给应届安全研究员的一些建议(非常具体),零基础入门到醒目,看这一篇就够
引言:面试官与应届生的对话最近在招人,面了一些应届生或准应届生。在面试的最后,我经常会问,有什么想问我的吗?这次比力故意思,候选人大部分都问,请问我该怎么继续学、我另有什么地方必要增强或你对我有什么建议吗?
安全研究员的困境与误解
不知道什么时候开始,现在的安全研究员有点不太敢想了。也有人大概说,这是因为现在网络比之前安全了,导致安全研究员怂了。但是从我自身观察,网络大概没有变得更加安全,在各人看不见的地方,各类安全变乱还是频繁发生。这也反映了一个标题,那就是安全研究员不能仅仅依靠于外界的评价、预期来判断自己的本领和潜力。在我对我们实验室新人作育的时候,我从来不会跟他说这个工作有多难,而是说业务的细节,这也让我成功引导我们的应届生毕业论文选择了rasp这个方向,如果我开始就说了rasp有多难,那他们自己就先打退堂鼓了。
安全行业是一个竞争非常猛烈的范畴,在这样的情况下,外界的评价和业界尺度往往会影响我们对自己本领的认知。因此,除了关注这些评价和尺度,更重要的是要有自己可靠的信心来源。比方,我个人更看重在数据分析方面能够得出的直接和有效的结果,而不是太过依靠他人的评价。
个人经验
在大学快毕业的时候,我曾经给自己定了一些目标,比方入侵topX以内的所有公司。为什么我要这么做呢,因为谁人期间,只有入侵才能证明一个人的本领,如果我没本领入侵xxx,那你怎么说我是一名黑客呢?当然,入侵的这些地方,漏洞我都交给他们的src了><。这样的目标设定,固然现在看起来有些极端,但它至少给了我一个明确的方向和鼓励,让我知道要朝哪个方向努力。
逾越表面:真正的本领尺度
也有人会说,挖洞吗?谁都会挖。我当然定的不是这种水货目标,我定的是打到内网,拿到核心数据,这才算完。
从雇主角度看应届生
回到给应届安全研究员建议的这个标题上。如果真的想让别人刮目相看,你至少得整点狠活。狠活,如果不知道什么是狠活,那就自己网络一些近年来各大安全会议的ppt,选一些自己觉得很牛的看成狠活的参考。当然,狠活不仅仅是技能层面的,还包罗怎样与团队合作,怎样高效解决标题,以及怎样在压力下保持冷静。
工作需求与市场
在面试官,用人单元的角度来讲,招人现实上在做某种工作的增补。拿安卓逆向来说,某些公司雇用这个岗位往往是为了举行竞品分析。具体来说,他们想通过逆向工程来相识竞争对手的产品特性和优缺点。更深条理是要监控自己的服务商在签了2选1协议以后,是不是跑到友商又赚福利去了。
所以这个工作,除了考察应聘者在逆向工程上的广度,比方潜在竞品、优势竞品和直接竞品的应用逆向本领,也会重点考察他们对本领深厚的直接竞品防御体系的对抗本领。通俗来讲,你能不能在出标题的时候迎头而上。这也意味着,作为应届生,你不仅必要有技能本领,还必要相识业务逻辑和市场需求,这样才能更好地融入团队和公司。
很多公司招人的时候,都会写有XXX排名、CVE编号、XXX证书等优先,这个其着实服务市场举动。如果各人分析过安全行业的招标文件,你们就可以发现,CVE编号也可以成为一个招标参数。CISP、PMP、CISSP、OSCP四证合一的项目司理正成为安全行业招标参数中的天选之子。工作,要服务与市场,市场要什么,工作也要做什么。如果说你是做web的,我在招二进制,咱们俩肯定不会产生什么共鸣,你也会有面试挫败感。
资格证书大概是一个加分项,但它绝不是决定因素。雇主更看重的是你能为公司带来什么具体的代价,你在过去的项目中有何体现,以及你的标题解决本领怎样。资格证书大概能帮你打开面试的大门,但走进去之后,你必要用你的现实本领来证明自己。
让自己在面试中更加精彩
面试不仅是公司评价你的时机,也是你展示自己的平台。面试时问的标题,大概就是你以后的工作。对于我来说,学习是第一位,所以我经常问一个人怎么学习。其实这是在考察你的学习本领上限。如果一个人只是看看安全咨询网站,他接触的大概都是二手信息。如果一个人加了漏洞百出、代码审计、赛博回忆录等知识星球,他就可以接触到一手的安全信息。如果一个人英语很好,跟安全研究员们言笑风生,那他大概就是一手信息的来源。所以,记着,面试考察的不仅仅是技能本领。
另有就是,我建议候选人更直接一点,直接问面试官现在有什么困难必要解决。因为我每次换工作都是这么换的,有没有必要解决的困难,没有困难让我解决我也不想来。
总结
在这个快节奏的期间,不仅要有精彩的技能本领,还要能快速适应不停变革的市场需求和业务情况。拿到面试的时机是第一步,怎样让面试官记着你,并确信你能为公司带来代价,才是关键。
零基础入门网络安全/信息安全
【----资助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习发展路径头脑导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析陈诉
> ④ 150+网安攻防实战技能电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
起首要找一份具体的大纲。
https://img-blog.csdnimg.cn/img_convert/bfdf70f76832023be759ebd2fe76db65.png#pic_center
学习教程
第一阶段:零基础入门系列教程
https://img-blog.csdnimg.cn/4f321fb507de4f449db2a9726e0f2061.png#pic_center
该阶段学完即可年薪15w+
第二阶段:技能入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
https://img-blog.csdnimg.cn/e84fce8ad6bf4a6fb867ec1f067e331d.png#pic_center
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网排泄
流量分析
日记分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
面试刷题
https://img-blog.csdnimg.cn/febdab7cb6254a38a521390e06b2bf21.png#pic_center
https://img-blog.csdnimg.cn/direct/e4c112bb13184c769b06679fc2b89b15.png#pic_center
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的标题看似是“怎样行动”,其实是“无法开始”。
几乎任何一个范畴都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜好网络安全/黑客技能,立刻行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果必要可以微信扫描下方二维码 ↓↓↓ 大概 点击以下链接都可以领取
点击领取 《网络安全&黑客&入门进阶学习资源包》
https://img-blog.csdnimg.cn/img_convert/fe80087b1bc05b3514bfe7f4ee0afdb3.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]