前言
马上又要到每年校招的时刻,回想起 2015 年校招的我,只能说一把辛酸泪。
作为一名某不知名学校的本科生,大学学的专业是网络工程专业,虽然学校不算太差,但在各种 211、985 大学面前,还是有很大竞争力的,只能说学历拖了一点后腿。
我从小就对计算机很感兴趣(主要是喜欢打游戏),由于高考时失利严重,所以在进入大学前,就给自己定下了一定要进大厂的目标,决定要好好努力,不输其他名校的同学,我要证明自己不比他们差。
不过现在回想起来,当时确实是年少轻狂啊,也没有想到零基础学习计算机,竟然需要那么漫长的努力。
还好,虽然在追求目标时走了一些弯路,但总体还算顺利。
下面分享我大学四年的学习和求职经历、方法、技巧经验,在最后精心总结,建议大家收藏,并定期和自己的现状来对比,按照我的经历,每位同学都可以进大厂!
大一
其实,我的大一比较滑水,新鲜的事物太多,让我渐渐忘了入学前的目标,忽略了学习的重要性,不过这也应该是大多数同学的真实写照吧。刚入学时我加了很多社团,每天就是和兄弟姐妹们开心滴玩耍,完全不在意自己的成绩。但幸运的是,我加入了一个给学校开发网站的工作室,老大给我布置了一些学习渗透的任务,因此上学期也学到了一点课本之外的知识,但专业课的成绩着实一般。
给自己制定了一些计划,跟从大纲学习
寒假回家跟名校的朋友交流后,我意识到自己忘记了曾经的目标,于是决定洗心革面,发奋图强。和朋友的交流中,我意识到想要学好网络安全,仅通过学校的课程是远远不够的。于是,我买了几本书,在大学的第一个寒假,学完了网络安全常见的 Linux150 个命令、网站常见的攻击方式、web 渗透技术等等,更多的都是在网上找的电子书了。刚开始自学的确比较困难,所以整个寒假每天早上 8 点钟爬起来就是学习,一直学到晚上,那段时间几乎是闭门不出,所以感觉时间过的很快。自己对这个寒假也没有什么深刻的记忆了,有时因为一个难点熬到半夜的郁闷心情。
在刚开始学网络安全时,我看书上的例子是看一遍忘一遍,看了半天啥也没学会。于是,我就跟着书本敲一些代码,把每一个例子都理解透,认真完成课后练习,并且将练习的例子结合自己的想法做了些修改,试着自己做一个小网页,然后攻击自己的网站。自己学习并且有成果的过程是非常爽的,没有课本和作业的束缚,让我渐渐对网络安全产生了兴趣,也为后面持续努力自主学习埋下了种子。
在大一下学期,我首先端正态度,开始认真学习学校的专业课程,希望能得到一个好的成绩。除了学校教的基础课外,我在网站开发工作室中学习了更多网络安全方面的知识,主动承担校园网站服务任务,并且用学到的技术在博客上记录自己的学习过程。
随着网络安全学习的逐渐深入,我意识到, 握草,计算机这一行业真的是这辈子都学不完啊,然后开始更努力地学习。
期间就是不停的看视频,b 站看网络安全合集视频,自己也找了很多视频看。学了很多实战技术
与此同时,在这学期,我抓住了两个机会,首先是作为队长申报了国家级大学生创新创业项目,这个项目的申报属实不易,我被老师拒绝了好几次,他每拒绝一次,我就重新提一个想法、设计一个方案,最终终于成功抓住了机会,做项目的时候,正是课程最繁忙的时候,那段时间,光是做课程,就让我很头疼了,但还好有责任心驱使我前进,每天晚上肝到 2 - 3 点,我也能够将项目做好。
第二个机会是,我加入了导师的研究生团队一起做项目,机会是靠自己争取的,简单的说就是毛遂自荐,虽然当时我只学了简单的攻击和防御,但我相信自己能够通过爆肝,虽不奢望追上师兄们的步伐,也要不拖大家的后腿,为项目多做贡献。
光通过做项目,我就赚到了几万块钱,做到了经济独立,同时也积累了一些经验,在专业课上取得了不错的成绩。
当时的我,照这个节奏努力下去,已经足够了。
大二
大二这一年,除了担任班长,我还当了学生会部长、社团部长、,因此,除了专业课学习外,还有非常非常多其他的事情要处理。但是,不论其他事情要处理到多晚,我都始终坚持每天留给自己几个小时用来自学技术,哪怕熬夜到凌晨三四点,然后第二天 8 点接着醒来上课。课上犯困的时候,我会做一些相对不用动脑的工作,比如记录一些实验课的报告。然后等回了寝室,躺在床上,把电脑放被子上,我便会打起精神,开始自主学习。
大二上学期,我几乎每天都是在教学楼、学院楼或是图书馆度过的。为了巩固自己的 知识 基础。
大二寒假,我参加了一个 CTF 比赛,有幸找到一位很优秀的学长,他也是打 CTF,我们一起拿到了证书。在这个过程中,我学到了很多团队技术的技巧,也从学长身上学到了很多知识。学长校招拿到了阿里的 offer,也是给我带来了不少的鼓励吧。
这个寒假,除了学习知识外,我看了一些计算机网络方面的书籍,补充自己的理论知识,基本也是全天都在学习,只有晚上跟朋友出去玩玩桌游,即使在玩时,可能抽空还会想想白天遇到的难题,痛并快乐着吧。
直到秋招开始的前三个月,去力扣上刷刷题,刷的题少说也有几百了,汇总一下
1.xss 如何盗取 cookie?
2.tcp、udp 的区别及 tcp 三次握手,syn 攻击?
3.为何一个 MYSQL 数据库的站,只有一个 80 端口开放?
4.一个成熟并且相对安全的 CMS,渗透时扫目录的意义?
5.在某后台新闻编辑界面看到编辑器,应该先做什么?
6.审查上传点的元素有什么意义?
7.CSRF、XSS 及 XXE 有什么区别,以及修复方式?
8.3389 无法连接的几种情况
9.列举出 owasptop102019
10.说出至少三种业务逻辑漏洞,以及修复方式?
11.目标站无防护,上传图片可以正常访问,上传脚本格式访问则 403,什么原因?
12.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?
13.sql 注入的分类?
14.内网渗透思路?
15.OWASPTop10 有哪些漏洞
16.正向代理和反向代理的区别
17.蚁剑/菜刀/C 刀/冰蝎的相同与不相同之处
18.正向 SHELL 和反向 SHELL 的区别
19。Windows 提权
20.PHP 反序列化
内容有点多,写不下大有,我整理到下面了
后来就是面试,秋招锁定了腾讯
【一面】 60min
1、简述从输入网址到浏览器显示的过程
2、TCP 为什么是三次握手四次挥手
3、TCP 如何保障数据包有效
4、HTTPS 和 HTTP 的区别
5、对称加密和非对称加密
6、什么是同源策略?
7、Linux 系统命令
简单的问了一些基础问题
【二面】 60min
1.自我介绍
2.项目介绍:历程、时间、语言
3.先做题
4.你对云上 PKI 的安全,身份认证的能力感兴趣吗?
5.介绍一下字节跳动训练营做了什么?
6.Sql 注入的原理和防御方案有哪些?
7.WAF 防护 SQL 注入的原理是什么?
8.本次训练营中,怎么分工协作的?你的角色是什么?你的贡献是什么?有没有提升效率的可能?
9.漏洞挖掘是纯工具还是有一些手工的?
10.WAF 管理平台后端 API 有哪些功能?
11.WAF 的增删改查数据量大吗?
12.Redis 解决了什么问题?
13.热点数据怎么保证 redis 和 db 中的一致?
14.用户登录认证是怎么做的?
15.Token 的安全怎么保护?
16.Token 的内容该如何设计?
17.怎么保证数据不被篡改呢?
18.SDN 漏洞挖掘的思路?
19.漏洞挖掘有挖掘出 RCE 漏洞吗?
20.对栈溢出、堆溢出有研究吗?
21.说一下 https 协议的过程?
22.随机数一般有几个?
23.如果有一个的话会如何?
24.对 C++或 C 熟悉吗?
25.哈希表的原理和冲突解决办法?(和一面重复了)
26.Mysql 查询快的原因?
27.事务的四大特性,mysql 隔离级别?
28.解释一下乐观锁和悲观锁?
29.多并发编程有涉及过吗?
30.读写锁和互斥锁/排他锁用过吗?有什么区别?为什么会用?
31.有一项软件著作权,做的什么软件?
【三面】 60min
1.闲聊
2.聊项目
3.项目的难点和挑战点
4.SDN 漏洞挖掘项目,你能列举一个比较有技术含量的漏洞吗?漏洞原理和挖掘过程?
5.Python2 和 Python3 的区别?
6.Xrange 和 range 返回的是什么?
7.数据库索引的作用?mysql 索引的变化?
8.数据库弱口令,登进去后如何提权?
9.你自己写项目的时候,怎么进行的 SQL 注入防御?
10.怎么进行 CSRF 防御?
11.Token 加密什么东西?
12.校验什么?
13.Token 为什么需要加密?使用明文随机数可以吗?
14.怎么防重放攻击 ?
个人感受
我感觉在技术面阶段实际上主要不在于你是不是都会,更好的实际上是你在某一两个问题上了解的特别详细,或者有项目经历,能跟面试官聊很久,这样在面试中就可以把面试官带到自己的点上,比如在面试官问网址访问过程的时候,我会讲的特别详细,并且把 HTTPS 和 HTTP 留在最后,通过 HTTPS 延伸到逆向工程中的一些密码学问题或者延伸到中间人攻击,这些常常会让面试官眼前一亮。另外我感觉问面试官对自己的评价 or 自己哪些位置做的不好这种问题还是谨慎,如果自己表现得很完美就可以问问,不然面试官也不可能一直夸你,一般只会简单夸一下,然后绞尽脑汁想一想你有哪些位置做的不好,这就无形中提醒了他你的缺点。
这份完整版的面试题已经上传,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】 