大学生到打工人的两次实习经验（误操作删帖重发）

2023年10月30日，天气晴，4天后就是滚蛋的日子，无法享受逃课的刺激和跟室友一起铲的乐趣，不过没办法，该海投还是得投，不然好歹学了点技术，蜜雪冰城和美团外卖也不能是咱刚开始得目标吧。

第一次实习：
经过了南昌、杭州、上海三个城市的boss、前程无忧、智联招聘的海投（其实也没投多少，大概10几份就得到回复了），终于，有一家上海**科技有限公司找上门来问我有没有想法。于是，第一次入坑开始。
总共三轮面试，看他找我的时间点就知道这家公司应该满缺人的，第一面电话面在晚上7点左右，面完8点多就直接开始腾讯会议第二次面试，第三次就是客户面了（其实这里我就已经意识到不对劲了，跟我聊的时候说的安服也没说驻场啊，哪来的客户面？没想到，真正的坑还没出现）
简单说一下面试内容：
1、枯燥的sql注入
2、枯燥的文件上传绕waf
3、枯燥的SSRF（顺带着也问了一下XXE，我就说了一句：这漏洞基本上很难遇见，简单说了一下漏洞原理就过了）
4、简历上面的挖洞经验
5、不死马和burp用过的插件
结束之后就问我到岗时间（还没毕业实习的xdm记得报入职时间报晚一点，人家公司面过了谈好了就别担心不要你，没拿到offer前确实可以怂一点，因为是公司选择你，但是一旦拿到了offer，就是你选择公司了0.0当时我手上就是两份offer，所以我直接报11月10号左右。）
享受了一下最后在校的时间赶上了前往上海的高铁
虽然把时间拖后了一点，但是鬼知道学校安排了一手活动，搞得还是紧巴巴的，过去了之后提前去公司踩了个点，以防正式开始上班不认识路。
休息一夜（租房已经搞定，具体哪些注意点后续总结）
正式上班后破防的来了，还记得，当时说的是安全服务，结果是安全运营，具体工作内容跟蓝队监测没有任何区别（上2休2是已经沟通过的，我能接受，但是我当时确实不知道安全服务跟安全运营的区别，还以为安全服务去驻场上2休2有师傅带着一起摸摸鱼蛮舒服的）结果令人无语，tm一个运营问我一堆渗透经验干啥？

蒙蔽的干了一个多月，顺便解释一下安全运营的活：
1、监控自己厂商设备上的流量记录（看屏幕的猴子）
2、复现哪些攻击成功的漏洞（点鼠标的猴子）
3、撰写漏洞报告（敲键盘的猴子）
经历了一次上海那边的甲流后，洗了个澡，一抓掉了一大把头发，内心忽然怔了一下，不能干下去了，天天晚上9点熬到早上9点，就算眯一会儿也改变不了生物钟爆炸的事实，直接准备走人

第二次实习
在找到这份工作之前还是老老实实隔上海那边待着继续工作（钱少也是肉啊，xdm离职记得提前三天报备，实习是三天，正式是一个月，虽然有时候也可以不守规矩比如没签合同想走就走，不过更多情况还是别当出头鸟好点）
边找工作便干活，万幸，南昌有一家公司也在找安服
二话不说boss开问：“这个岗位还缺人嘛”
“有兴趣的话可以聊聊”
“简历发了，啥时候可以安排面试？”
当晚8点多一个电话打过来直接面。
不同于第一次实习的面试题：
1、登录框渗透，面试官删减条件，让我说咋撸，删减到我撸不动了，这个问题就过
2、谈谈自己之前挖过的高危和证书
3、入职时间（这里我直接说：随时。那时候真的一点在上海呆下去的想法都没有，恨不得来个人一脚直接给我踢回南昌）
4、文件包含（这个问了一个貌似是pte的题目，没答上来，糊弄过去了）
顺便说一下登录框渗透的部分方式：
1、js找铭感信息或者api接口
2、万能密码（可能伴随sql注入）
3、是否存在los4j、shrio等nday
4、找回密码处的手机号覆盖和明文验证码
5、修改response状态码
6、禁用js跳转后台
7、弱口令
8、信息收集找口令规则
9、注册点修改参数变身管理员
10、通过指纹或者icon值找同类型资产打供应链
南昌这个基本上没有遇到任何坑，反而让我觉得舒服不少，因为安服变成驻场渗透，听说对转红队有一点帮助，nice！

两次实习得到的经验：
1：租房问题（重要！）
手上没有太多资金的xdm切记去一个陌生没有亲戚朋友的城市入职一定要定死岗位再租房！否则如果岗位与你的预想偏差太大，你能重新选择的岗位范围就会被局限在你租房位置附近30分钟路程内的公司。通勤在80分钟以上是一件很恐怖的事情。所以如果确实没有可以白嫖的临时住处，可以尝试先住宾馆一小段时间看看工作具体情况如何）
租房手段无非两种，中介、直租（其实现在很多挂着直租的名义缺还是二房东与你对接的）。好一点的押一付一，其他的押一付三，比如上海我那个房租，1k7一个月，住了一个半月，也就是总共交了5k1，如果不是因为打了一次护网手上有点钱，真的是去一趟上海赚的没亏的多。租房合同的时间能往少写就往少写，这样也能最大程度避免押金跟租房期限之间可能产生的问题。
每次租房无论你多急着住，一定要求二房东或者大房东出示房产证。别他们口头：不会骗你哒，都干多少年了。
很现实的例子：我有一个朋友，他也是在南昌找工作，也是急着租房，找到个二房东，签了合同租一个月后，某个自称为大房东的人加他微信找他要这个月房租。他懵逼的问二房东，二房东叫他别管就行。大房东看没有回应，一个电话打来越说越激动，扬言要撬锁换锁。
3：正式工作和src的区别
现在大部分大学生走的基本上都是edusrc、cnvd两个平台。但是项目上对于漏洞的严苛程度其实没那么高，换句话说驻场领导懂个毛，真懂也不会把项目放到驻场了。比如edu的低危存储xss，项目上可以算中高危。edu的身份证信息泄露，项目上也可以算中高危。edu不收的无危害信息泄露：比如行程、姓名、手机号、住址，项目上通通都要！甚至连反射xss都可以。项目上讲的是资产运行中可能遇到的所有问题都需要解决，而不是单看严重的问题如何解决。
4：薪资
如果觉得自己值3k，就报3k5，值得5k，就报5k5。人hr招人上面都是给了底线的，在你不知道底线是多少之前，可以适当调高，如果hr跟项目经理看上了你，不会在意3k跟3k5的区别，如果你恰恰刚好符合条件，他们会压薪资，但这个薪资是根据你报的数字来压（比如我，上海那边我一开始预想4k5，然后报的时候报的4k8，人hr问了句：你确定？然后我说还是5k吧，那哥们好像生怕我反悔一口咬定ok。结果我在到达上海后看了一下原厂招这个岗的薪资：6-9。我tm！唉）

到此这几个月算是收获颇丰，也希望各位佬或者跟我一样的在大学生择业一事上遇到问题的可以多多发帖，一起避坑~