网安面试杂谈串
肥肥去年主动离职裸辞，休息半年尝试一些个人项目与创业等后，把自己的家底霍霍的差不多了，金三银四，又到了面试的季节。
在尝试较多面试之后，总结了一小点经验与对各个面试官/公司的评价，不知道发在哪里合适，便放在匿名版，静待有缘人，有需要的肥哥可以参考。
目前也没有入职，有谈的还不错的公司。
会缓慢更新，直到正式入职为止，不过不会透露大概的薪资范围，太容易引起争吵了。
欢迎肥哥讨论信息、技术与行业相关话题，我尽量回复，不过社畜串没什么人，权当是肥肥自顾自的记录罢。
公司名使用不是很模糊的模糊称呼。

作为参考数值，给一些肥肥的主观自评分参考：
科研(40/100)
工程(70/100)
销售(10/100)
主攻方向为SDL/渗透测试/安全研究，技能占比递减，但是SDL的招聘企业实在是不多，所以渗透测试的工作投递占比较高。

主要简历投递平台为BOSS。
沟通数：500
简历投递数：168
一面公司：30
二面公司：15
三面公司：5
终面公司：3

写在开始前：
肥哥们慎重裸辞，肥肥工作一年半的积蓄消耗差不多了，这两年行情不太好，请稳妥为主。

先来写个肥肥我考虑不多的行业，区块链。
其实肥肥没有做过区块链，只是朋友进入相关企业，顺便推了一下，肥肥也只能投递SDL岗位，其他岗位基本没有需求。
最终投递并且进入终面的是XitXIT，在该行业算大厂了。
优势：区块链企业有不少会提供远程办公的选项，这个选项相当的诱人，并且能够极大的降低生活成本。
缺点：公司国内的稳定性欠佳，并且线上沟通会有一定的沟通困难情况，且作为大厂SDL的建设相对稳定成熟。

XitXit的面试是肥肥在某行动期间参与的，安排了三次电话面试。
前两面面试人员的技术能力中等，没有构成较强的技术差，沟通压力较小，并且较为欣赏肥肥的工程实践能力，但是其希望能够招进偏向开发的人员，提供内部平台与工具的完善能力。
最终技术面给到了其工程部人员。
工程部人员希望肥肥能够参与其安全规则库完善，进行流量侧偏向的工作，如果愿意则可以深入沟通。
再三考虑之后，因为其工作内容单一，并且面试时，工程部人员较为明显的面试偏向，即希望能够招入一个老实完善规则的工作人员，与肥肥的接触较多领域的工作内容预期不符，故而结束了后续沟通。
顺便一提，肥肥是从X恒和X信服出来的，也进过实验室，故而面试时更想去能够较多接触新知识的岗位。
这次面试让肥肥确定了自己的面试方向，了解到了企业的区分，即成熟的大型企业的安全搭建已由前人进行了深厚铺垫，想要进行多业务面的工作，成熟企业的SDL对我来说不是一个优质选项。

顺便一提，三面时问了很多基础技术问题，只回答出来的了百分之八十左右。
提到了就单独聊一下这点。
在面试应届生时，我们会更多的聊基础，因为这是技术能力、学习能力与投入精力的体现，并且大多数毕业生也没有充足的项目经历，需要后续培养。
但是已经有一定量的工作经验的人，基础知识的经验占比通常就不会很多了，毕竟从其他厂商出来，还被质疑基础能力实在是很难觉得舒适。
重点放在其解决问题的思路与角度即可，起码肥肥去面试别人时候是这样的，也许只是个人喜好，不作为肥哥面试参考。

看了一晚上文章有点困了，睡个觉先。
今天除了这家还可以聊一聊X度和数字X力的面试，给自己挖个坑，然后睡觉。
( ﾟ∀ﾟ)

po工资一听就一个月2w往上

睡不着，再补一段。
X度面试。
X度面试的是北京岗位，通过了两次面试，没有约第三次面试。
与X度的沟通，一面较为顺利，从听感来说，面试官平常的工作内容偏向渗透测试方向。

恰巧肥肥有过一段时间的内网研究经历，并且负责过相关工作，对于常规内网有一定的了解。
再加上推动过数据安全等方面的项目工作，聊的很开心。

但是，凡事就怕对比。
二面的面试官更偏向代码审计方向。
肥肥一听，很高兴，这个我更熟呀。
结果便是翻车了。
肥肥(*ﾟ∇ﾟ)：漏洞出现的情况，原理，数据流转关注点，自动化审计的协助等。
面试官( ´ー`)：给我说条反射链吧。
肥肥( ﾟ∀。)：猫咪 啊？ 表情包。
这东西工作时候根本不分析，找到入口看到版本试就好了，除了初学的时候有过完整分析，后续再也没深入过。

后续面试官问了蛮多类似问题，回答的七七八八，便是不欢而散了。

这段面试让那时的肥肥产生了自我怀疑，是不是我基础太差了？
而后在面试时，我学会了主动提出这类情况，建议跳过基础问题问答，坦言自己已经忘的差不多了。
进而将话题引入项目经历中，避免空气陷入尴尬。

>>No.61791724
了解行情的大家都知道价格|ー` )
但是今年这个价格就不是很好聊了，很多地方只出不进，裁员很多，涨薪有限。
今年前期我还在面试乙方企业，后续转为甲方面试偏多了。
聊完面试过的乙方企业之后会说到。
XD

(|||ﾟДﾟ)感觉有点相关，订阅了。

数字X力
面试结果：三面技术面通过，事业部面试未通过。
这个公司熟悉的兄弟应该不多，是蚂蚁的一家子公司，算是内包形式。（蚂蚁也聊了，后续会提到）

我面试的产线基本不归蚂蚁管，所以有兴趣尝试。
三次技术面技术环节偏薄弱，基本上属于我单方面聊项目，面试官调其中三五个问题点深入沟通思路的方式。
面试人员均为一线员工，较为清楚自己对于同事的需求，与工作的实际内容方向。
这些部分来说，表现出自己的沟通能力与项目调控能力是面试重点。很意外的是在事业部面试翻车了。
肥肥准备按照平常HR+少量技术的方式来应对。
结果，事业部面试官非常执着于我的“在校经历”，但是那都是三四年前的事情，真的记不住技术细节。
令人印象深刻的对话。

面试官：那就问问你CCNA网络相关的内容吧。
肥肥(ﾟДﾟ≡ﾟДﾟ)：那个是三年前的了，近期没用到太多，记不住了。请问可以聊渗透测试和SDL相关的吗？
面试官：SDL有什么可聊的，就那么点东西，你这个前面的经历很精彩哎。
肥肥(|||ﾟДﾟ)：猫猫 啊？ 表情包（但是我是在面试SDL工作哎）
肥肥：好吧，可以聊聊。

沟通过程理所当然的不是很美丽。
一开始我只是以为这是他们压价手段，后续发现直接被拒绝了。
一阵唏嘘，这个事业部也不是一线员工，也不是HR，面试内容真的云里雾里。

还是肥肥太稚嫩了，找不到问题点，需要学习进步呀。( ´∀`)

这家算是当时蛮想合作的企业，非常可惜，不过相信后面会有更好的选择。

郑重的说，今年裁员很严重，但是请不要碰黑灰产。
这些是对人性的挑战，而不是技术。
不要尝试凝视深渊。
|ー` )

先重点聊聊乙方厂吧。
X安信

X安信面试了很多次，因为地区不同，部门不同，其内部的面试统一管理有些问题，导致不同的部门分开对肥肥进行面试，并且单独计算，这个体验一般。
但是事实上也相当于给了多次机会，便不过多评价。

这部分面试以渗透测试类岗位为主。
优势是面试官与HR等人对安全业务了解较多，不会出现问出奇怪问题的情况。
缺点是一般会安排一线员工面试，但是众所众知，有相当一部分的人只会做技术，不会面试，面试体验欠佳。

这部分就是什么业务类型，聊什么样的技术类型了。
经常会出现，面试官熟什么技术，他就会问什么技术的情况。
对于我们应试者来说，这是我们应当极力避免的，因为每个人擅长的领域都不同，被带入面试官节奏很容易展现不出自己的长处，给面试官以技术较差的印象。
需要主动提出，或放给面试官几个技术点，并且深入解析，从而展现自己的思维能力。
X安信我遇到的有几个面试官做技术做到有些“死板”，放给他们的问题点和技术点听不懂，硬要问他们最熟的那些，颇为无奈。

注：
这类公司的HR会相对好聊一些，有部分人也是公司的秘书类角色。
肥肥遇到过一个面试官很不尊重人的情况，及时反馈后可以安排重试等。
也许是同行本身有些亲近感吧，本行的HR沟通更轻松一些，有需求可以多提一提。
毕竟面试成功对双方来说都是好事。

今天又有两家面试被拒，偷偷发个疯再继续更新。
做SDL方向，很多企业想要经验丰富的人。
小肥两年左右工作经验，无限被拒绝。
经常是技术面全过，最后停在HR面。
在于HR沟通后。
给出的结论是：技术没问题，但是他们想要经验更加丰富的人。
很难找到合适的工作机会（痛苦）
( ´_ゝ`)

>>No.61807231
逻辑不明白，技术既然没问题，说明经验是够的啊
难道他想招leader?

>>No.61809236
今年裁员较多，人力成本低了。
我的理解来说，横向对比同样技术力的，拥有多年工作经验的人，价格并不一定比我高多少，但是能带去更多的附加价值，所以把我拒绝了。
（我的理解。）

从前同事那边的说法，今年很多企业采用了裁两个初级，筛一个资深的方式，也许因为招聘市场庞大吧。

以字节举例，字节社招资深基础要求是八年工作经验，投简历过面试，只是给HR刷kpi。

>>No.61809236
又仔细看了一下✓
技术指的是一个技术的硬性指标，比如对漏洞的理解与挖掘能力，思路等。
经验可能指的是项目的经历，项目的完成数等。
两个并不完全相当，技术算是经验的一部分。

前年拿到三四个实验室offer时候，那时候刚从学校出来。
一个是行业算得上还有希望。
一个是自己要求也不算高。
企业还比较原因培养一些有技术没经验的人，今年这类的hc就比较少了。

被朋友消息叫醒了，睡不着，再更新一点。

得X

一面，面试官明显较为资深，经验丰富，技术覆盖面广，能够进行大部分角度的深入沟通。

这个是我在纠结SDL/渗透测试/安全研究，究竟进行哪个方向的发展时面试的企业。
抛开企业问题，遇到的面试官很不错。
我们在技术交流后，他认可肥肥一定的技术能力的同时，也指出了问题点。
“你究竟想要什么方向，需要先想清楚，这些招聘差距还蛮大的。”

在此之前的话题中并没有提到过相关内容，能够直接指出这个相对致命的问题，肥肥还是挺感谢面试官的。
（肥肥之前其实也知道这个风险，但是算是不想直面自己的薄弱项吧。）

之后也是选定了SDL作为主要方向，至于选择原因后续有机会，或者有肥哥想知道的话可以深入聊聊。

肥肥以前在帮忙面试时候也会尽自己所能去指点一二，这算是还能一直乐观的“坚持面试”的原因之一吧|∀` )

一开始只是在做自己的工作之余面试一下，现在是投入大量精力面试，一晃已经两个月过去了。

X明X辰

最近聊了聊 web安全研究类。的工作（只是尝试一下）

这部分面试时候我意识到安全研究工作有个“细分领域”的问题。
肥肥以前是做XDR与EDR方向研究的，工作内容偏向内网的深度对抗类别。
SDL工作时顺便做了一定量的web研究工作。
这部分能力和实际以web安全为方向的研究人员还是有许多差距的，并且思考角度也不同。
即使基础能力足够，思考角度的差异，也容易导致工作岗位不甚合适的情况。
例如：sql注入。
在肥肥的视角来说，更关注的是路径入口与路径特征。
而研究员更在意漏洞成因与漏洞原理。
沟通会产生明显的差异感。

以前吐槽过该企业的笔试问题很怪，不进行比赛的情况下，面试还是蛮顺畅的，面试官的专业性较强，是不错的沟通。

（很多企业非通过情况不予邮件回复，这个挺烦的。能够明显感受到差异情况还好，有些自我感觉不错，或者较为模糊想进一步确认的情况，还是有些麻烦。）