前言

又到了每年校招的时刻，回想起 2018 年校招的我，只能说一把辛酸泪。

作为一名某不知名学校的本科生，大学学的专业是网络工程专业，虽然学校不算太差，但在各种 211、985 大学面前，还是有很大竞争力的，只能说学历拖了一点后腿。

我从小就对计算机很感兴趣（主要是喜欢打游戏），由于高考时失利严重，所以在进入大学前，就给自己定下了一定要进大厂的目标，决定要好好努力，不输其他名校的同学，我要证明自己不比他们差。

不过现在回想起来，当时确实是年少轻狂啊，也没有想到零基础学习计算机，竟然需要那么漫长的努力。

还好，虽然在追求目标时走了一些弯路，但总体还算顺利。

下面分享我大学四年的学习和求职经历、方法、技巧经验，在最后精心总结，建议大家收藏，并定期和自己的现状来对比，按照我的经历，每位同学都可以进大厂！

大一

其实，我的大一比较滑水，新鲜的事物太多，让我渐渐忘了入学前的目标，忽略了学习的重要性，不过这也应该是大多数同学的真实写照吧。刚入学时我加了很多社团，每天就是和兄弟姐妹们开心滴玩耍，完全不在意自己的成绩。但幸运的是，我加入了一个给学校开发网站的工作室，老大给我布置了一些学习渗透的任务，因此上学期也学到了一点课本之外的知识，但专业课的成绩着实一般。

给自己制定了一些计划，跟从大纲学习

寒假回家跟名校的朋友交流后，我意识到自己忘记了曾经的目标，于是决定洗心革面，发奋图强。和朋友的交流中，我意识到想要学好网络安全，仅通过学校的课程是远远不够的。于是，我买了几本书，在大学的第一个寒假，学完了网络安全常见的 Linux150 个命令、网站常见的攻击方式、web 渗透技术等等，更多的都是在网上找的电子书了。刚开始自学的确比较困难，所以整个寒假每天早上 8 点钟爬起来就是学习，一直学到晚上，那段时间几乎是闭门不出，所以感觉时间过的很快。自己对这个寒假也没有什么深刻的记忆了，有时因为一个难点熬到半夜的郁闷心情。

在刚开始学 网络安全时，我看书上的例子是看一遍忘一遍，看了半天啥也没学会。于是，我就跟着书本敲一些代码，把每一个例子都理解、透，认真完成课后练习，并且将练习的例子结合自己的想法做了些修改，试着自己做一个小网页，然后攻击自己的网站。自己学习并且有成果的过程是非常爽的，没有课本和作业的束缚，让我渐渐对网络安全产生了兴趣，也为后面持续努力自主学习埋下了种子。

在大一下学期，我首先端正态度，开始认真学习学校的专业课程，希望能得到一个好的成绩。除了学校教的基础课外，我在网站开发工作室中学习了更多网络安全方面的知识，主动承担校园网站服务任务，并且用学到的技术在博客上记录自己的学习过程。

随着网络安全学习的逐渐深入，我意识到， 握草，计算机这一行业真的是这辈子都学不完啊，然后开始更努力地学习。

期间就是不停的看视频，b 站看网络安全合集视频，自己也找了很多视频看。学了很多实战技术

与此同时，在这学期，我抓住了两个机会，首先是作为队长申报了国家级大学生创新创业项目，这个项目的申报属实不易，我被老师拒绝了好几次，他每拒绝一次，我就重新提一个想法、设计一个方案，最终终于成功抓住了机会，做项目的时候，正是课程最繁忙的时候，那段时间，光是做课程，就让我很头疼了，但还好有责任心驱使我前进，每天晚上肝到 2 - 3 点，我也能够将项目做好。

第二个机会是，我加入了导师的研究生团队一起做项目，机会是靠自己争取的，简单的说就是毛遂自荐，虽然当时我只学了简单的攻击和防御，但我相信自己能够通过爆肝，虽不奢望追上师兄们的步伐，也要不拖大家的后腿，为项目多做贡献。

光通过做项目，我就赚到了几万块钱，做到了经济独立，同时也积累了一些经验，在专业课上取得了不错的成绩。

当时的我，照这个节奏努力下去，已经足够了。

大二

大二这一年，除了担任班长，我还当了学生会部长、社团部长、，因此，除了专业课学习外，还有非常非常多其他的事情要处理。但是，不论其他事情要处理到多晚，我都始终坚持每天留给自己几个小时用来自学技术，哪怕熬夜到凌晨三四点，然后第二天 8 点接着醒来上课。课上犯困的时候，我会做一些相对不用动脑的工作，比如记录一些实验课的报告。然后等回了寝室，躺在床上，把电脑放被子上，我便会打起精神，开始自主学习。

大二上学期，我几乎每天都是在教学楼、学院楼或是图书馆度过的。为了巩固自己的 知识 基础。

大二寒假，我参加了一个 CTF 比赛，有幸找到一位很优秀的学长，他也是打 CTF，我们一起拿到了证书。在这个过程中，我学到了很多团队技术的技巧，也从学长身上学到了很多知识。学长校招拿到了阿里的 offer，也是给我带来了不少的鼓励吧。

这个寒假，除了学习知识外，我看了一些计算机网络方面的书籍，补充自己的理论知识，基本也是全天都在学习，只有晚上跟朋友出去玩玩桌游，即使在玩时，可能抽空还会想想白天遇到的难题，痛并快乐着吧。

直到秋招开始的前三个月，去力扣上刷刷题，刷的题少说也有几百了，汇总一下

1.xss 如何盗取 cookie？2.tcp、udp 的区别及 tcp 三次握手，syn 攻击？3.为何一个 MYSQL 数据库的站，只有一个 80 端口开放？4.一个成熟并且相对安全的 CMS，渗透时扫目录的意义？5.在某后台新闻编辑界面看到编辑器，应该先做什么？6.审查上传点的元素有什么意义？7.CSRF、XSS 及 XXE 有什么区别，以及修复方式？8.3389 无法连接的几种情况 9.列举出 owasptop10201910.说出至少三种业务逻辑漏洞，以及修复方式？11.目标站无防护，上传图片可以正常访问，上传脚本格式访问则 403，什么原因？12.目标站禁止注册用户，找回密码处随便输入用户名提示：“此用户不存在”，你觉得这里怎样利用？13.sql 注入的分类？14.内网渗透思路？15.OWASPTop10 有哪些漏洞 16.正向代理和反向代理的区别 17.蚁剑/菜刀/C 刀/冰蝎的相同与不相同之处 18.正向 SHELL 和反向 SHELL 的区别 19。Windows 提权 20.PHP 反序列化

内容有点多，写不下大有，我整理到下面了

后来就是面试，秋招锁定了腾讯

【一面】 60min

1、简述从输入网址到浏览器显示的过程

2、TCP 为什么是三次握手四次挥手

3、TCP 如何保障数据包有效

4、HTTPS 和 HTTP 的区别

5、对称加密和非对称加密

6、什么是同源策略？

7、Linux 系统命令

简单的问了一些基础问题

【二面】 60min

1.自我介绍 2.项目介绍：历程、时间、语言 3.先做题 4.你对云上 PKI 的安全，身份认证的能力感兴趣吗？

5.介绍一下字节跳动训练营做了什么？

6.Sql 注入的原理和防御方案有哪些？

7.WAF 防护 SQL 注入的原理是什么？

8.本次训练营中，怎么分工协作的？你的角色是什么？你的贡献是什么？有没有提升效率的可能？

9.漏洞挖掘是纯工具还是有一些手工的？

10.WAF 管理平台后端 API 有哪些功能？

11.WAF 的增删改查数据量大吗？

12.Redis 解决了什么问题？

13.热点数据怎么保证 redis 和 db 中的一致？

14.用户登录认证是怎么做的？

15.Token 的安全怎么保护？

16.Token 的内容该如何设计？

17.怎么保证数据不被篡改呢？

18.SDN 漏洞挖掘的思路？

19.漏洞挖掘有挖掘出 RCE 漏洞吗？

20.对栈溢出、堆溢出有研究吗？

21.说一下 https 协议的过程？

22.随机数一般有几个？

23.如果有一个的话会如何？

24.对 C++或 C 熟悉吗？

25.哈希表的原理和冲突解决办法？（和一面重复了）

26.Mysql 查询快的原因？

27.事务的四大特性，mysql 隔离级别？

28.解释一下乐观锁和悲观锁？

29.多并发编程有涉及过吗？

30.读写锁和互斥锁/排他锁用过吗？有什么区别？为什么会用？

31.有一项软件著作权，做的什么软件？

【三面】 60min

1.闲聊

2.聊项目

3.项目的难点和挑战点

4.SDN 漏洞挖掘项目，你能列举一个比较有技术含量的漏洞吗？漏洞原理和挖掘过程？

5.Python2 和 Python3 的区别？

6.Xrange 和 range 返回的是什么？

7.数据库索引的作用？mysql 索引的变化？

8.数据库弱口令，登进去后如何提权？

9.你自己写项目的时候，怎么进行的 SQL 注入防御？

10.怎么进行 CSRF 防御？

11.Token 加密什么东西？

12.校验什么？

13.Token 为什么需要加密？使用明文随机数可以吗？

14.怎么防重放攻击 ？

腾讯的没有面上，后面去了一家小型公司，待遇也还不错，就稳定下来了

个人感受

我感觉在技术面阶段实际上主要不在于你是不是都会，更好的实际上是你在某一两个问题上了解的特别详细，或者有项目经历，能跟面试官聊很久，这样在面试中就可以把面试官带到自己的点上，比如在面试官问网址访问过程的时候，我会讲的特别详细，并且把 HTTPS 和 HTTP 留在最后，通过 HTTPS 延伸到逆向工程中的一些密码学问题或者延伸到中间人攻击，这些常常会让面试官眼前一亮。另外我感觉问面试官对自己的评价 or 自己哪些位置做的不好这种问题还是谨慎，如果自己表现得很完美就可以问问，不然面试官也不可能一直夸你，一般只会简单夸一下，然后绞尽脑汁想一想你有哪些位置做的不好，这就无形中提醒了他你的缺点。

需要我文档的【点我领取】