关于应届生找工作:一开始并不顺利,可能会有一段时间的面试打击和低迷,我想说的是不要放弃,坚持下来,即使你啥都不会,也一定要去面试,有了面试机会,才有提升的机会。
你会发现随着你面试次数的增加,你面试的经验在不知不觉中提升了很多。当然不仅是面试经验这一块,在技能点方面,也会随着面试次数的增加而加深印象。
总结四个点:
1. 每面试一家公司你要有对没回答上来的问题进行一个整理并且去网上查资料或者去关注一些社区对这些题目进行一个归纳或者理解。因为可能下次面试又会遇到一个类似或者一样的问题。
2. 在于你的自信心不能丢弃,因为可能你面试了几家公司都觉得好多的问题不懂,觉得自己是不是能力不达标,然后感到对工作的无望,在此说一下,我也经历过,但是我并没有丢弃自己的自信心,只是在质疑我对这些知识了解的不够多,我会去关注这些我没了解的点,去进行一个理解。
3. 对自身的健谈以及心理素质能力要有提高,因为,面试时,你可能会因为紧张从而导致对一些知识点的理解从脑海里的消失(也就是暂时性失忆),所以你在心理素质这一点需要加强(当然我说的是可能比较认生或者腼腆的同学),然后呢,对于面试官给出的问题,你需要一个健谈的能力(不是让你乱扯),主要是针对给出的问题,你要对面试官详细的说出,而且与这个问题相关的知识点,你也可以对面试官说出,这个主要是让面试官认为你懂这个东西(当然也不要扯得太多,到你的能够掌握的点就ok,不然,他可能在这个问题上进一步的加深)。
4. 就是回答问题的步骤化,也就是说对于面试官问的问题,你需要在心里进行一个分点说明(比如问文件上传漏洞,你最好说出原理,危害,利用,防御这几点)。补充一点,对自己的简历也必须要做的好,因为很多HR会对简历要求很高,可能你发给他,让他觉得你简历不怎么样,也就连面试机会都没有了(最好是白纸黑字,不需要花里胡哨,层次要分明)。
应为本人是搞安全的,在这里就和大家分享一下安全岗位的一些面试重点。
安全面试问题:
1. web常见漏洞文件上传、包含、sql注入、XSS、CSRF这些的原理,危害,利用,防御,区别,我被经常问道的是在SQL注入这一个点,你必须要知道它的类型如:错误(大概有七八个函数),布尔,联合,时间盲注(不止sleep),堆叠,二次,宽字符,当然这些点是必须要了解的怎么去使用,使用那些sql语句进行的手工注入。从而获取到那些信息,注意database() ,user() 这些函数,还有文件上传与文件包含区别,远程包含和本地包含区别,xss的反射型和存储型区别,xss与csrf区别等等。
2.Owasp top10:这十个点,你不仅仅要记住它们的名字还要知道它们具体是怎么发生的有哪些类型的漏洞,可以去网上搜它的详解图片进行一个了解,最重要的是在面试时你要跟面试官扯尽量多说一点,消耗他的时间。
3. 对于一些端口的漏洞比如像3389,445等等这些端口的作用以及所存在的漏洞,怎么去利用,经常会被问道3389端口连接不上时什么原因,这个的话,最好自己去了解,我就不写了,哈哈。
4. 对渗透测试的流程,这个的话如果没有自己的一个理解,那么你就去记一下PTES(不记得时PETS还是PTES了)这个,当然,这不是只让你记它的流程步骤,你必须要知道每个步骤是干嘛的,步骤当中要做那些事情,比如信息收集,它是对那些信息进行收集的,在其中你使用那些方法或者工具进行对它的信息收集,有什么作用(不多说了)
5. Windows与Linux的一些操作和日志路径,比如用户组,日志信息怎么去查看,策略组怎么去操作等等(不是最重要的但你要知道),关于它们的日志文件存储在那个目录下,有哪些日志文件。
6. 一些中间件的漏洞你也要进行一些了解,当然也要对最新的一些漏洞进行了解(主要是说的出来,推荐关注freebuf,先知社区进行了解),比如一些像中间件解析漏洞(这个非常基础配合文件上传的),还有目录遍历,穿越,war后门,远程代码执行,反序列化等等一些漏洞要进行一些了解(面试官经常会问,当然你看了这些也不一定会懂,所以几个点,原理,利用,防御你要记住,有点多)
7. 关于工具方面,像Nmap,sqlmap,burpsuite,matespolit等等的一些功能模块的作用,命令是干什么的要进行一个详细了解(不是说用一次你就可以了,要了解命令的作用)
8. 文件上传是你所构造的一句话木马,你需要知道PHP,JSP,ASP这些语言使用的不同函数(有一次我被问到,懵了,只说出来PHP的几个函数)。
9. 对应急响应和安全加固这两个点你需要进行一个了解,知道它们的步骤和要做那些事情(被问过五六次,这里还是看个人理解程度,能扯尽量扯)。
10. 对一些安全产品需要进行一些了解,WAF,FW,IDS,IPS(你要知道作用,原理,部署位置等等)
11. 对于提权方式,也要进行一些了解,比如像系统的提权(Windows,linux),还有数据库的提权(这里注重MYSQL的UDF,MOF)。
12. 一些业务逻辑漏洞也需要进行一些了解,比如密码找回,身份认证(这里的话,你需要了解的是关于它们的利用方式)。
13. 课外的漏洞像XXE,SSRF,这些你需要去了解,并且要知道像SSRF与CSRF的区别等等(这些只需要去了解,因为这是不常见的漏洞,面试不会问很多)
14. DDOS攻击系列:SYNflood,ACKFLOOD,UDPFLOOD,CC攻击等,要知道这些的原理,和防御手段。
15. 尽量多去关注一些安全社区或者博客,比如先知社区,freebuf,安全课等,去了解新出的漏洞(面试时千万不要说你只是关注了CSDN)
16. 最后一个点,那就是看个人能力了,如果Python基础好,你可以去了解一些脚本库,或者自己去编写一些(面试常问,但是这个还是看个人能力)
说在最后:
安全方面问题的话,基本上是这些。
虽然我只列出了 16 点但是,不要小看这 16 个点,这里面包含的知识点是非常丰富的。
所要消耗的学习时间也比较多,如果能对这 16 个点能够做到脱口而出,找不到工作那就是不存在的事情了。
最后说一句:找工作不难,难的是行动。