如何進入安全公司實習或工作2--你該怎麼做？

在看這篇文章之前，請先閱讀歷史消息，去翻閱前一篇《如何進入安全公司實習或工作1--你怎麼想的？》，然後再來看這篇文章。

在上一篇文章里講了一些我自己的經歷以及提出一個思考，這篇文章來說說要怎麼做，才能進入安全公司實習或者工作。

其實對於一個企業來說，不管是招實習生或者是正式員工，招進去絕對不是招進去學習的，而是工作，創造效益的，最好的結果就是員工得到好的成長，企業獲得自己的利益，這是一個雙贏的結果。

所以，首先，先看看安全企業需要什麼樣的安全人才？拋開一些比如行政、銷售等職位，因為對於很多公司都需要這樣的人才，而不僅限於安全企業；具體崗位也沒法說清楚，我覺得對於安全企業來說，有以下幾點基本的指標：nn

1、為人處事，這個是常規指標，人品不行的肯定不行，還有處事、團隊合作等這些，有時候，給面試官第一眼的印象也很重要，不好的印象會讓你在後面的的面試自然而然的減分，而第一眼印象可能很多人看來是見面，其實除了這個之外，其實還有簡歷，這個後面我會提下，不細說，大家自己體會；

2、技術，技術是一個很重要的考核指標，如果一個人的人品沒問題，技術很牛逼，往往一般其他都不會是問題；有很多人喜歡在簡歷里寫各種熟練、精通，其實對於面試官來說，至少在我看來，都是扯淡，面試官更看重的是你實際的技術掌握情況和項目參與經驗；另外，在一些安全崗位，很多時候也考核你對安全動態，比如最新漏洞關注、了解等。

3、潛力與上進心，這點我覺得在招實習生的時候比重會相對大點，因為是實習生，有時候對技術等方面會相對的降低要求，那麼就會看這個人的潛力及上進心，沒有潛力和上進心的實習生，其他人我不知道，反正我是不會要，如果技術一般，潛力一般，你還沒上進心，就是"爛泥扶不上牆"了，比你聰明的人比你還努力，天賦都比不過人家，你還不努力，還有救嗎？相對來說，我覺得上進心為先，不然再好的潛力都沒用。

4、時間，這點主要針對實習生，而且很重要，往往決定了會不會被錄用或者錄用後在公司做什麼事；一般來說，如果實習時間太短，與預期不符，除非實在優秀到讓考官覺得有必要的情況，不然不會錄用；如果時間上都可以，在分配工作、融入團隊的時候，除了技術的考量，一般核心的工作會交給時間久的同學，也會對時間久的同學更悉心教導，因為都不希望花了精力培養後人走了，或者是交給核心項目後，一兩個月後人走了，又得其他人花成本去接手，而且還是核心項目，這過程的損失不是那麼好估量的。

主要的就這四點，可能還有其他的一些考核因素，或者不同公司可能有一些不同的必要考核指標，不過在我看來這四點最重要，所以我一般會給一些在校的同學或者即將畢業的同學這樣的建議：

1、多參加一些學校活動，能夠累積你的為人處世的經驗

2、不要指望通過老師教會你東西，更多的時候得靠自學，不斷的提高自己

3、多關注最新的技術、漏洞，掌握最新的安全動態

4、除了將自己的基礎打的紮實，更多的去參與一些實際的項目，或者自己有想法的話，自己去做一些項目，多去實踐，不要限於紙上談兵，企業要的是真的有能力的人，能作戰的人，而不是紙上談兵的

5、最好有一些自己的作品之類，給一些SRC提交些漏洞（一些小洞我覺得就沒有刷的必要性，盡量是能體現你技術、思路、技巧的漏洞）之類的，還包含一些Paper、漏洞分析，對一些在線平台參與性，比如在 Seebug 等平台提交過 PoC，這樣在面試的時候容易讓面試官認可你，就是會覺得你確實做過一些實際的東西

6、可能一些CTF比賽之類的也能說明一些問題吧，不過我倒是面試過很多什麼CTF比賽第一名、第二名的，結果最後我覺得技術不紮實的，這個因人而異

大概就是這些，我覺得關鍵的在2、3、4、5 四個點，自己怎麼去把握這個問題，給自己增加籌碼，反正總結的來說，記住一句話，企業需要的是真正能做事，能打戰的人，如果有一些戰鬥經驗和成果就最好了！這之後，你英語好，可以看英文技術文檔、發表過技術論文、學歷、參加過什麼比賽拿過什麼獎，就有可能也可以給你加分，但是沒有前面的那些，這些我不知道別人怎麼看，在我看來都是浮雲。像我進入創宇，我覺得我的加分項就在於我做了很多東西，甚至於有些東西跟當時創宇在做的項目是有相似性，於是我就進來了，僅此而已。

之前經常面試的時候，問安全方向是什麼？Web 安全！那麼 OWASP Top 10 了解嗎？不知道！XSS 懂嗎？懂！那麼什麼是mXSS？不知道！問那為什麼覺得自己懂 Web 安全？看過道哥的《白帽子講 Web 安全》或者餘弦和xisigr寫的《Web前端黑客技術揭秘》！但是實際上，你真的看了道哥或者餘弦他們的書嗎？你認真的看了？實踐了嗎？

之前公眾號後台包括QQ、微博等地方，不止一次有同學問我怎麼入門，說可以從看書開始，說看過，然後我就會問一句，你確定你自己認真的看了書，然後把書中的那些例子都試了？碰到不懂的地方都去查去學了？所以不是怎麼入門的問題！

可能有些同學還會有這樣的疑問，是否沒必要去學高數？學各種大學課程，而應該把時間完全的投入到網路安全的學習？我就說點我現在的感受吧，因為我大學英文學的一般，這讓我現在看英文技術文檔很吃力，我現在很後悔；因為高數學的一般，讓我在演算法方面一般，於是可能在這方面我就有所限制，我限制很後悔...明白了？多的我不舉例了，其實這些能力沒有，也許你也可以是一個出色的安全研究人員，但是有的話，也許你的學習和做的事事半功倍。

上面講的主要在於能力的掌握方面，下面簡單說說怎麼選擇公司吧！

有些同學說進入了安全公司實習，然後每天都是抱著機器去客戶那跑，問實習是不是都這樣？其實我覺得因公司、因部門、因領導而異。就像大家找工作會面臨一個問題，去大公司好還是創業公司好？答案我就不說了，網上一堆，各有各的好處，小公司在於能更多的參與到核心的項目，大公司可能讓你做的事就很簡單的，一層不變的；但這些也不是絕對的，所以有的時候，在面試前，想清楚自己的目標，了解清楚面試公司做什麼的，招聘崗位做什麼的？然後面試的時候也可以問，我覺得沒關係，碰到好的面試官，他不止會告訴你相關的情況，即使你最後面試不過，他也會幫你指出問題，給你學習的建議，那麼每次都是一次學習。所以公司的選擇，我覺得更多的看個人的期許以及公司文化等，不能一錘而定。

也有同學問到實習的工作內容，其實我上面在解釋時間的那點有點到了實習的工作內容，除了那之外，這個也是因公司和崗位而異，也看團隊，就我們團隊來說，我們招實習生相對會嚴格些，進來的實習生都是當正式員工，放在實際的項目中讓他去參與項目，我們不會有手把手教的過程，但是你願意問、學，別人會願意回答、願意教，平時也有各種分享、討論，而參與也是看你自己，所以完全在這個團隊里你能成長成什麼樣，完全取決於你個人。當然，不同團隊不一樣。

感覺說的夠多的了，可能會有點亂，最後說下第一印象這個點吧。面試官在見到你之前，一般是先收到你的簡歷，好的簡歷會讓面試官對你多了很多期待，而經常我收到的簡歷是以下幾種情況，我覺得都是會讓我減掉印象分或者直接不看簡歷的：

1、QQ郵箱發送，這個我倒不在意，但是關鍵昵稱是個非主流的名稱

2、標題搞不清楚這是封簡歷投遞郵件

3、郵件或者簡歷一看是批量投的

4、郵件除了附件，內容一句話都沒有，如果再加上標題什麼都沒有就更坑了

5、簡歷是壓縮的（有作品一起打包的除外，不過我還是建議作品打包，簡歷不要放進去）

6、簡歷是除 pdf 外的其他格式的（一些特殊創意的除外，比如開發同學的markdown我是能接受，不過還是建議 pdf）

7、內容包含類似"你猜我是誰"類似語句之類的，我管是誰，直接扔垃圾箱

8、...

等等之類，反正就是這些覺得沒關係的細節點，不注意就會減分；如果你真的很優秀，我可以容忍，但是如果不是，你的簡歷就是直接右鍵垃圾箱里了；當然還包含一些簡歷內容的問題之類的，這裡就不多說了；相對的，如果一個人的簡歷乾淨，清晰，讓人眼前一亮（不要那種特殊的比如嚇人一跳的亮），印象分自然就上去了。

不過這些都是額外的，最重要的還是真材實料，你的能力、實踐經驗、成果！

題圖來自網路

-------------

優主張

關注信息安全，產品運營以及各種好玩的東西分享一些個人的體驗與心得，一些想法，一些安全的科普

http://weixin.qq.com/r/uTmaggfEOVpGrUPh92yr (二維碼自動識別)

推薦閱讀：