图书馆吧
全部评论
(6) 回帖