安全招聘之慧眼识人

安全管理

2019-04-30

安

招聘和找女朋友一样，朋友同事推荐（内推）的比媒婆（猎头）质量高，媒婆（猎头）推荐的比相亲网站（招聘网站）质量高。面试时让你觉得不舒服的人，进来之后只会让你更不舒服招最合适的人而不是最好的人好的人是值得等的，经常和他们聊一聊等待机会不要因为着急用人而把一些不合适的人招进来不要期望人事能给你招到好的人，自己筛选简历面试，你现在偷的懒后面会花更多时间来填补

阅读详细

安全招聘之面试流程

安全管理

2019-04-30

安

面试注意项 提前约好面试时间和面试方式（电话/现场）做好面试准备：对岗位要求、职责有清晰认识？是否阅读了候选人简历，知晓之前面试评价？本轮面试主要考核点？对候选人的疑惑是什么，感兴趣的是什么？预留足够时间调整好状态？参与每一轮面试考察的重点不相同，了解之前几面的面试评价，从前到后以此考察知识和经验、能力、意愿、动机、个性特质、价值观。准时参与面试，有事情应提前电话沟通到位面试时把握好节奏，及时阻止话多的，多留停顿给话少的面试时不问/不透露公司敏感信息即使只聊一分钟就觉得面试者不合适，也不应该立即挂断，面试应不少于20分钟；时常控制在1个小时以内；及时反馈面试信息，层级、录用意见、不足之处、待下轮考察内容 面试流程 自我介绍下个人情况、做过的项目和技能观察谈吐，看思维逻辑是否有条理，沟通交流是否顺畅性格类型是否合适围绕做过的项目进行细节提问，提问的问题根据岗位不同可以从3...

阅读详细

安全招聘之安全从业人员必备素质

安全管理

2019-04-30

安

基础能力(自我驱动+自主学习) + 专业能力(渗透攻防+软件开发)招聘安全从业人员的基础素质 基础素质 攻防渗透和软件开发 首先要明确一个概念，术业有专攻在安全行业不是常态。安全本身就是一个覆盖了客户端、前端、网络、后端、服务器等涉及JavaScript、Python、PHP、Java等各语言的工作，如果非要讲究术业有专攻就没法做了，当你可以有擅长的方向，但前提是你都懂，这个懂不应该停留在了解的层面，如果你是安全开发工程师除了研发技能外还必须知道常见漏洞的形成原因、利用方式和修复方案，如果你是渗透工程师除了理解各种漏洞的攻击细节外，还必须有基本的开发能力。 同时拥有攻防渗透和软件开发的人，在后面做事的方方面面会体现出极大的优势。...

阅读详细

安全招聘之安全行业现状

安全管理

2019-04-30

安

薪酬最高 互联网是计算机行业中薪酬最高的，而技术工程师是互联网中薪酬最高的，而安全工程师又是技术工程师中最高的。安全行业井喷式的爆发，使得每家互联网企业的安全部门成为标配并逐渐蔓延开来，而由于高校的安全专业才开始普及，安全从业人员紧缺且入门门槛较高从而导致了薪酬水涨船高。 良莠不齐 好处是会有更多的人投身于安全，当然坏处也很明显，着急的岗位和紧缺人员导致存在大量良莠不齐的人在其中浑水摸鱼，明显的特征是你跟他聊技术细节他跟你聊推进落地，你跟他聊推进落地他跟你聊方向把控，你跟他聊方向把控他跟你聊团队管理，你跟他聊团队管理他跟你聊行业空间，如果这些方面都能聊一点那也行，更多的人是答非所问又或者句句有理但空洞没有屁用，又或者是今天这里听到一个理论还没弄明白呢明天就来跟你拽个概念，虽然这么说会得罪一部分人。 圈子文化...

阅读详细

安全招聘之好的简历是怎么样的？

安全管理

2019-04-30

安

整体要简洁明了，逻辑结构清晰。要能体现出知识、技能、经历、天赋、人脉。

基本信息清晰：姓名、ID、性别、年龄、毕业院校·专业、电话、邮箱、居住地工作&项目经验：注意空档期、担任的角色与分工、公司行业知名度体现技术能力：主要的技术栈以及能佐证的事情其它优势：职业证书、奖项、会议分享、开源项目等工作期望和方向：希望得到一个什么样的工作或自己专注的方向个人评价：全方位的总结，展示出自己的专业技能掌握程度、亮点、优势等等。加分项使用PDF格式，简洁不花哨有GitHub并参与过开源项目，可以写一些自己做过的小项目放上去有个人博客，会写一些经验和问题的解决思路邮箱使用gmail、foxmail或技术类邮箱（php.net）、私人域名邮箱等询问面试官对于自己的评价和可以改进的地方

阅读详细

安全招聘之面试题

安全管理

2019-04-30

安

面试题目 渗透测试（WEB方向）...

阅读详细

邮件伪造实践

产品安全

2019-04-10

邮

邮箱邮件安全如何做？从邮件伪造原理和常见的钓鱼邮件入手，看看如何来伪造邮件并提供伪造邮件代码工具。通过SPF、DKIM、DMARC、PTR等方法来组织伪造邮件，并提供一些方法来加固邮件以及提升使用邮件过程中的安全意识。

阅读详细

为什么我要分享自己的经验？

闲情偶记

2018-12-22

为

在2018年最后一个月，坐在从深圳TSRC峰会回杭州的飞机上，我思考了这些年的工作、梦想、不足和未来，旁边哥们的呼噜声和后面阿姨从坐上飞机就开始持续不断的喋喋不休，以及飞机引擎的轰鸣声和颠簸让我有点头痛之外，我的思路还是很清晰，我认定这是一件好事，一件对安全行业有点微薄贡献的好事。 回到2014年，安全还是我的业余爱好，那时除了几家大的互联网企业和传统安全公司，其他公司几乎没有安全岗位，而我则以高级研发工程师入职蘑菇街无线团队，负责蘑菇街APP后端开发。业余则持续心中那份黑客梦，研究漏洞和开发自动化扫描工具，那一年乌云大热，利用自己开发扫描工具做到乌云排行榜十天前进十页，心中的安全热情得以体现。那时的乌云上多数人的目的很纯粹，为了帮助企业发现安全漏洞不被恶意利用、为了网络和平，现在听起来有点虚头巴脑，但很多人还一直在践行。...

阅读详细

隐藏在图片背后的信息

安全产品

2018-05-18

隐

图片背后隐藏着什么样的信息，可以让人知道你的地理位置、你的设备型号。

阅读详细

枚举子域名

安全产品

2018-02-26

枚

通过搜索引擎、Google HTTPS证书透明度、流量代理、GitHub搜索、DNS域传送、crossdomain.xml、DNSPod、DNS查询爆破等方式来枚举子域名，并DNS服务商公布的子域名数据加上通用字典和其它子域名爆破工具的字典结合起来使用Python Asyncio协程和多进程快速的枚举子域名。

阅读详细