【前言】

小乔是通过51CTO学院看到我们的安全课程,然后从重庆飞过来拼客这边学习的。在我们眼里,他是一个对网络安全极度有兴趣的学员,每天抱着一堆书籍不离手,晚上回去还自己研究入侵和挖洞,每次入侵一个网站之后,就非常兴奋的跑过来跟我们分享。他的目标也非常的明确,要进大的安全公司,最好类似绿盟科技这种。另外,在拼客学习的时候,不止于课堂知识,通过各种渠道不断实践,终于,在本次秋招的时候,顺利拿到上海绿盟科技的offer。

【面经正文】

我的幸运你不一定能够复制,所以面经看看就好,搞技术的学好基础知识才是最重要的。面试问过的问题都是你能通过看书去掌握的,而有些思想却是你知道却从来没有领悟和认真对待的,所以我们这次多谈谈哲学少谈谈知识(怎么可能……)。

来拼客之前我都不知道校招是啥;大学挂了11科,来拼客的无论过去现在未来估计都没有人能达到我的境界(这里请打马赛克…不过我还是拿到学位证和毕业证了,没证还谈个屁);大学一半时间在玩dota(已经无限接近职业水准,游戏玩的好的没有笨的)和羽毛球(市级比赛拿过奖),另一半在睡觉。来拼客我是背着球拍上课的呢…也荣幸的被杰少称为拼客第一睡神称号!作为成绩全系倒数第五的学神只想告诉你:我投的简历99.99%都电话通知我面试了(这和天下大势有关,黑客的江湖需要更多的有志之士)。我面试过的公司80%以上都同意给我offer了(和热情还有自信有很大关系),口头或者直接入职都有,不过给的都是技术支持,而我投的是渗透,虽然最后进了安服,不过依旧没有进入自己最感兴趣的领域,主要还是能力不够,不会的太多(入坑太迟不甘心啊)。

前方高能,重点加粗。

NB是一定要吹的,而且B格要高。这样你为了把吹过的NB装回来就会主动去了解你不曾了解过的知识。妄自菲薄的人去被窝里哭泣吧,你自己都抛弃了自己,一切自然也会离你而去。但是学习还是要脚踏实地谦虚谨慎的。

搞网络或者搞运维的下面不用看了(看了等于白看),想搞安全的继续看我吹水吧。

广度优先,择一专精。我接触IT领域的时间很短(你们这些大一刚刚毕业的学弟们都比我懂得多),但是却遇到好多大三毕业了都不会装windows系统的学习计算机的学生,有些女生甚至连软件都不会装,却想着搞黑客技术。如果你懂数据结构,懂操作系统原理,懂c++,却连双系统都不会装,连自己的电脑都没有拆过,我认为你是不适合进入黑客这个圈子的。很多人会问:学习黑客技术该如何开始,网上那么多建议:web安全,系统攻防,逆向破解,病毒木马,CTF比赛,我该如何学习?这个问题值得一问但我觉得不该去问,为何?因为这关系到你的研究方向所以值得一问,选择和努力一样重要(选择让你走的更远,努力让你保持进步)。不该去问是因为,你什么都没有去了解,别人说了你也不清楚,你如果主动去了解,也就知道自己该走哪条路了(知乎,百度百科,各种博文早已告诉你答案)。所以,如果你想在某个领域坚持下去,请先了解相关的所有你感兴趣的知识吧,然后自己抉择要走的方向。我目前正在学习的有:linux(鸟哥的私房菜和服务器架设)、sql(mysql指南和sql注入攻击与防御)、web安全(web深度剖析、owasp top10#超级重要,目录及各种攻击的原理最好倒背如流、黑客攻防技术宝典:Web实战篇、web之困、xss跨站脚本攻击剖析)、msf(metasploit魔鬼训练营、精通metasploit渗透测试)、python(python核心编程2、python简明教程)、ruby(ruby基础教程pro…英语太渣忘记单词怎么拼了……)、HTTP权威指南、黑客大曝光、灰帽黑客、恶意代码分析与实战等。其实书我看得不太多,看得最多的是博文和论坛文章。安全技术日新月异,看书基本没有实操也没有成就感(我不认为自己YY虚拟机叫实操…黑进政府网站之类的才够刺激,不过违法哦…),做不出成果就不能装逼,所以没成就感的事情好难坚持啊~

“程序员不一定是黑客,但是黑客一定是优秀的程序员。”我不懂编程,不过我现在正在同时学习http、python、ruby、java、batch。后来的师弟师妹们如果想入黑客这个江湖,一定要学好编程,如果时间紧迫,那就学到能读懂代码就ok。语言的话首推java(企业都是用这个你不学怎么黑进腾讯改数据库发邮件直接拿offer?虽然学会了你也进不去)、其次学php代码审计(搞web安全当然要学前端语言对不对,触类旁通,学好前端一门语言那么其他语言也就很快上手了,学好代码审计哪个安全公司都去得)、python这些年很流行(写黑客小工具、web爬虫等各种diy工具python首选…想些啥就写啥)ruby(metasploit的核心就是ruby写的)、c++(学好这个,上面的可以两周搞定一门语言了)。代码我不懂,同桌树仪(也是CCIE 17期学员)是我膜拜的大神,你们找他去~

我的所有面试,面试官们只问了我一个问题:自我介绍一下?然后我就开始自己挖坑自己埋,直到墨水掏空,然后以我不知道来结束收场,然后又以虽然我不知道这个但是我知道那个为开始循环遍历直到说完web安全相关的整个框架的大部分。安全分很多方向,全部了解一点然后懂其一就能拿到满意的offer。移动安全、无线安全、代码审计、安全开发、web安全、逆向破解、病毒木马、入侵提权等,随便专精一个就行。

学习方法也说了,书单也给了。我趴书上睡觉,一觉醒来,之前看不懂的就懂了…所以很多东西我也解释不了...(原谅我又在装逼)我学习计算机才半年,学习网络三个月,学习渗透一个月,却俨然成了曾经的我眼中的大神,业内的新人。师傅领进门修行靠个人。学习一定一定一定要谦虚、严谨,求知一定一定一定要苛刻、贪婪。NB是装给别人看的,不要装逼过头耽误了修行啊。我一直这么孤独的彳亍着,也将继续孤独的走下去(来个二次元师妹就不会这样了欸,师哥肯定倾囊相助2333)。长路漫漫其修远兮,吾将上下而求索。

锻炼身体很重要,我初高中的朋友凡是跟我一起打球并且现在还玩球的身体都很健康,而那些经常宅着学习睡觉打游戏,特别是还搞IT的,不是颈椎病就是肩周炎。我们学习是为了梦想和钱(特别是钱),不是为了赚医药费,并且药这么贵真心买不起,疼痛是自己的,我宁愿少学点少赚点,也希望自己可以健康快乐的生活。所以,下课之后一定要记得科学运动哦!

     感谢拼客(我是因为杰少声音好听来的)让我找到了高三时候努力学习好好睡觉的感觉,虽然现在没有用到路由交换技术的知识,但是杰少教我的学无止境以及装逼的正确姿势让我终身受益无穷。杰少说我问的问题少,我这里还是要解释一下。其实我是觉得那些技术问题没有问你的必要,因为我觉得你很忙啊,而且那些技术上的问题书上都有答案,我都会自己百度或者看书寻找答案。所以一直以来我都是问更多的心理问题和学习方向的问题而不是技术细节。