一,技术
乌云ID、原创文章(blog或者发在杂志上)、实战渗透经验,有防护经验更佳、刨根究底的黑客精神,最好看过《提问的智慧》并且能够贯彻执行、会写点代码,说说自己写过的小工具,其原理是什么……(和刺说的没什么区别,总之全部归纳成技术了)
二, 管理
人们常说安全是个整体,但是做安全的似乎总是忽略IT管理的全局,并且对管理方法论嗤之以鼻,实际上看过CISSP、ITIL、7799/27001、COBIT等东西的介绍(哪怕只是目录稍微瞄了下,能知道每个东东的核心思想是什么),在甲方内部推安全策略和乙方对外推销产品服务,知道的多点总归没坏处
三. 行业信息
如果能够像hawk之类的在多家公司呆过,能够信手拈来的把行业里知名的公司在某个问题上是如何做的摆出来,其实也是一种优势,coolc说过,IT领域里,有时候广也是一种深。(其实随着腾讯每年都去国内大公司去交流,我觉得白帽子群的这些人相互之间分享的东西也已经不少了)
另外,如果能够在面试的时候说出自己平时去哪里获悉安全领域最新的信息,比如exploit、CVE公告、某个领域最活跃的黑客BLOG(或者twitter)……说出自己刷这些东西的频率(每天关注还是更多时间),哪怕是个外行,长年累月的关注这些信息,也能“演”个圈内人士了
四. 职场素养
文字、排版、沟通/倾听/谈判、邮件……
这些基础素养有助于PK研发,参考刺写的 狂战士 与魔法师的那段 (某期的webzine)
学习能力、捕获重点的能力之类属于EQ方面的东西,也是招聘方重点关注的素质。
因为招聘向来是一件很头疼的事,再好的公司也希望人员的成本在预算之内,因此发现当前价值被低估的人才,经过简单指点可以“人超所值”的,一定是很受欢迎的,而评估是否具备潜力,就因人而异了,我关注学习能力和心态更多一些
1. wooyun上提交的漏洞,并被厂商认可的。最好是不同类型的,能表达你的知识面。(CVE、微软、Google的漏洞平台效果同)
2. 在黑客类杂志上发表了文章的,比如《黑客X档案》等,表明你有一定的研究精神。
3. 原创的技术类博客文章,比如漏洞原理分析等,说明你除了知其然,还知其所以然。
4. 自己挖掘的漏洞,以及分析文章。这个要求比较高,也比较少见这种人才,如果你能拿出5篇以上,只要专业对口,技术肯定是过关了。
5. 自己写的小工具,比如扫描器、exploit或后门之类。总之就是展示coding能力。
至于懂什么攻击原理之类的,来面试的所有人都这么写的(校招除外),怎么体现出你的与众不同?只懂渗透的话,除非你在这方面真的是非常非常出色,不然很难拿到什么好offer。
五 即使现在不是牛人,也具备这样的气质,这个在面试时的举止、眼神是可以看得出来的,只能意会了,这样的气质,会让面试官感觉很爽,很对味,是人才。
没有一定扎实内功与远见的人很少有这样的气质
|
粤公网安备 44020502000147号