前言：

回顾我学习的时光里，我觉得最大的困难是没有老司机带带我、没有技术氛围，只能自己独自摸索，甚至花很多时间去搜集各种网络教程、加各种群和社区，积极性很难一直保持，这也是非信安强校或者非信安专业的同学们尴尬之处。

，我技术方面虽然比较一般，比不上各位大佬，但我与其它安全技术号不同的是，我不分享什么技术，而是更愿意去分享我作为安全行业新人的各种踩坑经验，以便能让大家少走一点弯路，有所感悟。下几篇文章我会说说我走渗透测试这条路的经验，今天就先讲讲我的有关实习的看法和怎么准备面试吧。

要不要去实习？

其实这个问题的回答，对大多数人来说都是毋庸置疑的吧，毕竟在真正的安全公司实习，无论你是无穷无尽地用扫描器写文档还是写 POC 打打杂，初看上去非常繁杂，但是这一般都是每位安全菜鸟进公司工作的第一步，这些经历都是非常有价值的，可以让你对安全工作的整体流程有所了解，也可以多认识很多安全方面的人脉。

大学的时候，我没有真正到公司实习过，只经历过一些项目和 CTF 比赛。回想起来其实有点后悔，主要在于三个方面：简历可说的东西不多，海投简历的时候容易在对比中被筛掉，技术面的回答不够实际或深度不足。但所幸，我 CTF 有些成绩，也对 Web 安全方面有点可说的东西，面试准备得比较充分，所以在技术面试的时候对我能答上的话题也能有话可说。

总的来说，如果你不是技术大牛，能够沉下心来将技术研究得很深的话，或者不是 CTF 大牛，能在省级以上拿过比较好的名次，最好还是从大二下学期开始准备实习。我说了这么多如果你还不想实习的话，我……

如何准备面试？

总结下自己的经验

打开一个空白的记事本，思考并且逐一写下：

你会什么安全方面的技术，可以对技术进行细分，比如说一级是 Web 渗透，二级是 SQL 注入，三级是 MySQL注入，四级是如何发现、如何进行注入（技术细节）、如何提权等等。

你有什么相关的安全经历，包括 CTF 经历和实习或工作经历。

你最怕面试官问什么问题？ 你可能对第三点有点疑问，但是这最能暴露出你的问题，能及时对你缺失的东西进行补救。

准备一个简单的简历

没什么经验的同学在写简历的时候，都会倾向于找一个特别酷炫的简历模板，实际上公司的 HR 什么简历样式没见过呢？在我看来，最好的简历是重点突出，简洁大气。应届生写简历最大的一个问题在于：工作经验较少甚至没有、不了解企业招聘。

一般来说，简历只需要有三个信息：个人信息、个人经历和其它信息。着重说一下个人经历吧，如果你有工作经历，那是最好不过了，你需要写的三点是在项目中你做了什么、怎么去做的（使用了什么技术）、最后有什么成果。如果你没有工作经历，那么在准备的时候你就需要有一些小的自己的经历，比如如何实现一个小 WAF、如何实现一个扫描器、如何对一个网站渗透等等，有 CTF 经历的写一下最好的两个名次和侧重的方向。对重点的信息，使用加粗重点标注。

为什么要如此慎重呢？因为这里是面试官大概率会问到的地方。所以，写完这块后，站在面试官的角度去想，如果你面试这个人，你会问什么问题，根据面试人的回答，你会根据回答问什么问题……一直反问自己，暴露自己的缺点及时补漏。另外一个方面，这也是引导面试官到你擅长的方面一个重要的方法，如果你很擅长 SQL 注入，你就可以标重点，体现自己 SQL 注入的能力，如果你能对面试官的关于 SQL 注入的问题对答如流，我觉得这次技术面你就稳了。

最后，根据每个公司的 JD（职位要求），对简历进行微调，这块儿又是一个大坑了，展开要说好多，总之，投其所好就对了。

准备一下面试的回答

虽然你可能会很多东西，渗透的时候就是一把梭，但是面试的时候可不能直接 Google 查文档，万一问到你会的但是回答不出的就凉了，所以你还是需要准备一下如何组织回答，问题可以看一下我的面试问题总结：

https://shimo.im/docs/TdpXTY6H9J8jygd8/read

在准备回答的时候，写下来你的回答，并不断修改，想一想你回答这个问题后，面试官还会根据你回答的点问出什么问题。不断地进行推敲过后，你会发现你在准备的时候也会学习到很多东西，你的技术也会不断上升。

最后，让你的朋友或者同学对你进行一个小小的模拟面试，练练你的胆量，一旦公开说话就很紧张的同学更加要多练啦！练好的话，面试官肯定会很欣赏你~

END

基本的面试准备就说这些，当你准备好后就可以开始海投简历啦。不过，最好也是最快的方法，还是找安全行内的同学进行内推，在安全相关群里一问都会有很多同学非常乐意的。在后面我还会讲讲技术面的一些小技巧和一些大小厂商面试的经历，我是如何入门渗透测试的文章也在准备中了，记得持续关注我噢！