微信号:yzhuzhang

介绍:我是一个安全研究员,程序猿,产品经理;关注信息安全,产品运营以及各种好玩的东西;分享一些个人的体验与心得,一些想法,一些安全的科普.

如何进入安全公司实习或工作2--你该怎么做?

2016-06-29 08:17 Fooying

在看这篇文章之前,请先阅读历史消息,去翻阅前一篇《如何进入安全公司实习或工作1--你怎么想的?》,然后再来看这篇文章。


在上一篇文章里讲了一些我自己的经历以及提出一个思考,这篇文章来说说要怎么做,才能进入安全公司实习或者工作。


其实对于一个企业来说,不管是招实习生或者是正式员工,招进去绝对不是招进去学习的,而是工作,创造效益的,最好的结果就是员工得到好的成长,企业获得自己的利益,这是一个双赢的结果。


所以,首先,先看看安全企业需要什么样的安全人才?抛开一些比如行政、销售等职位,因为对于很多公司都需要这样的人才,而不仅限于安全企业;具体岗位也没法说清楚,我觉得对于安全企业来说,有以下几点基本的指标: 1、为人处事,这个是常规指标,人品不行的肯定不行,还有处事、团队合作等这些,有时候,给面试官第一眼的印象也很重要,不好的印象会让你在后面的的面试自然而然的减分,而第一眼印象可能很多人看来是见面,其实除了这个之外,其实还有简历,这个后面我会提下,不细说,大家自己体会;

2、技术,技术是一个很重要的考核指标,如果一个人的人品没问题,技术很牛逼,往往一般其他都不会是问题;有很多人喜欢在简历里写各种熟练、精通,其实对于面试官来说,至少在我看来,都是扯淡,面试官更看重的是你实际的技术掌握情况和项目参与经验;另外,在一些安全岗位,很多时候也考核你对安全动态,比如最新漏洞关注、了解等。

3、潜力与上进心,这点我觉得在招实习生的时候比重会相对大点,因为是实习生,有时候对技术等方面会相对的降低要求,那么就会看这个人的潜力及上进心,没有潜力和上进心的实习生,其他人我不知道,反正我是不会要,如果技术一般,潜力一般,你还没上进心,就是"烂泥扶不上墙"了,比你聪明的人比你还努力,天赋都比不过人家,你还不努力,还有救吗?相对来说,我觉得上进心为先,不然再好的潜力都没用。

4、时间,这点主要针对实习生,而且很重要,往往决定了会不会被录用或者录用后在公司做什么事;一般来说,如果实习时间太短,与预期不符,除非实在优秀到让考官觉得有必要的情况,不然不会录用;如果时间上都可以,在分配工作、融入团队的时候,除了技术的考量,一般核心的工作会交给时间久的同学,也会对时间久的同学更悉心教导,因为都不希望花了精力培养后人走了,或者是交给核心项目后,一两个月后人走了,又得其他人花成本去接手,而且还是核心项目,这过程的损失不是那么好估量的。


主要的就这四点,可能还有其他的一些考核因素,或者不同公司可能有一些不同的必要考核指标,不过在我看来这四点最重要,所以我一般会给一些在校的同学或者即将毕业的同学这样的建议:

1、多参加一些学校活动,能够累积你的为人处世的经验

2、不要指望通过老师教会你东西,更多的时候得靠自学,不断的提高自己

3、多关注最新的技术、漏洞,掌握最新的安全动态

4、除了将自己的基础打的扎实,更多的去参与一些实际的项目,或者自己有想法的话,自己去做一些项目,多去实践,不要限于纸上谈兵,企业要的是真的有能力的人,能作战的人,而不是纸上谈兵的

5、最好有一些自己的作品之类,给一些SRC提交些漏洞(一些小洞我觉得就没有刷的必要性,尽量是能体现你技术、思路、技巧的漏洞)之类的,还包含一些Paper、漏洞分析,对一些在线平台参与性,比如在 Seebug 等平台提交过 PoC,这样在面试的时候容易让面试官认可你,就是会觉得你确实做过一些实际的东西

6、可能一些CTF比赛之类的也能说明一些问题吧,不过我倒是面试过很多什么CTF比赛第一名、第二名的,结果最后我觉得技术不扎实的,这个因人而异


大概就是这些,我觉得关键的在2、3、4、5 四个点,自己怎么去把握这个问题,给自己增加筹码,反正总结的来说,记住一句话,企业需要的是真正能做事,能打战的人,如果有一些战斗经验和成果就最好了!这之后,你英语好,可以看英文技术文档、发表过技术论文、学历、参加过什么比赛拿过什么奖,就有可能也可以给你加分,但是没有前面的那些,这些我不知道别人怎么看,在我看来都是浮云。像我进入创宇,我觉得我的加分项就在于我做了很多东西,甚至于有些东西跟当时创宇在做的项目是有相似性,于是我就进来了,仅此而已。


之前经常面试的时候,问安全方向是什么?Web 安全!那么 OWASP Top 10 了解吗?不知道!XSS 懂吗?懂!那么什么是mXSS?不知道!问那为什么觉得自己懂 Web 安全?看过道哥的《白帽子讲 Web 安全》或者余弦和xisigr写的《Web前端黑客技术揭秘》!但是实际上,你真的看了道哥或者余弦他们的书吗?你认真的看了?实践了吗?


之前公众号后台包括QQ、微博等地方,不止一次有同学问我怎么入门,说可以从看书开始,说看过,然后我就会问一句,你确定你自己认真的看了书,然后把书中的那些例子都试了?碰到不懂的地方都去查去学了?所以不是怎么入门的问题!


可能有些同学还会有这样的疑问,是否没必要去学高数?学各种大学课程,而应该把时间完全的投入到网络安全的学习?我就说点我现在的感受吧,因为我大学英文学的一般,这让我现在看英文技术文档很吃力,我现在很后悔;因为高数学的一般,让我在算法方面一般,于是可能在这方面我就有所限制,我限制很后悔...明白了?多的我不举例了,其实这些能力没有,也许你也可以是一个出色的安全研究人员,但是有的话,也许你的学习和做的事事半功倍。


上面讲的主要在于能力的掌握方面,下面简单说说怎么选择公司吧!


有些同学说进入了安全公司实习,然后每天都是抱着机器去客户那跑,问实习是不是都这样?其实我觉得因公司、因部门、因领导而异。就像大家找工作会面临一个问题,去大公司好还是创业公司好?答案我就不说了,网上一堆,各有各的好处,小公司在于能更多的参与到核心的项目,大公司可能让你做的事就很简单的,一层不变的;但这些也不是绝对的,所以有的时候,在面试前,想清楚自己的目标,了解清楚面试公司做什么的,招聘岗位做什么的?然后面试的时候也可以问,我觉得没关系,碰到好的面试官,他不止会告诉你相关的情况,即使你最后面试不过,他也会帮你指出问题,给你学习的建议,那么每次都是一次学习。所以公司的选择,我觉得更多的看个人的期许以及公司文化等,不能一锤而定。


也有同学问到实习的工作内容,其实我上面在解释时间的那点有点到了实习的工作内容,除了那之外,这个也是因公司和岗位而异,也看团队,就我们团队来说,我们招实习生相对会严格些,进来的实习生都是当正式员工,放在实际的项目中让他去参与项目,我们不会有手把手教的过程,但是你愿意问、学,别人会愿意回答、愿意教,平时也有各种分享、讨论,而参与也是看你自己,所以完全在这个团队里你能成长成什么样,完全取决于你个人。当然,不同团队不一样。


感觉说的够多的了,可能会有点乱,最后说下第一印象这个点吧。面试官在见到你之前,一般是先收到你的简历,好的简历会让面试官对你多了很多期待,而经常我收到的简历是以下几种情况,我觉得都是会让我减掉印象分或者直接不看简历的:

1、QQ邮箱发送,这个我倒不在意,但是关键昵称是个非主流的名称

2、标题搞不清楚这是封简历投递邮件

3、邮件或者简历一看是批量投的

4、邮件除了附件,内容一句话都没有,如果再加上标题什么都没有就更坑了

5、简历是压缩的(有作品一起打包的除外,不过我还是建议作品打包,简历不要放进去)

6、简历是除 pdf 外的其他格式的(一些特殊创意的除外,比如开发同学的markdown我是能接受,不过还是建议 pdf)

7、内容包含类似"你猜我是谁"类似语句之类的,我管是谁,直接扔垃圾箱

8、...

等等之类,反正就是这些觉得没关系的细节点,不注意就会减分;如果你真的很优秀,我可以容忍,但是如果不是,你的简历就是直接右键垃圾箱里了;当然还包含一些简历内容的问题之类的,这里就不多说了;相对的,如果一个人的简历干净,清晰,让人眼前一亮(不要那种特殊的比如吓人一跳的亮),印象分自然就上去了。


不过这些都是额外的,最重要的还是真材实料,你的能力、实践经验、成果!



题图来自网络

优主张

关注信息安全,产品运营以及各种好玩的东西;分享一些个人的体验与心得,一些想法,一些安全的科普。
by Fooying


 
优主张 更多文章 一场放任自我的追求 不归路上(序曲) 搞安全需要高学历? 重拾旧文,聊恶意网站 那些必要的坚持与讲究
猜您喜欢 年轻人,你为啥使用 Linux 美的收购库卡背后:你必须知道的全球机器人专利布局 云上应用Docker化持续交付实践 美团·大众点评2016校园技术主题巡讲线上报名全面开启 iWeb峰会上海站——让移动营销盛典见证H5的繁荣