写点什么

秋招冲刺:网络安全工程师入围成功之旅!!

发布于: 31 分钟前
秋招冲刺:网络安全工程师入围成功之旅!!

前言

又到了每年校招的时刻,回想起 2018 年校招的我,只能说一把辛酸泪。


作为一名某不知名学校的本科生,大学学的专业是网络工程专业,虽然学校不算太差,但在各种 211、985 大学面前,还是有很大竞争力的,只能说学历拖了一点后腿。


我从小就对计算机很感兴趣(主要是喜欢打游戏),由于高考时失利严重,所以在进入大学前,就给自己定下了一定要进大厂的目标,决定要好好努力,不输其他名校的同学,我要证明自己不比他们差。


不过现在回想起来,当时确实是年少轻狂啊,也没有想到零基础学习计算机,竟然需要那么漫长的努力。


还好,虽然在追求目标时走了一些弯路,但总体还算顺利。


下面分享我大学四年的学习和求职经历、方法、技巧经验,在最后精心总结,建议大家收藏,并定期和自己的现状来对比,按照我的经历,每位同学都可以进大厂!

大一

其实,我的大一比较滑水,新鲜的事物太多,让我渐渐忘了入学前的目标,忽略了学习的重要性,不过这也应该是大多数同学的真实写照吧。刚入学时我加了很多社团,每天就是和兄弟姐妹们开心滴玩耍,完全不在意自己的成绩。但幸运的是,我加入了一个给学校开发网站的工作室,老大给我布置了一些学习渗透的任务,因此上学期也学到了一点课本之外的知识,但专业课的成绩着实一般。


给自己制定了一些计划,跟从大纲学习



寒假回家跟名校的朋友交流后,我意识到自己忘记了曾经的目标,于是决定洗心革面,发奋图强。和朋友的交流中,我意识到想要学好网络安全,仅通过学校的课程是远远不够的。于是,我买了几本书,在大学的第一个寒假,学完了网络安全常见的 Linux150 个命令、网站常见的攻击方式、web 渗透技术等等,更多的都是在网上找的电子书了。刚开始自学的确比较困难,所以整个寒假每天早上 8 点钟爬起来就是学习,一直学到晚上,那段时间几乎是闭门不出,所以感觉时间过的很快。自己对这个寒假也没有什么深刻的记忆了,有时因为一个难点熬到半夜的郁闷心情。



在刚开始学 网络安全时,我看书上的例子是看一遍忘一遍,看了半天啥也没学会。于是,我就跟着书本敲一些代码,把每一个例子都理解、透,认真完成课后练习,并且将练习的例子结合自己的想法做了些修改,试着自己做一个小网页,然后攻击自己的网站。自己学习并且有成果的过程是非常爽的,没有课本和作业的束缚,让我渐渐对网络安全产生了兴趣,也为后面持续努力自主学习埋下了种子。


在大一下学期,我首先端正态度,开始认真学习学校的专业课程,希望能得到一个好的成绩。除了学校教的基础课外,我在网站开发工作室中学习了更多网络安全方面的知识,主动承担校园网站服务任务,并且用学到的技术在博客上记录自己的学习过程。


随着网络安全学习的逐渐深入,我意识到, 握草,计算机这一行业真的是这辈子都学不完啊,然后开始更努力地学习。


期间就是不停的看视频,b 站看网络安全合集视频,自己也找了很多视频看。学了很多实战技术



与此同时,在这学期,我抓住了两个机会,首先是作为队长申报了国家级大学生创新创业项目,这个项目的申报属实不易,我被老师拒绝了好几次,他每拒绝一次,我就重新提一个想法、设计一个方案,最终终于成功抓住了机会,做项目的时候,正是课程最繁忙的时候,那段时间,光是做课程,就让我很头疼了,但还好有责任心驱使我前进,每天晚上肝到 2 - 3 点,我也能够将项目做好。


第二个机会是,我加入了导师的研究生团队一起做项目,机会是靠自己争取的,简单的说就是毛遂自荐,虽然当时我只学了简单的攻击和防御,但我相信自己能够通过爆肝,虽不奢望追上师兄们的步伐,也要不拖大家的后腿,为项目多做贡献。


光通过做项目,我就赚到了几万块钱,做到了经济独立,同时也积累了一些经验,在专业课上取得了不错的成绩。


当时的我,照这个节奏努力下去,已经足够了。

大二

大二这一年,除了担任班长,我还当了学生会部长、社团部长、,因此,除了专业课学习外,还有非常非常多其他的事情要处理。但是,不论其他事情要处理到多晚,我都始终坚持每天留给自己几个小时用来自学技术,哪怕熬夜到凌晨三四点,然后第二天 8 点接着醒来上课。课上犯困的时候,我会做一些相对不用动脑的工作,比如记录一些实验课的报告。然后等回了寝室,躺在床上,把电脑放被子上,我便会打起精神,开始自主学习。


大二上学期,我几乎每天都是在教学楼、学院楼或是图书馆度过的。为了巩固自己的 知识 基础。


大二寒假,我参加了一个 CTF 比赛,有幸找到一位很优秀的学长,他也是打 CTF,我们一起拿到了证书。在这个过程中,我学到了很多团队技术的技巧,也从学长身上学到了很多知识。学长校招拿到了阿里的 offer,也是给我带来了不少的鼓励吧。


这个寒假,除了学习知识外,我看了一些计算机网络方面的书籍,补充自己的理论知识,基本也是全天都在学习,只有晚上跟朋友出去玩玩桌游,即使在玩时,可能抽空还会想想白天遇到的难题,痛并快乐着吧。


直到秋招开始的前三个月,去力扣上刷刷题,刷的题少说也有几百了,汇总一下


1.xss 如何盗取 cookie?2.tcp、udp 的区别及 tcp 三次握手,syn 攻击?3.为何一个 MYSQL 数据库的站,只有一个 80 端口开放?4.一个成熟并且相对安全的 CMS,渗透时扫目录的意义?5.在某后台新闻编辑界面看到编辑器,应该先做什么?6.审查上传点的元素有什么意义?7.CSRF、XSS 及 XXE 有什么区别,以及修复方式?8.3389 无法连接的几种情况 9.列举出 owasptop10201910.说出至少三种业务逻辑漏洞,以及修复方式?11.目标站无防护,上传图片可以正常访问,上传脚本格式访问则 403,什么原因?12.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?13.sql 注入的分类?14.内网渗透思路?15.OWASPTop10 有哪些漏洞 16.正向代理和反向代理的区别 17.蚁剑/菜刀/C 刀/冰蝎的相同与不相同之处 18.正向 SHELL 和反向 SHELL 的区别 19。Windows 提权 20.PHP 反序列化


内容有点多,写不下大有,我整理到下面了



后来就是面试,秋招锁定了腾讯


【一面】 60min


1、简述从输入网址到浏览器显示的过程


2、TCP 为什么是三次握手四次挥手


3、TCP 如何保障数据包有效


4、HTTPS 和 HTTP 的区别


5、对称加密和非对称加密


6、什么是同源策略?


7、Linux 系统命令


简单的问了一些基础问题


【二面】 60min


1.自我介绍 2.项目介绍:历程、时间、语言 3.先做题 4.你对云上 PKI 的安全,身份认证的能力感兴趣吗?


5.介绍一下字节跳动训练营做了什么?


6.Sql 注入的原理和防御方案有哪些?


7.WAF 防护 SQL 注入的原理是什么?


8.本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?


9.漏洞挖掘是纯工具还是有一些手工的?


10.WAF 管理平台后端 API 有哪些功能?


11.WAF 的增删改查数据量大吗?


12.Redis 解决了什么问题?


13.热点数据怎么保证 redis 和 db 中的一致?


14.用户登录认证是怎么做的?


15.Token 的安全怎么保护?


16.Token 的内容该如何设计?


17.怎么保证数据不被篡改呢?


18.SDN 漏洞挖掘的思路?


19.漏洞挖掘有挖掘出 RCE 漏洞吗?


20.对栈溢出、堆溢出有研究吗?


21.说一下 https 协议的过程?


22.随机数一般有几个?


23.如果有一个的话会如何?


24.对 C++或 C 熟悉吗?


25.哈希表的原理和冲突解决办法?(和一面重复了)


26.Mysql 查询快的原因?


27.事务的四大特性,mysql 隔离级别?


28.解释一下乐观锁和悲观锁?


29.多并发编程有涉及过吗?


30.读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?


31.有一项软件著作权,做的什么软件?


【三面】 60min


1.闲聊


2.聊项目


3.项目的难点和挑战点


4.SDN 漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?


5.Python2 和 Python3 的区别?


6.Xrange 和 range 返回的是什么?


7.数据库索引的作用?mysql 索引的变化?


8.数据库弱口令,登进去后如何提权?


9.你自己写项目的时候,怎么进行的 SQL 注入防御?


10.怎么进行 CSRF 防御?


11.Token 加密什么东西?


12.校验什么?


13.Token 为什么需要加密?使用明文随机数可以吗?


14.怎么防重放攻击 ?


腾讯的没有面上,后面去了一家小型公司,待遇也还不错,就稳定下来了

个人感受

我感觉在技术面阶段实际上主要不在于你是不是都会,更好的实际上是你在某一两个问题上了解的特别详细,或者有项目经历,能跟面试官聊很久,这样在面试中就可以把面试官带到自己的点上,比如在面试官问网址访问过程的时候,我会讲的特别详细,并且把 HTTPS 和 HTTP 留在最后,通过 HTTPS 延伸到逆向工程中的一些密码学问题或者延伸到中间人攻击,这些常常会让面试官眼前一亮。另外我感觉问面试官对自己的评价 or 自己哪些位置做的不好这种问题还是谨慎,如果自己表现得很完美就可以问问,不然面试官也不可能一直夸你,一般只会简单夸一下,然后绞尽脑汁想一想你有哪些位置做的不好,这就无形中提醒了他你的缺点。


需要我文档的【点我领取】

用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
秋招冲刺:网络安全工程师入围成功之旅!!