如何准备web安全求职面试

摘要

在找工作之前应该对自己有一个清楚的认识,正确定位自己。比如,自己擅长做什么、感兴趣的什么、对自己的职业规划是什么,自己所在行业有哪些合适自己的岗位,扬长避短,最大程度的释放自己的能量。

如何准备web安全求职面试

写在前面

在找工作之前应该对自己有一个清楚的认识,正确定位自己。比如,自己擅长做什么、感兴趣的什么、对自己的职业规划是什么,自己所在行业有哪些合适自己的岗位,扬长避短,最大程度的释放自己的能量。

我们就说网络安全。

先说说甲方公司和乙方公司的区别。

首先甲方乙方是一个对立的关系,从某个角度说并不能成为公司之间的明确分界线。

举个例子:甲方乙方在传统的渗透测试的范畴来说,甲方代表着需要接受渗透测试服务的那一方,乙方代表着提供渗透测试服务的那一方。

而我们一般说的和安全相关的甲方公司,是指本身创造价值业务不是提供安全服务,而是其他的业务,如腾讯,阿里,百度,京东等。相对的,如果公司创造价值的主体业务是提供安全服务,则这样的公司属于乙方公司,如启明星辰,深信服等。根据其主体业务来区分甲乙方公司,是很重要的一个因素,从严格意义上来说,360不属于乙方公司,属于甲方公司。360企业安全属于乙方公司。甲乙方公司的区别需要明确。但是还有一个特殊的存在——实验室,也可以说做研究的,后面会具体的说为什么。

甲方乙方安全研究员的区别

从某种意义上说,甲方的安全研究员是比乙方强的,做的事情不同,导致圈外看热闹的人可能觉得甲方的人清闲。

首先,甲方的安全研究员均是技术实力过硬的一批人,遇到过各种各样的样本,其经验就不是一般乙方人员和实验室研究人员具备的。

其次,攻防的不平衡。有句话叫做“未知功,焉知防”,甲方的安全人员所考虑的不是某一台边缘服务器的沦陷,APT组织也是如此。其所要考虑的是企业内网及企业业务的安全,也就是核心数据的安全性。从大局观和眼界上来说,就不是一般人能具备的,而是通过多年攻防经验积累所得的。

甲乙方安全人员因为做的事情不同,不具备可比性吧,这个是我的想法。

有哪些岗位

1. 安全服务部门:提供传统的安全检测服务。

2. 安全实验室:这个地方分为很多不同的方向,如安全情报、漏洞挖掘、漏洞分析、物联网安全、AI安全、云安全等等。少数实验室为纯研究向实验室,多数实验室是为业务优化提供方案。

3. 信息安全部门:主要是维护企业内网安全等

4. APT部门:国安下属公司做的比较多

5. 红队:(甲方)对公司的各个业务进行测试,与蓝队进行对抗

6. 蓝队:(甲方)为公司的业务提供积极防御,构建企业安全架构等

岗位

简单来说,做安全没有谁是一直做一个方向的,web是一个大的方向,而其实web和二进制不分家,由于各种原因,作为一个安全研究员,即使你是一个web狗没有做过二进制漏洞的分析,但是该你上的时候就得上,还得硬着头皮分析。所以一般的职位仅仅有这么几个:

1. 安全研究员

2. 安全研究分析员

3. 渗透测试工程师

4. 安全研发

负责售前呀,项目经理什么的我就不说了,这个只是针对做安全的人来说的。

基本知识

1. 基础知识(这个基础知识绝对比我们想的多,各方向都有各方向的基础知识,扪心自问一下,自己的基础是否牢固)

2. 代码能力(分为两个:是否了解语言特性的能力,和写代码的能力)

3. 分析能力(片面来说,就是审计能力。然而不知仅限于某语言的审计能力,也包括数据分析能力,及日志分析能力等)

4. 是否了解原理(每个漏洞都有其原理所在,挖的越深,对这一点的理解就越深)

等等

面试常见问题

看部门业务取向,不同的部门实验室,对人有不同的需求。

不外乎代码能力及思路。

加分项

1. 自己的笔记(博客)

2. 是否发表过文章

3. 高质量cve

4. 开发项目的经历

面试技巧

面试本质是信息沟通,是你向面试官展示你能胜任这个岗位,而不是一问一答。你应该尽量主导面试,引导面试官,而不是被动答题。即便同一个众人皆知的问题,也不应止步于答出来即可,要争取尽量回答的和别人不一样,展现出自己独到的研究和体会。

面试官看的是你解决问题的思路,思考问题的方式,而不是这个问题答案是什么。

Tips:

  1. 不止步于问题,多展示自己会的;
  2. 结合例子,不要背书;
  3. 从更高层面去总结和阐释问题;
  4. 不会的地方要把丑话说到前头,不要装;
  5. 复盘反思,多多总结。

没有捷径可走,所有的技巧都是认真踏实的基础准备。

嘤嘤嘤,大家点击链接关注我们的公众号哟

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: