轉載地址:http://www.cnblogs.com/Lnju/p/4423202.html
0x1 前言
鑑於網上對於 安全工程師面試經驗搜索並未有一些可以直接借鑑的經驗,本就決定這次面試過後不論成功與否,都會記錄這一過程以及一些自己的一些體會,給需要的同學作爲參考。這次面試僥倖取得offer,使本文有一定說服力,希望能對以後面試的同學有些許幫助。0x2 細說流程
阿里的面試每年有春招和秋招兩次,春招和秋招互不影響。每次招聘都會有內推和筆試的兩種形式。內推的意思就是內部推薦,可以請在當前正在阿里工作的學長、學姐幫你把簡歷通過內網直接發給相關的部門進行簡歷篩選,而不用經過筆試階段。內推的時間段在筆試之前,沒有內推成功的同學可以繼續參加筆試。筆試的流程要先經過在線答題,答題成績通過方可進入後面的面試,具體後續流程我不太清楚。在這裏首先要推薦大家走內推,原因如下:內推不用筆試,就算過不了還可以繼續接着筆試。學長學姐幫你內推簡歷之後補充簡歷之後要做的就是等待,你投的部門會根據內容好的簡歷的優先安排面試。內推的面試一般都是電話面試,因爲不同崗位也會有可能有視頻面試,我接到的都是電話面。面試一般有4輪,3輪技術面+一輪hr面,如果都過了的話很快會收到阿里的意向書(也就是大家口中的offer)。我聽說的別人的面試(研發)基本都是1個小時以上,很漫長的過程。在面試時間這一點上,安全的面試時間很短(我的面試每次大概10分鐘左右),我想這也是因爲搞安全的行事風格都比較直截了當。
0x3 準備工作
面試的準備主要有簡歷,項目,博客……等等。下面我分開來敘述。
準備的時機
因爲面試在3月初,很多人寒假裏就在準備面試了,而我因爲一些原因一開始沒有打算面阿里,到了學校2周之後纔開始手忙腳亂的開始準備面試,科協的小夥伴都拿到offer了我纔開始寫簡歷哈。這裏要說的就是應該早做準備,在春招、秋招前一個月左右,開始做準備,因爲整理一些資料呈現出來給別人看還是挺費時間的。
簡歷的內容
因爲是要面安全崗,個人建議最好簡歷寫的簡單一些,很多不必要的信息(和你面試這個崗位能力沒關係的信息)就不用出現了,因爲搞安全的人行事風格就是簡潔明瞭的,寫的內容目的性不明確反而會找不到重點。重點落在實幹,你會什麼,屬於什麼程度的水平(千萬不要寫精通,你懂得),做過的項目附上github超鏈接,論壇發過的帖子附上超鏈接,參加過的一些比賽以及獎項(沒獎的建議就不要寫了)。如果有個人博客,把博客的地址也寫上,另外一些電話,郵箱的個人信息看着寫吧。
項目
項目反映一個人的代碼能力,搞安全的不要求代碼能力很強,也不要特別高深的算法。有專門做過項目的最好,沒有專門做過的項目起碼也會有幾個自己學習某項知識的所寫的驗證性的工具之類的。總之,項目不是重點,但是得有得說。
博客
在科協,我們鼓勵每個同學都能有一個博客,最好是親手搭建的,怕麻煩的也可以用現成的一些博客(CSDN,博客園……)。博客的內容反映了你學習的歷程,起碼是對你學習熱情的很好的展示,也是對學習過程不斷的思考的過程……好處太多了,前提是得有一個。
論壇
學長曾經說過,“搞安全的一定要混論壇”。起初我也是對這句話不以爲然,殊不知這纔是口口相傳的武功祕籍。信息安全具有攻防對抗的特點,就註定了它發展迅速的命運,一攻一防,互相都提升的非常迅速,而教材往往跟不上時代的趨勢,反而在一些課程當中涉及到的內容,已經是在實際應用領域內早早淘汰的。要了解信息安全當前真正的發展趨勢(公司招聘肯定是和當下安全趨勢是吻合的),所以必須得去論壇學習,切磋。如果有一兩篇不錯的帖子,面試的時候也會有很多加分。
0x4 一面
我投的方向是移動安全,投出簡歷一天半的時間,晚上借到了電話面試。面試官的聲音比較沙啞,恰巧有校園廣播在外面聲音比較大,導致我不能非常清晰的聽到他的話,於是和他約好7點左右再打過來。正式進入面試之後,一面針對我簡歷中的寫到的技能提問了一些比較基礎的問題。具體問題比較瑣碎,就不多提了。如果平時真的有在做安全方面的學習的話,基本上就不會有什麼問題。最後問我工作地點傾向於北京還是杭州,問我有沒有什麼想要問他的,然後就愉快的結束了一面。
0x5 二面
二面是在第二天早上打來的。上來直接問我你覺的你的逆向到了什麼水平了,一時之間不知怎麼回答,就跟他說一般CTF如果運氣好能做2~3題。然後他又問我一個問題,遇到VMP這種很強的保護,各種花指令,各種反調試的時候怎麼跟蹤出他的核心算法?因爲我對VMP的學習僅限於學習層面,並不能解決這種很實際很棘手的問題。於是跟他說了我可能解決的方法,但是不是他想要的答案,不過中間跟他說了我解決一般問題的策略,雖然這個題沒答對,因爲這個題的難度在這裏,我想也不會過不了。之後他問我平時是怎麼學習的,我說論壇看帖,做CrackMe。然後他直接就問我論壇的ID是什麼,我告訴他簡歷上有我發的帖子的鏈接,剛好是2篇精華貼,跟他聊了聊當時的學習心得。然後他就直接問我他的問題沒了,我有沒有什麼想要問的,二面也這樣結束了。實際上,在二面中,還是在論壇發的帖子起到了很大的作用。
0x6 三面
三面是的面試官非常和藹,在整個面試過程中,沒有提問任何問題,而是像聊天交流一樣,讓我講講在學校學習了哪些方面的內容,寫過哪些項目,能實習多久。總結來看是運氣比較好,或者說三面一般不會拘泥於具體的技術細節進行提問,而是對整體技能的結構比較看重。
0x7 四面
四面是一個hr妹子的面試,有學長說過hr面就是聊聊天,有什麼說什麼就是了。先問我在大學的在安全方面學習的過程,按照時間順序,一一敘述了大一到大三中間的學習過程,等於是把簡歷的內容填充一下說出去。然後她拋出一個很棘手的問題,問我學習成績如何?雖然尷尬,但是也只能如實的說成績比較差,屬於中下區間的學生。又問我畢業是打算考研還是工作,爲什麼?我說我畢業打算找工作。因爲我認爲信息安全是一門實踐性很強的學科,在學校裏學習到的知識是有指導意義的,但是在工作實踐中檢驗成果是我更加喜歡的方式。雖然熱愛信息安全,但是自身不是一個循規蹈矩的學生,感覺不想讀書了。其實更實際一點的說法就是基礎太差,就算複習一年估計也不一定能考上研究生。然後hr就說下次可能會再聯繫我,然後就掛了電話。
0x8 總結
整體來看,公司招人的需求就是掌握一定當前實際需求的技術,並且程度在剛剛入門的範圍內即可。不可否認的是安全的學習大多靠自己慢慢啃。多多在專業的論壇社區關注,切忌心浮氣躁。一口氣寫了這麼多,其中文字難免疏漏或出現錯誤。再者個人觀點不一定正確,所談經驗僅供個人參考,感謝閱讀。