如何進入安全公司實習或工作2--你該怎麼做?
在看這篇文章之前,請先閱讀歷史消息,去翻閱前一篇《如何進入安全公司實習或工作1--你怎麼想的?》,然後再來看這篇文章。
在上一篇文章里講了一些我自己的經歷以及提出一個思考,這篇文章來說說要怎麼做,才能進入安全公司實習或者工作。
其實對於一個企業來說,不管是招實習生或者是正式員工,招進去絕對不是招進去學習的,而是工作,創造效益的,最好的結果就是員工得到好的成長,企業獲得自己的利益,這是一個雙贏的結果。
所以,首先,先看看安全企業需要什麼樣的安全人才?拋開一些比如行政、銷售等職位,因為對於很多公司都需要這樣的人才,而不僅限於安全企業;具體崗位也沒法說清楚,我覺得對於安全企業來說,有以下幾點基本的指標:nn
1、為人處事,這個是常規指標,人品不行的肯定不行,還有處事、團隊合作等這些,有時候,給面試官第一眼的印象也很重要,不好的印象會讓你在後面的的面試自然而然的減分,而第一眼印象可能很多人看來是見面,其實除了這個之外,其實還有簡歷,這個後面我會提下,不細說,大家自己體會;2、技術,技術是一個很重要的考核指標,如果一個人的人品沒問題,技術很牛逼,往往一般其他都不會是問題;有很多人喜歡在簡歷里寫各種熟練、精通,其實對於面試官來說,至少在我看來,都是扯淡,面試官更看重的是你實際的技術掌握情況和項目參與經驗;另外,在一些安全崗位,很多時候也考核你對安全動態,比如最新漏洞關注、了解等。3、潛力與上進心,這點我覺得在招實習生的時候比重會相對大點,因為是實習生,有時候對技術等方面會相對的降低要求,那麼就會看這個人的潛力及上進心,沒有潛力和上進心的實習生,其他人我不知道,反正我是不會要,如果技術一般,潛力一般,你還沒上進心,就是"爛泥扶不上牆"了,比你聰明的人比你還努力,天賦都比不過人家,你還不努力,還有救嗎?相對來說,我覺得上進心為先,不然再好的潛力都沒用。4、時間,這點主要針對實習生,而且很重要,往往決定了會不會被錄用或者錄用後在公司做什麼事;一般來說,如果實習時間太短,與預期不符,除非實在優秀到讓考官覺得有必要的情況,不然不會錄用;如果時間上都可以,在分配工作、融入團隊的時候,除了技術的考量,一般核心的工作會交給時間久的同學,也會對時間久的同學更悉心教導,因為都不希望花了精力培養後人走了,或者是交給核心項目後,一兩個月後人走了,又得其他人花成本去接手,而且還是核心項目,這過程的損失不是那麼好估量的。
主要的就這四點,可能還有其他的一些考核因素,或者不同公司可能有一些不同的必要考核指標,不過在我看來這四點最重要,所以我一般會給一些在校的同學或者即將畢業的同學這樣的建議:
1、多參加一些學校活動,能夠累積你的為人處世的經驗
2、不要指望通過老師教會你東西,更多的時候得靠自學,不斷的提高自己3、多關注最新的技術、漏洞,掌握最新的安全動態4、除了將自己的基礎打的紮實,更多的去參與一些實際的項目,或者自己有想法的話,自己去做一些項目,多去實踐,不要限於紙上談兵,企業要的是真的有能力的人,能作戰的人,而不是紙上談兵的
5、最好有一些自己的作品之類,給一些SRC提交些漏洞(一些小洞我覺得就沒有刷的必要性,盡量是能體現你技術、思路、技巧的漏洞)之類的,還包含一些Paper、漏洞分析,對一些在線平台參與性,比如在 Seebug 等平台提交過 PoC,這樣在面試的時候容易讓面試官認可你,就是會覺得你確實做過一些實際的東西6、可能一些CTF比賽之類的也能說明一些問題吧,不過我倒是面試過很多什麼CTF比賽第一名、第二名的,結果最後我覺得技術不紮實的,這個因人而異大概就是這些,我覺得關鍵的在2、3、4、5 四個點,自己怎麼去把握這個問題,給自己增加籌碼,反正總結的來說,記住一句話,企業需要的是真正能做事,能打戰的人,如果有一些戰鬥經驗和成果就最好了!這之後,你英語好,可以看英文技術文檔、發表過技術論文、學歷、參加過什麼比賽拿過什麼獎,就有可能也可以給你加分,但是沒有前面的那些,這些我不知道別人怎麼看,在我看來都是浮雲。像我進入創宇,我覺得我的加分項就在於我做了很多東西,甚至於有些東西跟當時創宇在做的項目是有相似性,於是我就進來了,僅此而已。
之前經常面試的時候,問安全方向是什麼?Web 安全!那麼 OWASP Top 10 了解嗎?不知道!XSS 懂嗎?懂!那麼什麼是mXSS?不知道!問那為什麼覺得自己懂 Web 安全?看過道哥的《白帽子講 Web 安全》或者餘弦和xisigr寫的《Web前端黑客技術揭秘》!但是實際上,你真的看了道哥或者餘弦他們的書嗎?你認真的看了?實踐了嗎?
之前公眾號後台包括QQ、微博等地方,不止一次有同學問我怎麼入門,說可以從看書開始,說看過,然後我就會問一句,你確定你自己認真的看了書,然後把書中的那些例子都試了?碰到不懂的地方都去查去學了?所以不是怎麼入門的問題!
可能有些同學還會有這樣的疑問,是否沒必要去學高數?學各種大學課程,而應該把時間完全的投入到網路安全的學習?我就說點我現在的感受吧,因為我大學英文學的一般,這讓我現在看英文技術文檔很吃力,我現在很後悔;因為高數學的一般,讓我在演算法方面一般,於是可能在這方面我就有所限制,我限制很後悔...明白了?多的我不舉例了,其實這些能力沒有,也許你也可以是一個出色的安全研究人員,但是有的話,也許你的學習和做的事事半功倍。
上面講的主要在於能力的掌握方面,下面簡單說說怎麼選擇公司吧!
有些同學說進入了安全公司實習,然後每天都是抱著機器去客戶那跑,問實習是不是都這樣?其實我覺得因公司、因部門、因領導而異。就像大家找工作會面臨一個問題,去大公司好還是創業公司好?答案我就不說了,網上一堆,各有各的好處,小公司在於能更多的參與到核心的項目,大公司可能讓你做的事就很簡單的,一層不變的;但這些也不是絕對的,所以有的時候,在面試前,想清楚自己的目標,了解清楚面試公司做什麼的,招聘崗位做什麼的?然後面試的時候也可以問,我覺得沒關係,碰到好的面試官,他不止會告訴你相關的情況,即使你最後面試不過,他也會幫你指出問題,給你學習的建議,那麼每次都是一次學習。所以公司的選擇,我覺得更多的看個人的期許以及公司文化等,不能一錘而定。
也有同學問到實習的工作內容,其實我上面在解釋時間的那點有點到了實習的工作內容,除了那之外,這個也是因公司和崗位而異,也看團隊,就我們團隊來說,我們招實習生相對會嚴格些,進來的實習生都是當正式員工,放在實際的項目中讓他去參與項目,我們不會有手把手教的過程,但是你願意問、學,別人會願意回答、願意教,平時也有各種分享、討論,而參與也是看你自己,所以完全在這個團隊里你能成長成什麼樣,完全取決於你個人。當然,不同團隊不一樣。
感覺說的夠多的了,可能會有點亂,最後說下第一印象這個點吧。面試官在見到你之前,一般是先收到你的簡歷,好的簡歷會讓面試官對你多了很多期待,而經常我收到的簡歷是以下幾種情況,我覺得都是會讓我減掉印象分或者直接不看簡歷的:
1、QQ郵箱發送,這個我倒不在意,但是關鍵昵稱是個非主流的名稱
2、標題搞不清楚這是封簡歷投遞郵件3、郵件或者簡歷一看是批量投的4、郵件除了附件,內容一句話都沒有,如果再加上標題什麼都沒有就更坑了5、簡歷是壓縮的(有作品一起打包的除外,不過我還是建議作品打包,簡歷不要放進去)6、簡歷是除 pdf 外的其他格式的(一些特殊創意的除外,比如開發同學的markdown我是能接受,不過還是建議 pdf)7、內容包含類似"你猜我是誰"類似語句之類的,我管是誰,直接扔垃圾箱8、...等等之類,反正就是這些覺得沒關係的細節點,不注意就會減分;如果你真的很優秀,我可以容忍,但是如果不是,你的簡歷就是直接右鍵垃圾箱里了;當然還包含一些簡歷內容的問題之類的,這裡就不多說了;相對的,如果一個人的簡歷乾淨,清晰,讓人眼前一亮(不要那種特殊的比如嚇人一跳的亮),印象分自然就上去了。
不過這些都是額外的,最重要的還是真材實料,你的能力、實踐經驗、成果!
題圖來自網路
-------------優主張關注信息安全,產品運營以及各種好玩的東西分享一些個人的體驗與心得,一些想法,一些安全的科普http://weixin.qq.com/r/uTmaggfEOVpGrUPh92yr (二維碼自動識別)
推薦閱讀:
※不用水的免洗洗手液,到底有沒有那麼神奇?
※2016阿里安全峰會重點資料下載
※修正液苯超標400倍 你還敢讓孩子用么?
※炸機實測丨無人機旋翼殺傷力到底有多大?