给应届安全研究员的一些建议（非常具体），零基础入门到醒目，看这一篇就够 ...

引言：面试官与应届生的对话

最近在招人，面了一些应届生或准应届生。在面试的最后，我经常会问，有什么想问我的吗？这次比力故意思，候选人大部分都问，请问我该怎么继续学、我另有什么地方必要增强或你对我有什么建议吗？
安全研究员的困境与误解

不知道什么时候开始，现在的安全研究员有点不太敢想了。也有人大概说，这是因为现在网络比之前安全了，导致安全研究员怂了。但是从我自身观察，网络大概没有变得更加安全，在各人看不见的地方，各类安全变乱还是频繁发生。这也反映了一个标题，那就是安全研究员不能仅仅依靠于外界的评价、预期来判断自己的本领和潜力。在我对我们实验室新人作育的时候，我从来不会跟他说这个工作有多难，而是说业务的细节，这也让我成功引导我们的应届生毕业论文选择了rasp这个方向，如果我开始就说了rasp有多难，那他们自己就先打退堂鼓了。
安全行业是一个竞争非常猛烈的范畴，在这样的情况下，外界的评价和业界尺度往往会影响我们对自己本领的认知。因此，除了关注这些评价和尺度，更重要的是要有自己可靠的信心来源。比方，我个人更看重在数据分析方面能够得出的直接和有效的结果，而不是太过依靠他人的评价。
个人经验

在大学快毕业的时候，我曾经给自己定了一些目标，比方入侵topX以内的所有公司。为什么我要这么做呢，因为谁人期间，只有入侵才能证明一个人的本领，如果我没本领入侵xxx，那你怎么说我是一名黑客呢？当然，入侵的这些地方，漏洞我都交给他们的src了><。这样的目标设定，固然现在看起来有些极端，但它至少给了我一个明确的方向和鼓励，让我知道要朝哪个方向努力。
逾越表面：真正的本领尺度

也有人会说，挖洞吗？谁都会挖。我当然定的不是这种水货目标，我定的是打到内网，拿到核心数据，这才算完。
从雇主角度看应届生

回到给应届安全研究员建议的这个标题上。如果真的想让别人刮目相看，你至少得整点狠活。狠活，如果不知道什么是狠活，那就自己网络一些近年来各大安全会议的ppt，选一些自己觉得很牛的看成狠活的参考。当然，狠活不仅仅是技能层面的，还包罗怎样与团队合作，怎样高效解决标题，以及怎样在压力下保持冷静。
工作需求与市场

在面试官，用人单元的角度来讲，招人现实上在做某种工作的增补。拿安卓逆向来说，某些公司雇用这个岗位往往是为了举行竞品分析。具体来说，他们想通过逆向工程来相识竞争对手的产品特性和优缺点。更深条理是要监控自己的服务商在签了2选1协议以后，是不是跑到友商又赚福利去了。
所以这个工作，除了考察应聘者在逆向工程上的广度，比方潜在竞品、优势竞品和直接竞品的应用逆向本领，也会重点考察他们对本领深厚的直接竞品防御体系的对抗本领。通俗来讲，你能不能在出标题的时候迎头而上。这也意味着，作为应届生，你不仅必要有技能本领，还必要相识业务逻辑和市场需求，这样才能更好地融入团队和公司。
很多公司招人的时候，都会写有XXX排名、CVE编号、XXX证书等优先，这个其着实服务市场举动。如果各人分析过安全行业的招标文件，你们就可以发现，CVE编号也可以成为一个招标参数。CISP、PMP、CISSP、OSCP四证合一的项目司理正成为安全行业招标参数中的天选之子。工作，要服务与市场，市场要什么，工作也要做什么。如果说你是做web的，我在招二进制，咱们俩肯定不会产生什么共鸣，你也会有面试挫败感。
资格证书大概是一个加分项，但它绝不是决定因素。雇主更看重的是你能为公司带来什么具体的代价，你在过去的项目中有何体现，以及你的标题解决本领怎样。资格证书大概能帮你打开面试的大门，但走进去之后，你必要用你的现实本领来证明自己。
让自己在面试中更加精彩

面试不仅是公司评价你的时机，也是你展示自己的平台。面试时问的标题，大概就是你以后的工作。对于我来说，学习是第一位，所以我经常问一个人怎么学习。其实这是在考察你的学习本领上限。如果一个人只是看看安全咨询网站，他接触的大概都是二手信息。如果一个人加了漏洞百出、代码审计、赛博回忆录等知识星球，他就可以接触到一手的安全信息。如果一个人英语很好，跟安全研究员们言笑风生，那他大概就是一手信息的来源。所以，记着，面试考察的不仅仅是技能本领。
另有就是，我建议候选人更直接一点，直接问面试官现在有什么困难必要解决。因为我每次换工作都是这么换的，有没有必要解决的困难，没有困难让我解决我也不想来。
总结

在这个快节奏的期间，不仅要有精彩的技能本领，还要能快速适应不停变革的市场需求和业务情况。拿到面试的时机是第一步，怎样让面试官记着你，并确信你能为公司带来代价，才是关键。
零基础入门网络安全/信息安全

【----资助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习发展路径头脑导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析陈诉
> ④ 150+网安攻防实战技能电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）
大纲

起首要找一份具体的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+
第二阶段：技能入门
   弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
  该阶段学完年薪25w+

阶段三：高阶提升
   反序列化漏洞
RCE
综合靶场实操项目
内网排泄
流量分析
日记分析
恶意代码分析
应急响应
实战训练
  该阶段学完即可年薪30w+
面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。
但是，我觉得很多人拿到了却并不会去学习。
大部分人的标题看似是“怎样行动”，其实是“无法开始”。
几乎任何一个范畴都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜好网络安全/黑客技能，立刻行动起来，比一切都重要。
资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果必要可以微信扫描下方二维码 ↓↓↓ 大概 点击以下链接都可以领取
   点击领取 《网络安全&黑客&入门进阶学习资源包》
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。