分类 网络安全 下的文章

安全从业者的面试Tips

文章同步在个人微信公众号:404 Not F0und,安全从业者的面试Tips

引子

每年3月份各大公司开始春招和实习生招聘,5月份开始有提前批招聘,7月份以后开始正式秋招,近期陆续有几位读者来咨询关于实习面试和应届面试的问题,一一回复之后发现回复地都比较零散。距离3月份招聘剩余时间不过两月,如何在有限的时间内将自己的状态提高到最优?安全领域细分方向太多,直接讲解具体面试题意义不大,授人以鱼不如授人以渔,重在方法。本文尝试从笔者亲身经历的几十场面试出发,从面试者视角系统性总结面试方法和注意事项。

面试前

面试之前需要明确目标,中意的公司?中意的团队和主管?中意的岗位?岗位有没有hc?明确这些,才能有的放矢,分清主次,哪些公司和团队是主投,哪些是练手,提高面试成功率。腾讯实习和校园招聘可以有多次面试机会,而阿里系买定离手,只有一次面试机会,去年找实习,当时接触了两个比较适合的团队,一个是阿里云安全,另一个是蚂蚁金服/网商银行安全团队,最后选择了后者。因为有明确的职业规划,是甲方企业信息安全建设,同时网商银行安全团队刚组建,要从0开始进行体系化安全建设,对于成长来说,这是个难得的机会。

面试=运气+实力,有时候我们说面试成功与否,运气和实力五五开,其实是运气和实力一九开。五五开的前者,是把确定性的运气,误当作普遍意义上我们理解的不确定性的运气。很多确定性运气都是由目标是否明确引起的,通过自我认知和人脉等软实力明确目标的话,就掌握了后续的确定性运气,没有明确的话,自然会把失败归咎为普遍意义上的运气。归根结底,面试主要依靠硬实力和软实力,这都是确定性因素,可以人为解决。

硬实力自然是专业技能,软实力范围比较广,人脉,心理素质,语言表述,自我认知等。专业技能方面,在面试之前需要做好技术储备,首先需要认识到,大厂团队需要什么样的人?大厂团队的能力雷达图由团队各个成员的长板组成,这就意味着大厂招人,在面试者没有明显短板的基础上,更看重面试者的长板技能。此处有些同学会纠结是发展技术深度还是广度,其实这不是trade-off的问题,没有明显短板意味着需要你的广度广,更看重长板意味着更需要你的深度深,深度和广度都需要发展到极致。如果硬要比较的话,那我认为深度比广度重要,技术壁垒高。

在储备了很多零散的知识和技能之后,需要整合知识,凝结技能,形成知识地图。这就好比每次考试之前,对课本知识形成知识体系,了然于胸,考试时就是根据索引检索而已。那么如何整合呢?需要有一些逻辑线把知识串起来。安全领域,漏洞为王,逻辑线无非是漏洞原理-》漏洞利用方式-》防御手段-》绕过方式-》反绕过。按照这条线路,Web安全方面的话,仔细摸清SQLi、XSS、CSRF、CRLF、SSRF等基础漏洞,外加一些常见和经典漏洞,比如redis未授权访问,thinkphp最近的洞。一方面梳理总结了技能,另一方面进化了思维,强化了软实力,为面试中语言的清楚表述做铺垫。

软实力强可以最大化发挥硬实力。思维和说话是一种软实力的展现方式,写也是一种,写简历更是面试中必不可少的一环,也是可以快速掌握的软实力。好的简历能体现一个人的综合素质,让面试官提前一见钟情,面试时自然会通畅很多。好的简历内容至少应该包括个人基础信息、教育经历、专业技能、佐证专业技能的成果、项目经历、工作经历、自我评价。这其中个人基础信息和教育经历是基础属性,专业技能、项目经历、工作经历和成果是高级属性,可以从个人在项目/团队中的角色、职责和成果角度,思考、梳理和总结高级属性。简历的加分项包括github开源项目、个人技术博客、技术文章等,因为这些内容体现了你对互联网行业的专业和热爱。

在做完以上一系列面试准备工作之后,在面试前还需要明白两点,自信和心态放平。自信与否一定程度上可以反映实力水平,如果面试时不自信,面试官会怀疑你的水平不行。心态放平,你很强很自信,对方可能还是没有招你,这时候需要反思,但没必要怀疑自己,面试本就是双方选择,成功与否实力因素只占其一,不确定性因素是其二。

总的来说,面试前硬实力和软实力应该相辅相成,同步发展,对标业界,不断学习,思考,总结。

面试中

3月份开始面试,需要注意以下几点:

0、投递简历,柿子先挑软的捏。新人第一次面试的时候都会紧张,面多了也就适应了,可以先挑小公司或是不太中意的公司先面试,熟悉面试套路,适应面试氛围,准备充分后再面中意的公司。

1、面试前,提前踩点找个安静的地方准备电话或视频面试。这很关键,我当时面头条的时候,想当然认为星巴克很安静,可以面试,结果太naive,面对面聊天还行,电话或视频面试噪音爆炸。

2、面试时,想清楚再表述清楚。面试官和你的知识面可能有差集,怎么才能让面试官get到你的意思,需要清晰的语言表达,前提是自己先理顺逻辑。

3、面试时,至少要经得住面试官3个为什么的追问。面试官肯定会对至少一个问题刨根问底,不断追问细节,以点窥面,以看出面试者对问题理解的深入与否。一般来说,往下问5个为什么就到问题本质了,应届生的话可以先做到3个为什么,平时学习的时候,就要多问自己几个为什么,对每一个知识点都要完全掌握。

4、面试时,尽全力在自己的领域内得到面试官的承认。面试官的能力雷达图有其长板,长板很长,都是各自领域的专家,没有明显短板,短板也很长,你需要展现自己的长板,尽全力超越面试官对你这长板领域的认知。

5、面试结尾,询问面试官对自己的面试评价和建议。大多数面试官人都很nice,都是工作多年的老人,视角刁钻,可以看到很多我们看不到的问题,当面试者主动询问评价和建议的时候,面试官都会给出建议,指点后辈。

面试后

面试后,无论面试成功与否,都要复盘,总结经验与教训,反思不足,加以改进。记得前年经校友内推,开启人生第一次面试,面科恩实验室的时候,因为自身菜和准备不足,导致被面试官碾压,面完之后,一度沮丧,开始反思,找不足,制定计划,不断改进。

需要说明的是,面试依靠的是实力,本文提到的经验、教训和注意事项,只能尽量帮助你在面试时候最大限度发挥现有知识水平的最优状态。

最后

感恩找工作时帮助过我的贵人们,我也会尽我所能帮助更多的人。

推荐阅读