干貨網(wǎng)絡(luò)信息安全從業(yè)者面試指南（建議收藏）

干貨|網(wǎng)絡(luò)信息安全從業(yè)者面試指南（建議收藏）1安全招聘現(xiàn)狀1.1薪酬最高互聯(lián)網(wǎng)是計(jì)算機(jī)行業(yè)中薪酬最高的，而技術(shù)工程師是互聯(lián)網(wǎng)中薪酬最高的，而安全工程師又是技術(shù)工程師中最高的。安全行業(yè)井噴式的爆發(fā)，使得每家互聯(lián)網(wǎng)企業(yè)的安全部門成為標(biāo)配并逐漸蔓延開來，而由于高校的安全專業(yè)才開始普及，安全從業(yè)人員緊缺且入門門檻較高從而導(dǎo)致了薪酬水漲船高。1.2良莠不齊好處是會有更多的人投身于安全，當(dāng)然壞處也很明顯，著急的崗位和緊缺人員導(dǎo)致存在大量良莠不齊的人在其中渾水摸魚，明顯的特征是你跟他聊技術(shù)細(xì)節(jié)他跟你聊推進(jìn)落地，你跟他聊推進(jìn)落地他跟你聊方向把控，你跟他聊方向把控他跟你聊團(tuán)隊(duì)管理，你跟他聊團(tuán)隊(duì)管理他跟你聊行業(yè)空間，如果這些方面都能聊一點(diǎn)那也行，更多的人是答非所問又或者句句有理但空洞沒有屁用，又或者是今天這里聽到一個理論還沒弄明白呢明天就來跟你拽個概念，雖然這么說會得罪一部分人。1.3圈子文化安全是一個小圈子，圈內(nèi)的事情傳播的非?？欤热缯l家數(shù)據(jù)庫泄露了、誰家被薅羊毛了、誰被抓了、誰被處罰了，這也是小圈子最大的好處，圈內(nèi)的人很快能知道這個行業(yè)的新技術(shù)、新方向、新政策。你也可以很容易的知道每家公司的安全建設(shè)情況，比如你可以和阿里的人聊他們的線下配合公安的手段有多強(qiáng)，也可以和騰訊的人聊他們的SRC如何運(yùn)營的這么好，也可以和百度的安全人聊如何讓機(jī)器學(xué)習(xí)賦能安全產(chǎn)品的，這一切在安全圈內(nèi)非常的容易。也有很多的安全會議可以學(xué)習(xí)到每家公司的經(jīng)驗(yàn)，不用所有的事情都自己摸索也用閉門造車。弊端也很明顯，搞所謂的”圈子文化“，混跡于各種會議去主動認(rèn)識各種圈內(nèi)的人（當(dāng)然這里不是指各家SRC運(yùn)營的同學(xué)，這些是運(yùn)營同學(xué)的工作一部分），認(rèn)識的各種人如果是交流技術(shù)那也行，加了微信除了打招呼的自我介紹那句話就再也沒說過有意義的東西，以為這樣就進(jìn)入了圈中心，可笑可悲。2安全從業(yè)人員的必要素質(zhì)具備基礎(chǔ)的工程師素質(zhì)是一切的基礎(chǔ)，在這個基礎(chǔ)之上如果在攻防滲透和軟件開發(fā)、興趣驅(qū)動和適應(yīng)能力上比較亮眼，則能很好的適應(yīng)工作挑戰(zhàn)。2.1攻防滲透和軟件開發(fā)首先要明確一個概念，術(shù)業(yè)有專攻在安全行業(yè)不是常態(tài)。安全本身就是一個覆蓋了客戶端、前端、網(wǎng)絡(luò)、后端、服務(wù)器等涉及JavaScript、Python、PHP、Java等各語言的工作，如果非要講究術(shù)業(yè)有專攻就沒法做了，當(dāng)你可以有擅長的方向，但前提是你都懂，這個懂不應(yīng)該停留在了解的層面，如果你是安全開發(fā)工程師除了研發(fā)技能外還必須知道常見漏洞的形成原因、利用方式和修復(fù)方案，如果你是滲透工程師除了理解各種漏洞的攻擊細(xì)節(jié)外，還必須有基本的開發(fā)能力。同時擁有攻防滲透和軟件開發(fā)的人，在后面做事的方方面面會體現(xiàn)出極大的優(yōu)勢。我們有過很資深研發(fā)工程師，但安全產(chǎn)品不同于用戶產(chǎn)品，往往是都沒有經(jīng)驗(yàn)也沒有參照物的，摸黑前行最好的情況是你曾住過這個房子，所以往往需要有很強(qiáng)的安全背景/不斷的試錯調(diào)整才能開發(fā)最好的產(chǎn)品。甚至在很多時候，溝通交流/思維上都需要進(jìn)行轉(zhuǎn)變才能更好的協(xié)作，減少代溝和溝通成本。這個要求并不是非要精通各種。現(xiàn)狀是安全行業(yè)更多的人是偏向于攻防滲透，而如果同時擁有很強(qiáng)的開發(fā)技能，優(yōu)勢將非常明顯。在安全產(chǎn)品開發(fā)/漏洞挖掘/代碼審計(jì)上。不同崗位間的互補(bǔ)顯得非常重要，做漏洞掃描器的如果在SRC挖過漏洞、做代碼審計(jì)如果會軟件開發(fā)、做合規(guī)審計(jì)的如果有CISP證書就會得心應(yīng)手。2.2興趣驅(qū)動像安全產(chǎn)品開發(fā)一樣，滲透測試也需要不斷的試錯，不斷的將各種可能存在漏洞的地方一一測試，往往測試數(shù)百個請求才有所收獲，這需要很好的堅(jiān)持，但堅(jiān)持這種品質(zhì)無法立刻學(xué)會，但往往有很多東西能促使我們堅(jiān)持，比如興趣。我對于安全的堅(jiān)持就是興趣所驅(qū)動的，我會遇到一個線索從早上折騰到凌晨，會因?yàn)橐粋€突破點(diǎn)從晚上摸索到下午。我見過太多優(yōu)秀的白帽子都是因?yàn)闊釔?，他們能跨行業(yè)的熱愛。2.3適應(yīng)能力軟件工程師是三年換一輪新技術(shù)，而安全工程師則是每年都有新的方向。每天都會有新的漏洞/新的攻擊方式/新的語言漏洞，每年也會有新的安全技術(shù)、安全防御手段、安全方向，而應(yīng)對別無他法唯學(xué)習(xí)，良好的自驅(qū)自學(xué)能力是一切的基礎(chǔ)。3安全面試和筆試如何有效的甄別一些濫竽充數(shù)的人，最重要的肯定是面試這道坎。安全圈的東西行業(yè)內(nèi)的人誰都能聊一點(diǎn)，所以一輪面試一定得安全技術(shù)負(fù)責(zé)人親自把關(guān)，深入的問細(xì)節(jié)來判斷。3.1面試注意項(xiàng)提前約好面試時間和面試方式（電話/現(xiàn)場）準(zhǔn)時參與面試，有事情應(yīng)提前電話溝通到位面試時把握好節(jié)奏，及時阻止話多的，多留停頓給話少的面試時不問/不透露公司敏感信息即使只聊一分鐘就覺得面試者不合適，也不應(yīng)該立即掛斷，面試應(yīng)不少于20分鐘3.2面試流程自我介紹下個人情況、做過的項(xiàng)目和技能觀察談吐，看思維邏輯是否有條理，溝通交流是否順暢性格類型是否合適圍繞做過的項(xiàng)目進(jìn)行細(xì)節(jié)提問，提問的問題根據(jù)崗位不同可以從3.2中抽取考察項(xiàng)目真實(shí)性、項(xiàng)目角色及分工對項(xiàng)目的理解程度、掌握程度、思考等遇到解決不了的問題怎么做？考察學(xué)習(xí)能力和動手解決能力CTF、寫技術(shù)博客、技術(shù)書籍、參與GitHub開源項(xiàng)目、常瀏覽的網(wǎng)站、游戲、電視劇、業(yè)余時間干嘛、業(yè)內(nèi)牛人綜合體現(xiàn)出其技術(shù)熱度算法、前端、服務(wù)器的掌握程度一些基礎(chǔ)算法，比如快速排序、冒泡排序、選擇排序、插入排序一些機(jī)器學(xué)習(xí)算法，CNN、RNN、Tensorflow、驗(yàn)證碼識別等等前端JavaScript、HTML、CSS掌握程度，調(diào)試工具，編碼等服務(wù)器常用命令、配置、文件權(quán)限、進(jìn)程棧、端口占用、異常日志等自認(rèn)為自己比身邊人的優(yōu)勢挖掘亮點(diǎn)，如何客觀看待自己自認(rèn)為的缺點(diǎn)客觀的自我評價，講自己沒有缺點(diǎn)的基本可以不要了最有成就感的事情考察價值觀，尤其對于一些未授權(quán)滲透甚至黑灰產(chǎn)事情的態(tài)度未來職業(yè)規(guī)劃？請否有清晰的職業(yè)規(guī)劃，對自己未來有長遠(yuǎn)思考和當(dāng)前崗位對匹配度還有什么要問我的嗎？了解面試者所關(guān)心的側(cè)重點(diǎn)3.3面試題目滲透測試（Web方向）挑選兩到四個不同方向常見和不常見的漏洞，就漏洞原理、利用方式和修復(fù)方案進(jìn)行提問，然后根據(jù)回答的情況進(jìn)行詳細(xì)深入的二次提問Redis未授權(quán)訪問漏洞如何入侵利用？SSRF漏洞原理、利用方式及修復(fù)方案？Java和PHP的SSRF區(qū)別？寬字節(jié)注入漏洞原理、利用方式及修復(fù)方案？簡述JSONP的業(yè)務(wù)意義，JSONP劫持利用方式及修復(fù)方案？CRLF注入原理？URL白名單繞過？XSS持久化？滲透全流程就漏洞的檢測發(fā)現(xiàn)進(jìn)行提問越權(quán)問題如何檢測？黑盒如何檢測XSS漏洞？如果爬取更多的請求？應(yīng)急思考有哪幾種后門實(shí)現(xiàn)方式？webshell檢測有什么方法思路？Linux服務(wù)器中了木馬后，請簡述應(yīng)急思路？遇到新0day(比如Struts2)后，應(yīng)該如何進(jìn)行應(yīng)急響應(yīng)？新業(yè)務(wù)上線前可以從哪些方向進(jìn)行安全評估？現(xiàn)有系統(tǒng)可以從哪些方向進(jìn)行審計(jì)發(fā)現(xiàn)其中的安全風(fēng)險？基礎(chǔ)開發(fā)簡述Python裝飾器、迭代器、生成器原理及應(yīng)用場景？簡述Python進(jìn)程、線程和協(xié)程的區(qū)別及應(yīng)用場景？安全開發(fā)（Java方向）Java基礎(chǔ)Java虛擬機(jī)區(qū)域如何劃分？HashMap和HashTable、ConcurrentHashMap的區(qū)別？進(jìn)程和線程區(qū)別，進(jìn)程間、線程間通信有哪幾種方式？JavaBIO/NIO/AIO是什么？適用哪些場景？算法基礎(chǔ)快速排序的過程和復(fù)雜度？冒泡排序的過程和復(fù)雜度？CNN對比RNN區(qū)別？業(yè)務(wù)基礎(chǔ)調(diào)試工具及異常排查流程？數(shù)據(jù)庫索引結(jié)構(gòu)，什么情況下應(yīng)該建唯一索引？數(shù)據(jù)庫分頁語句如何寫？業(yè)務(wù)安全HTTPS交互過程OAuth2.0交互過程及其中可能存在的配置不當(dāng)安全風(fēng)險對稱加密和非對稱加密的區(qū)別及優(yōu)缺點(diǎn)獲取一個入?yún)rl，請求url地址的內(nèi)容時應(yīng)注意什么？參數(shù)入庫前應(yīng)該如何過濾？過濾器和攔截器原理和應(yīng)用場景？SESSIONID如何不被Javascript讀取？CSRF的Token如何設(shè)計(jì)？同源策略？如何實(shí)現(xiàn)跨域請求？安全運(yùn)營（合規(guī)審計(jì)方向）對于內(nèi)控、合規(guī)、審計(jì)的理解考察其對于要做的事情和崗位要求、公司環(huán)境是否匹配考察其大局上考慮是否周全或是片面?zhèn)鹘y(tǒng)行業(yè)和互聯(lián)網(wǎng)行業(yè)的安全建設(shè)的區(qū)別及各自的優(yōu)劣勢是否能準(zhǔn)確的抓住核心原因信息安全等級保護(hù)、網(wǎng)絡(luò)安全法、GDPR挑選一到兩個問其對其的來源理解以及落地程度取舍數(shù)據(jù)安全治理可以用什么思路做？如何通過技術(shù)手段實(shí)現(xiàn)對異常操作的自動化監(jiān)控？如何對一個應(yīng)用進(jìn)行安全評估？如何對一個應(yīng)用進(jìn)行安全審計(jì)？如何理解權(quán)限分離、最小化權(quán)限？考察一些CISP、CISSP的知識點(diǎn)流程的設(shè)計(jì)挑選一些較為復(fù)雜的流程，比如轉(zhuǎn)崗、離職等，如何設(shè)計(jì)考慮其中的細(xì)節(jié)安全架構(gòu)（安全管理方向）滲透測試、安全研發(fā)、安全運(yùn)營的問題可以挑選的問一些，以確保在各個方向上比較均衡對于企業(yè)不同時期、不同階段、不同體量的安全建設(shè)的方法、區(qū)別以及側(cè)重你所做過的安全架構(gòu)圖和所期望的安全架構(gòu)安全與其他團(tuán)隊(duì)（運(yùn)維、研發(fā)、測試、GR/PR、內(nèi)控、高管及三方安全公司）的關(guān)系安全建設(shè)的理念/方法論理解縱深防御木桶原理由外而內(nèi)先低后上能口不點(diǎn)最小權(quán)限權(quán)限分離白名單和黑名單漏洞和誤報規(guī)則經(jīng)驗(yàn)和機(jī)器學(xué)習(xí)漏洞危害證明技術(shù)管控與意識提升的關(guān)系安全推進(jìn)方法自研OR外采？找到總的核心目標(biāo)和各個項(xiàng)目的主要目標(biāo)創(chuàng)新和極致責(zé)任分擔(dān)黑天鵝和灰犀牛衡量企業(yè)安全建設(shè)的水平不同公司間的安全區(qū)別或差別是什么？比如騰訊和阿里，百度和京東如何制定公司安全建設(shè)的三年甚至五年計(jì)劃未來安全行業(yè)的發(fā)展方向？3.4筆試題目面試題目往往大同小異，而由于圈子小的原因很容易傳播出去，如果做過準(zhǔn)備哪怕深入的問也可能有漏網(wǎng)之魚。而筆試往往能很好的看出來其動手能力，所以應(yīng)盡可能的出一些無法提前預(yù)知、無法網(wǎng)上查詢的專屬題目，題目可以側(cè)重于開發(fā)、調(diào)試、數(shù)據(jù)操作等方面。滲透測試方向給定一個漏洞靶場，在一定時間內(nèi)找出最多漏洞數(shù)給定一個匿名訪問Redis，請GETSHELL給一個項(xiàng)目場景進(jìn)行安全評估（e.g.與三方廠商進(jìn)行API交互）軟件開發(fā)方向讀取一個文件第100-200行并發(fā)送到一個指定的API接口（著重考察對于各種異常情況的考慮）最快的方式獲取100萬個子域名請求的響應(yīng)內(nèi)容并找出其中真實(shí)存在的子域名數(shù)據(jù)結(jié)構(gòu)方向給一個數(shù)組[3,4,5,6,2,1,8]，輸入所有二元組其和為8。每個數(shù)字只能用一次數(shù)組長度不定考慮時間復(fù)雜度和空間復(fù)雜度，以最高效率4招聘渠道4.1公司內(nèi)部推薦內(nèi)推是優(yōu)于招聘網(wǎng)站或獵頭的，和找女朋友一樣，熟人介紹的比媒婆介紹的要好，更不用說相親網(wǎng)站的質(zhì)量了。對于中高端崗位公司需要支付較高的獵頭費(fèi)用，所以內(nèi)推渠道優(yōu)于其它所有。找到自己傾向的公司以及對應(yīng)的招聘崗位注意崗位和個人技能及職業(yè)發(fā)展的匹配度找到對應(yīng)公司員工請求內(nèi)部推薦簡歷優(yōu)先安全崗位的，其次同公司的優(yōu)先熟悉自己的，其次自檢寫好4.2安全行業(yè)招聘網(wǎng)站沒有合適心儀的目標(biāo)就上招聘網(wǎng)站。FreeBuf-安全行業(yè)垂直招聘網(wǎng)站拉鉤-互聯(lián)網(wǎng)垂直招聘BOSS直聘-負(fù)責(zé)人1對1獵聘-獵頭招聘智聯(lián)招聘、前程無憂、LinkedIn5好的簡歷順便說下好的簡歷是什么樣的，當(dāng)然一切的前提是有真才實(shí)干。整體要簡潔明了，邏輯結(jié)構(gòu)清晰。要能體現(xiàn)出知識、技能、經(jīng)歷、天賦、人脈?；拘畔⑶逦盒彰D、性別、年齡、畢業(yè)院?！I(yè)、電話、郵箱、居住地工作&項(xiàng)目經(jīng)驗(yàn)：注意空檔期、擔(dān)任的角