分享一下自己从学院毕业找工作到入职安服这段时间的工作经历
我是十三期毕业的学员,也是今年21届毕业生,我本身是计算机专业的,主要学的是软件工程和移动开发这些,在报名学院的课程之前安全方面的大多都是自学。
怎么说呢,找工作还是要多面吧,多准备面试问题,论坛里很多前辈都有发过,我就是在第一次面试之后找了很多面试相关的帖子,现在想想自己第一次的面试真的是很尴尬了,很多基础的东西都答不上来。
说真的多面面,我一开都没想过自己能进大公司,就找一一些规模小的公司面试,不过当时的业务都是浙商银行,浙商银行那边要求是至少要有半年工作经验的,公司虽然推荐我了,但是浙商银行那边没有通过,其他的也有很多说我是应届的没有工作经验不好去推。
后来面试的多了,自己也急了,就看见差不多的就都问一下,什么安恒绿盟奇安信都联系了HR,其中安恒和绿盟邀我面试了,因为自己之前面试的多了,加上他们的面试也不是很难,个人感觉自己面的还不错,后面安恒说是没有合适的岗位,在我觉得今年可能找不到工作的时候绿盟给我发了offer。当时真的蛮意外的,自己就简单的了解了一下薪资福利,和工作内容就同意了,这里还是建议大家要了解清楚。
我的岗位的话是驻场安服,驻场的是三大运营商其中之一,入场之前客户这边也稍微面了一下和我聊了一些,客户这边人还是很好的,知道我是应届的,经验不多,说可以让我慢慢学习积累经验。
客户这边也有自己的安全部门,我的工作主要就是协助他们,不过似乎最近没有什么大项目,都不是很忙。
我刚入场的前两周都是让我自己学习,后来爆出了log4j漏洞,我也跟着去学习了这个漏洞,如何利用,简单了解一下原理。
log4j漏洞的出现给了我第一个任务,我拿到一个表格里面许多的网站,和我说让去测一下,包括log4j也测一下有没有。
这里主要使用了两个之前没怎么用到的工具,fscan和goby,
fscan和nmap类似,想是轻便的nmap扫描的更快一点
goby的话我看网上说是做资产收集的
我是这么理解的,也不清楚对不对,就是fscan用来对所有的地址进行扫描,来检测存活的地址和端口,和nmap相比速度还是快很多的,用goby对存活的地址再做扫描,可以快速查看到存在的资产,和漏洞。
不过,我这边扫描下了,发现没有资产,有的几个后面测了一下也是误报,这没有资产我还测什么。
之后一段时间又是自我学习的时间,我找我做开发的同学给我打包了一个log4j的环境,在虚拟机里运行,我想尝试去命令执行,但是网上很多文章都写的很模糊,当时问了贾维斯和劲夫,说是政策原因,不能和我说这个。之后也研究了两天,虽然还是有很多不懂地方,但是基本原理应该算是清楚了,也成功的实现了命令执行
之后一段时间又没有什么事情了,后面客户这边有个同事说我可以写个xray的poc关于log4j的,这个让我研究了几天,不过看起来似乎是不着急,看起来这个似乎是需要xray的反连平台,我买了个域名和服务器还在研究。
再就是这几天了,又是有站要测,看起来网站很多,上千个,但是大部分访问都是400和403,偶尔几个能访问到的也是像welcome to Nginx这种
稍微有几个能扫到的资产,去访问页面不是功能少的没地方下手,就是安全防护做的比较好,问了客户这边同时,也是这些网站在公司内部也是安全做的比较好的。
这些就是我入职3周的主要工作内容了,感觉和我想想的安服不太一样,不过这样也还不错。
我问了我绿盟的同事和我在一起驻场的,但是不在一个部门,他的工作感觉有点像安服,就是客户这边会给他发工单,让他去测网址,但是测也不用他自己测,有专门的漏洞扫描器,扫一下就可以。后面的我问的不多,应该就是和客户沟通写报告和修复建议这些,可能还有些其他的吧。
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
NinoWEI
发表于 2021-12-27
好兄弟,这不分享一下面经吗
评论列表
加载数据中...
Track-劲夫
发表于 2021-12-24
好兄弟
评论列表
加载数据中...
test_707
发表于 2021-12-24
加油!
评论列表
加载数据中...
1779113275
发表于 2022-5-6
有没有笔试呀
评论列表
加载数据中...