秋招冲刺:网络安全工程师入围成功之旅!!

本文阅读 15 分钟

img

又到了每年校招的时刻,回想起2018年校招的我,只能说一把辛酸泪。

作为一名某不知名学校的本科生,大学学的专业是网络工程专业,虽然学校不算太差,但在各种211、985大学面前,还是有很大竞争力的,只能说学历拖了一点后腿。

我从小就对计算机很感兴趣(主要是喜欢打游戏),由于高考时失利严重,所以在进入大学前,就给自己定下了一定要进大厂的目标,决定要好好努力,不输其他名校的同学,我要证明自己不比他们差。

不过现在回想起来,当时确实是年少轻狂啊,也没有想到零基础学习计算机,竟然需要那么漫长的努力。

还好,虽然在追求目标时走了一些弯路,但总体还算顺利。

下面分享我大学四年的学习和求职经历、方法、技巧经验,在最后精心总结,建议大家收藏,并定期和自己的现状来对比,按照我的经历,每位同学都可以进大厂!

其实,我的大一比较滑水,新鲜的事物太多,让我渐渐忘了入学前的目标,忽略了学习的重要性,不过这也应该是大多数同学的真实写照吧。刚入学时我加了很多社团,每天就是和兄弟姐妹们开心滴玩耍,完全不在意自己的成绩。但幸运的是,我加入了一个给学校开发网站的工作室,老大给我布置了一些学习渗透的任务,因此上学期也学到了一点课本之外的知识,但专业课的成绩着实一般。

给自己制定了一些计划,跟从大纲学习 [](https://shimo.im/docs/C9WxVrD6V3tGcjgQ/)

寒假回家跟名校的朋友交流后,我意识到自己忘记了曾经的目标,于是决定洗心革面,发奋图强。和朋友的交流中,我意识到想要学好网络安全,仅通过学校的课程是远远不够的。于是,我买了几本书,在大学的第一个寒假,学完了网络安全常见的Linux150个命令、网站常见的攻击方式、web渗透技术等等,更多的都是在网上找的电子书了。刚开始自学的确比较困难,所以整个寒假每天早上 8 点钟爬起来就是学习,一直学到晚上,那段时间几乎是闭门不出,所以感觉时间过的很快。自己对这个寒假也没有什么深刻的记忆了,有时因为一个难点熬到半夜的郁闷心情。

[](https://shimo.im/docs/C9WxVrD6V3tGcjgQ/)

在刚开始学 网络安全时,我看书上的例子是看一遍忘一遍,看了半天啥也没学会。于是,我就跟着书本敲一些代码,把每一个例子都理解、透,认真完成课后练习,并且将练习的例子结合自己的想法做了些修改,试着自己做一个小网页,然后攻击自己的网站。自己学习并且有成果的过程是非常爽的,没有课本和作业的束缚,让我渐渐对网络安全产生了兴趣,也为后面持续努力自主学习埋下了种子。

在大一下学期,我首先端正态度,开始认真学习学校的专业课程,希望能得到一个好的成绩。除了学校教的基础课外,我在网站开发工作室中学习了更多网络安全方面的知识,主动承担校园网站服务任务,并且用学到的技术在博客上记录自己的学习过程。

随着网络安全学习的逐渐深入,我意识到, 握草,计算机这一行业真的是这辈子都学不完啊,然后开始更努力地学习。

期间就是不停的看视频,b站看网络安全合集视频,自己也找了很多视频看。学了很多实战技术 [](https://shimo.im/docs/C9WxVrD6V3tGcjgQ/)

与此同时,在这学期,我抓住了两个机会,首先是作为队长申报了国家级大学生创新创业项目,这个项目的申报属实不易,我被老师拒绝了好几次,他每拒绝一次,我就重新提一个想法、设计一个方案,最终终于成功抓住了机会,做项目的时候,正是课程最繁忙的时候,那段时间,光是做课程,就让我很头疼了,但还好有责任心驱使我前进,每天晚上肝到 2 - 3 点,我也能够将项目做好。

第二个机会是,我加入了导师的研究生团队一起做项目,机会是靠自己争取的,简单的说就是毛遂自荐,虽然当时我只学了简单的攻击和防御,但我相信自己能够通过爆肝,虽不奢望追上师兄们的步伐,也要不拖大家的后腿,为项目多做贡献。

光通过做项目,我就赚到了几万块钱,做到了经济独立,同时也积累了一些经验,在专业课上取得了不错的成绩。

当时的我,照这个节奏努力下去,已经足够了。

大二这一年,除了担任班长,我还当了学生会部长、社团部长、,因此,除了专业课学习外,还有非常非常多其他的事情要处理。但是,不论其他事情要处理到多晚,我都始终坚持每天留给自己几个小时用来自学技术,哪怕熬夜到凌晨三四点,然后第二天 8 点接着醒来上课。课上犯困的时候,我会做一些相对不用动脑的工作,比如记录一些实验课的报告。然后等回了寝室,躺在床上,把电脑放被子上,我便会打起精神,开始自主学习。

大二上学期,我几乎每天都是在教学楼、学院楼或是图书馆度过的。为了巩固自己的 知识 基础。

大二寒假,我参加了一个CTF比赛,有幸找到一位很优秀的学长,他也是打CTF,我们一起拿到了证书。在这个过程中,我学到了很多团队技术的技巧,也从学长身上学到了很多知识。学长校招拿到了阿里的 offer,也是给我带来了不少的鼓励吧。

这个寒假,除了学习知识外,我看了一些计算机网络方面的书籍,补充自己的理论知识,基本也是全天都在学习,只有晚上跟朋友出去玩玩桌游,即使在玩时,可能抽空还会想想白天遇到的难题,痛并快乐着吧。

直到秋招开始的前三个月,去力扣上刷刷题,刷的题少说也有几百了,汇总一下

1.xss如何盗取cookie? 2.tcp、udp的区别及tcp三次握手,syn攻击? 3.为何一个MYSQL数据库的站,只有一个80端口开放? 4.一个成熟并且相对安全的CMS,渗透时扫目录的意义? 5.在某后台新闻编辑界面看到编辑器,应该先做什么? 6.审查上传点的元素有什么意义? 7.CSRF、XSS及XXE有什么区别,以及修复方式? 8.3389无法连接的几种情况 9.列举出owasptop102019 10.说出至少三种业务逻辑漏洞,以及修复方式? 11.目标站无防护,上传图片可以正常访问,上传脚本格式访问则403,什么原因? 12.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用? 13.sql注入的分类? 14.内网渗透思路? 15.OWASPTop10有哪些漏洞 16.正向代理和反向代理的区别 17.蚁剑/菜刀/C刀/冰蝎的相同与不相同之处 18.正向SHELL和反向SHELL的区别 19。Windows提权 20.PHP反序列化

内容有点多,写不下大有,我整理到下面了 [](https://shimo.im/docs/C9WxVrD6V3tGcjgQ/)

后来就是面试,秋招锁定了腾讯

【一面】 60min

1、简述从输入网址到浏览器显示的过程

2、TCP 为什么是三次握手四次挥手

3、TCP 如何保障数据包有效

4、HTTPS 和 HTTP 的区别

5、对称加密和非对称加密

6、什么是同源策略?

7、Linux系统命令

简单的问了一些基础问题

【二面】 60min

1.自我介绍 2.项目介绍:历程、时间、语言 3.先做题 4.你对云上PKI的安全,身份认证的能力感兴趣吗?

5.介绍一下字节跳动训练营做了什么?

6.Sql注入的原理和防御方案有哪些?

7.WAF防护SQL注入的原理是什么?

8.本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?

9.漏洞挖掘是纯工具还是有一些手工的?

10.WAF管理平台后端API有哪些功能?

11.WAF的增删改查数据量大吗?

12.Redis解决了什么问题?

13.热点数据怎么保证redis和db中的一致?

14.用户登录认证是怎么做的?

15.Token的安全怎么保护?

16.Token的内容该如何设计?

17.怎么保证数据不被篡改呢?

18.SDN漏洞挖掘的思路?

19.漏洞挖掘有挖掘出RCE漏洞吗?

20.对栈溢出、堆溢出有研究吗?

21.说一下https协议的过程?

22.随机数一般有几个?

23.如果有一个的话会如何?

24.对C++或C熟悉吗?

25.哈希表的原理和冲突解决办法?(和一面重复了)

26.Mysql查询快的原因?

27.事务的四大特性,mysql隔离级别?

28.解释一下乐观锁和悲观锁?

29.多并发编程有涉及过吗?

30.读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?

31.有一项软件著作权,做的什么软件?

【三面】 60min

1.闲聊

2.聊项目

3.项目的难点和挑战点

4.SDN漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?

5.Python2和Python3的区别?

6.Xrange和range返回的是什么?

7.数据库索引的作用?mysql索引的变化?

8.数据库弱口令,登进去后如何提权?

9.你自己写项目的时候,怎么进行的 SQL注入防御?

10.怎么进行CSRF防御?

11.Token加密什么东西?

12.校验什么?

13.Token为什么需要加密?使用明文随机数可以吗?

14.怎么防重放攻击 ?

腾讯的没有面上,后面去了一家小型公司,待遇也还不错,就稳定下来了

我感觉在技术面阶段实际上主要不在于你是不是都会,更好的实际上是你在某一两个问题上了解的特别详细,或者有项目经历,能跟面试官聊很久,这样在面试中就可以把面试官带到自己的点上,比如在面试官问网址访问过程的时候,我会讲的特别详细,并且把 HTTPS 和 HTTP 留在最后,通过 HTTPS 延伸到逆向工程中的一些密码学问题或者延伸到中间人攻击,这些常常会让面试官眼前一亮。 另外我感觉问面试官对自己的评价 or 自己哪些位置做的不好这种问题还是谨慎,如果自己表现得很完美就可以问问,不然面试官也不可能一直夸你,一般只会简单夸一下,然后绞尽脑汁想一想你有哪些位置做的不好,这就无形中提醒了他你的缺点。

需要我文档的 【点我领取】

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/kali_Ma/article/details/118310679
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复