一份 2018–2019 年的渗透测试 / 网络安全岗位面试笔记。
这是我 2018 年秋招到 2019 年春招那段时间,为了找一份渗透测试 / 安服岗位整理出来的笔记。很多年过去,我已经离开渗透和网络安全这个行业,转向了别的方向。但每次再翻开这份笔记,都还是会感谢当年那段被刁钻问题反复打磨的日子,它留下的远不止知识点,也是我的辛苦和美好的记忆。也感谢 AI,能够帮我快速地整理好这个文件。
留下来的是方法论:
- 信息收集先于一切:不管做安全还是做别的事,先把现状摸清楚永远是最便宜也最重要的一步。
- 威胁建模思维:遇到问题先问「这里有哪些资产、可能怎么出问题、出了问题影响多大」,比直接动手解决更有效。
- 最小权限与纵深防御:默认不信任、能拆分就拆分、单点失守不至于全盘崩——这些原则放到任何系统设计里都成立。
- PDCERF 循环:准备 → 检测 → 抑制 → 根除 → 恢复 → 跟踪。这套应急响应框架可以套到几乎任何危机处理上。
- 复盘和文档化:面试后写复盘、挖洞后写报告,这种刻意训练在后来的每一份工作里都用得上。
刘慈欣《三体》里有个概念叫 「思想钢印」—:一段被深深刻进大脑的信念,会在此后无声地影响一个人所有的判断。安全这段经历对我来说就是这样:它没让我成为黑客(短暂地成为过),但教会了我用对抗性的视角看世界、用最坏假设做决策、用纪律性的方法解决问题。
所以这份笔记继续公开。希望它对还在路上的同学有用,也算给当年那个熬夜刷CTF、打比赛的自己一个交代。
| 文件 | 说明 |
|---|---|
| HR问题.md | HR 面常见问题,附带相对稳妥的回答思路 |
| 技术面分享.md | 个人整理的技术面题库,覆盖渗透测试、Web 安全、密码学、应急响应、运维等 |
| 部分面试问题记录.md | 实际面试中遇到的真题,按公司分类 |
如果你也在准备面试,推荐顺序:
- HR问题.md — 最快上手,先把软问题练顺。
- 技术面分享.md — 系统地过一遍知识点,找出薄弱环节。
- 部分面试问题记录.md — 用真题练手,校准节奏。
- 不要照背答案。所有答案都是我当年准备的「思路」而非「标准答案」。安全是个高度依赖现场反应的方向,照背只会暴露准备的痕迹。
- 顺着问题往深处挖。每个 Web 漏洞题最好都能讲清「原理 → 利用方式 → 检测手段 → 修复方案」四层。
- 找朋友模拟。技术面是真问,HR 面更是真聊,让同学/朋友扮演面试官帮你找漏洞,比自己念书有效十倍。
- 以 OWASP Top 10 + 一个等保 / ISO 27000 为骨架,再把具体题往上挂,知识体系会清晰很多。
- 我翻译过的国外红队面试题:Leezj9671/offensiveinterview
- 2018 届四非本科应届生,base 深圳,目前是外贸 SEOxGEO(AI 搜索)的技术 lead。
- 当年方向:渗透测试、流量分析、安卓安全。
- CTF 划水选手,拿过一些小奖。
- 现已离开安全行业,仓库保留为公开归档。
仓库走红时配套写过几篇短文,留个存档:
| 时间 | 文章 |
|---|---|
| 2019/03/06 | 这有一份渗透/安全/安服面试经验等你来拿 |
| 2019/03/11 | 怎么准备安全面试最高效?不看后悔系列 |
| 2019/03/18 | 安全新人选大厂还是小公司 |
| 2019/03/25 | 我的渗透路,如何入门安全最高效?(长文预警) |
公众号已经停更。文章主要面向当年准备入行的同学,今天看大半内容仍然适用。
仓库已归档为「凝固版本」,不再做主动维护,但仍然欢迎:
- 通过 Issue 报告事实性错误 / 失效链接;
- 通过 Pull Request 补充更优的解答或新的真题。
本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可。
祝你拿到好 offer、不后悔自己的所有决定、以及保持为何出发的心。
