专注企业信息安全建设

分类安全无止界

安全

安全招聘之慧眼识人

招聘和找女朋友一样,朋友同事推荐(内推)的比媒婆(猎头)质量高,媒婆(猎头)推荐的比相亲网站(招聘网站)质量高。面试时让你觉得不舒服的人,进来之后只会让你更不舒服招最合适的人而不是最好的人好的人是值得等的,经常和他们聊一聊等待机会不要因为着急用人而把一些不合适的人招进来不要期望人事能给你招到好的人,自己筛选简历面试,你现在偷的懒后面会花更多时间来填补

安全招聘之面试流程

面试注意项 提前约好面试时间和面试方式(电话/现场)做好面试准备:对岗位要求、职责有清晰认识?是否阅读了候选人简历,知晓之前面试评价?本轮面试主要考核点?对候选人的疑惑是什么,感兴趣的是什么?预留足够时间调整好状态?参与每一轮面试考察的重点不相同,了解之前几面的面试评价,从前到后以此考察知识和经验、能力、意愿、动机、个性特质、价值观。准时参与面试,有事情应提前电话沟通到位面试时把握好节奏,及时阻止话多的,多留停顿给话少的面试时不问/不透露公司敏感信息即使只聊一分钟就觉得面试者不合适,也不应该立即挂断,面试应不少于20分钟;时常控制在1个小时以内;及时反馈面试信息,层级、录用意见、不足之处、待下轮考察内容 面试流程 自我介绍下个人情况、做过的项目和技能观察谈吐,看思维逻辑是否有条理,沟通交流是否顺畅性格类型是否合适围绕做过的项目进行细节提问,提问的问题根据岗位不同可以从3...

安全招聘之安全从业人员必备素质

基础能力(自我驱动+自主学习) + 专业能力(渗透攻防+软件开发)招聘安全从业人员的基础素质 基础素质 攻防渗透和软件开发 首先要明确一个概念,术业有专攻在安全行业不是常态。安全本身就是一个覆盖了客户端、前端、网络、后端、服务器等涉及JavaScript、Python、PHP、Java等各语言的工作,如果非要讲究术业有专攻就没法做了,当你可以有擅长的方向,但前提是你都懂,这个懂不应该停留在了解的层面,如果你是安全开发工程师除了研发技能外还必须知道常见漏洞的形成原因、利用方式和修复方案,如果你是渗透工程师除了理解各种漏洞的攻击细节外,还必须有基本的开发能力。 同时拥有攻防渗透和软件开发的人,在后面做事的方方面面会体现出极大的优势。...

安全招聘之安全行业现状

薪酬最高 互联网是计算机行业中薪酬最高的,而技术工程师是互联网中薪酬最高的,而安全工程师又是技术工程师中最高的。安全行业井喷式的爆发,使得每家互联网企业的安全部门成为标配并逐渐蔓延开来,而由于高校的安全专业才开始普及,安全从业人员紧缺且入门门槛较高从而导致了薪酬水涨船高。 良莠不齐 好处是会有更多的人投身于安全,当然坏处也很明显,着急的岗位和紧缺人员导致存在大量良莠不齐的人在其中浑水摸鱼,明显的特征是你跟他聊技术细节他跟你聊推进落地,你跟他聊推进落地他跟你聊方向把控,你跟他聊方向把控他跟你聊团队管理,你跟他聊团队管理他跟你聊行业空间,如果这些方面都能聊一点那也行,更多的人是答非所问又或者句句有理但空洞没有屁用,又或者是今天这里听到一个理论还没弄明白呢明天就来跟你拽个概念,虽然这么说会得罪一部分人。 圈子文化...

安全招聘之好的简历是怎么样的?

整体要简洁明了,逻辑结构清晰。要能体现出知识、技能、经历、天赋、人脉。

基本信息清晰:姓名、ID、性别、年龄、毕业院校·专业、电话、邮箱、居住地工作&项目经验:注意空档期、担任的角色与分工、公司行业知名度体现技术能力:主要的技术栈以及能佐证的事情其它优势:职业证书、奖项、会议分享、开源项目等工作期望和方向:希望得到一个什么样的工作或自己专注的方向个人评价:全方位的总结,展示出自己的专业技能掌握程度、亮点、优势等等。加分项使用PDF格式,简洁不花哨有GitHub并参与过开源项目,可以写一些自己做过的小项目放上去有个人博客,会写一些经验和问题的解决思路邮箱使用gmail、foxmail或技术类邮箱(php.net)、私人域名邮箱等询问面试官对于自己的评价和可以改进的地方

邮件伪造实践

邮箱邮件安全如何做?从邮件伪造原理和常见的钓鱼邮件入手,看看如何来伪造邮件并提供伪造邮件代码工具。通过SPF、DKIM、DMARC、PTR等方法来组织伪造邮件,并提供一些方法来加固邮件以及提升使用邮件过程中的安全意识。

枚举子域名

通过搜索引擎、Google HTTPS证书透明度、流量代理、GitHub搜索、DNS域传送、crossdomain.xml、DNSPod、DNS查询爆破等方式来枚举子域名,并DNS服务商公布的子域名数据加上通用字典和其它子域名爆破工具的字典结合起来使用Python Asyncio协程和多进程快速的枚举子域名。

UCloud GET SHELL

U

1 漏洞入口 GSIL监测到一处敏感信息泄露,涉及UCloud的一些系统(设计运营系统、General Compute Operation Support System、通用计算平台运营系统、UGC平台的运营管理系统)的代码泄露。 *******g/*** 2 信息泄露 其中包含一些邮件账号密码 send_account := "***-noreply@ucloud.cn" send_password := "U**********3" host := "smtp.qiye.163.com:25" 发送邮件验证测试 数据库账号密码及其他配置信息 3 扩大影响 通过Cobra扫描了下泄露的源码,发现了几处SQL注入。 入参就是SQL,很是明显,而且未做任何权限认证。 .***.***.***:***/query?q=show%20databases; .***.***...

专注企业信息安全建设

Languages

标签