freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从面试官视角看网络安全面试
2024-11-17 21:19:12
所属地 湖南省

一、背景

本篇文章聚焦网络安全面试,原因是在招聘正式员工和外包人员时,收到的简历质量常常不太理想,面试表现也一般般。很多技术厉害的人呢,却因为简历写不好或者表达能力不行,在企业招聘流程里处于劣势,拿不到好岗位和理想的薪资。希望从面试官的角度来剖析一下渗透测试岗位面试问题背后的逻辑和意图,帮求职者理解面试官是怎么快速判断候选人是否合适的。

先来思考一个问题:你投的简历,面试官能从中获取到什么信息?他又是怎么快速判断你这个人的?

二、简历案例分析

先看看几个候选人的例子。

A候选人:普通本科,简历内容丰富但很乱。实习经验啥都有,校园兼职、网站开发、渗透测试等等,看似能力全面,但没有突出核心竞争力和职业方向,让面试官难以判断其专业聚焦点。

B候选人:211学校的学生,平时打游戏之余学习安全知识,能复现漏洞但缺乏实战经验。简历主要包括课程、社团获奖情况,无实习经历。这种情况会使面试官质疑其实际挖洞能力,担心其在真实项目中无法有效发挥。

C候选人:专科毕业,在安全公司实习过。但工作几年后技术就不提升了,申请升职加薪也被拒。其简历虽内容丰富,但项目经验单一,多为政府、医院等简单项目,未能展现能力提升和拓展,无法让面试官看到其价值。

这些案例反映出求职者在撰写简历时缺乏逻辑,盲目堆砌信息,未从企业和面试官视角思考,导致在求职过程中浪费机会。

D候选人:

  1. 学习规划清晰:本科毕业,善于思考。学习网络安全时,通过收集渗透测试思维导图明确技能点,有针对性地学习和练习,避免碎片化学习,高效提升技术水平。

  2. 主动实践锻炼:除复现漏洞外,主动挖掘SRC、CVE提升技术,通过不同平台实践掌握挖洞技巧,增强实战能力。

  3. 积极挑战自我:在安全公司实习时,主动要求参与更具难度的项目,积累了包括金融、互联网、云厂商等多种类型项目的经验,丰富了项目履历。

  4. 持续提升与交流:利用业余时间学习,并积极与同行在先知社区等平台交流,形成良好的学习发展圈子,促进自身成长。对比可知,积极主动、规划清晰对网络安全领域的职业发展至关重要。

三、企业选人的核心标准与判断逻辑

(一)核心标准

企业招聘员工的核心期望是其能产出成果、创造价值,即能为公司盈利。求职者不应只强调自身学习成长需求,而要让企业看到自身为公司创造收益的潜力,实现双方合作共赢。

公司眼中的好员工:

个人工作结果质量好,价值高。也就是说,工作结果对客户来说有用,能给客户带来价值,能够解决用户的真正问题。

赋能别人做出成果。这又分为三个层次,一是分享精力去帮助同事渗透测试工作,二是分享渗透技能帮助同事提升技能,授人以渔,三是分享自己的视野,带领他人更快更好地工作。

(二)判断逻辑

那如何衡量你是个好员工?从以下四个方面来看:

  1. 技能层:这是评估的基础。以网络安全中的渗透测试岗位为例,候选人需掌握常见漏洞知识(如OWASP TOP 10)和各种工具的使用。面试官先根据简历中的技能描述初步判断,再在面试中通过深浅不同、全面性的问题核实,如询问注入原理、防御、预编译防御SQL注入的原因、复杂的过滤绕过问题等,以此确定候选人在技术层面的水平(初级、中级或高级)以及擅长的细分方向(渗透测试、内网安全、代码审计等)。

全一点的面试参考问题(某厂商面试题):

  1. 给你个目标怎么信息收集

  2. 子域名有哪些收集方式

  3. 知道哪些数据库?

  4. 讲讲各个数据库怎么getshell

  5. sqlserver默认端口是多少

  6. redis主从rce的原理是什么

  7. csrf怎么防护

  8. ssrf怎么判断

  9. ssrf不出网怎么探测

  10. ssrf只能用http怎么打weblogic

  11. xxe过滤system 和public怎么绕过

  12. csp了解吗

  13. dom xss有哪些关键字

  14. Location对象有哪些属性

  15. 网站没用cookie用token一般会存放在哪里?

  16. 获取localStorage的函数名是什么

  17. jwt攻击方式有哪些

  18. sql注入怎么绕waf

  19. sql注入过滤了,怎么解决

  20. limit的注入怎么利用

  21. 基于ast的waf怎么绕过

  22. 会免杀吗?用的什么方法

偏渗透技能的简历:

偏企业安全建设的简历:

  1. 经验层:仅有技能不够,还需实践经验。有些候选人复现了很多漏洞,但还是挖不到漏洞。面试官会查看项目经历,若项目多为政府、医疗、教育等相对简单类型,可能认为候选人经验不足。而有大型股份制银行、互联网系统深度测试或SRC挖洞经验(尤其是高排名SRC)的候选人更具竞争力。在安全公司、业内知名实验室实习过也是加分项,体现其能力得到一定认可。

简单项目经验:

  1. 潜力层:企业期望员工有潜力,能在未来为公司创造更多价值。面试官会询问候选人学习网络安全的时长、在特定时间内达到的技术水平等。若学习多年但提升缓慢,可能被视为潜力有限。在竞争激烈的行业环境中,学习速度和技术水平超越同龄人很关键。

  2. 动机层:主要通过自我评价和面试表现考察。若候选人谈论网络安全内容时充满热情,能生动详细地讲述漏洞等问题,面试官会认为其对工作有热爱,有内在动力,自燃型员工。对于校招和社招,企业侧重点不同。校招时,对于无经验的学生,更看重技能扎实程度、学习潜力和动机;社招时,经验和技能则是基本考量因素,需达到一定水平。

四、总结

通过这篇文章,希望求职者能从面试官视角审视简历,在面试中更好地展现能力,找到合适工作。同时,要从面试逻辑中获得成长启示,规划学习和发展路径,提升自身在网络安全领域的价值。此外,建议求职者多参加面试,了解自身水平和行业需求,针对性地提升自己。市场竞争激烈,要珍惜每一次面试机会,避免踩坑。

# 漏洞 # 渗透测试 # 网络安全 # web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录