自我介绍一哈，我是夹皮沟闲事管理局
自我介绍一下，我是一个练习时长四月半的渗透测试练习生，双非本科大四学生，网络工程专业。
（不多闲扯，直接开始记录我的人生第一次投简历。）

10号开始人生第一次投简历，心里想着是第一次么就当作积累经验了，就哐哐往安全大厂怼。
（这可能就是初生牛犊不怕虎吧哈哈哈哈）

14号收到通知，笔试给安排在了16号。

16号中午开始笔试

题型是20道单选，10道不定项，还有两道编程题。单选一道一分，不定项一道两分，编程题一道20分。题考的很杂，涉及到OWASP TOP 10、计算机挽网络、操作系统、算法、数据结构都涉及到了。
（其实我看到题的时候是这样的

啥是ping of daeth啊？PE文件是啥啊？什么是分片IP报文攻击啊？还有那编程题我咋写啊？40分啊！！）

后来还是硬着头皮做完了。

会的都答了，不太会的都蒙了，剩下的都空了。15：00开始的考试，我15：18就交卷了。

总的来说，答的不是太理想，应该是进不了面了，所以也就没想着准备面试啥的，就继续学习技术去了。

可事情远没有那么简单，生活总是处处充满着惊喜！

立秋之后，天气逐渐微凉，尤其我们这乡下，太阳下班之后是极其凉快的。周三的傍晚，我正在打球（没记错的话是一月份放寒假以来的第五次打球），惜败一局，下来休息，看到微信有一条消息提示，点进去查看是面试的邀请！！！！

不是吧阿sir，我竟然还进面试了？！！！！！

既然人家给机会了，咱就好好准备一下吧。虽然是人生第一次，虽然自己都没想着能进面试，但得时无怠，时不再来，天予不取，反为之灾（这句话是我百度的）。所以第二天起了个大早，开始翻看自己以前做的笔记。

通知的是10：30的面试，10：00就进去签到等待着人生的第一次面试。

一直等到11：26，我向面试官发起了视频邀请，开始了第一次面试。
（人在极度紧张的情况下，会结结巴巴，头脑一片空白。谁赞成？谁反对？）

1 你先自我介绍一下吧

提前准备好的有东西，一紧张全忘了，磕磕巴巴说了自己都忘记是啥了。

2 你知道SQL注入有哪几种方式？

联合查询、报错注入、布尔盲注、延时注入（远不止这么多，可是我紧张的只记得这么多了）。

2.1 那你会绕SQL注入的WAF吗？

我有点愣住了，因为自己在平时实践过程中确实很少涉及。
给大家贴一个我在FreeBuf上找的很详细一个关于waf的帖子，一起学习一下。 WAF机制及绕过方法总结：注入篇.

2.2 你除了做过MySQL的数据库外，对其他的数据库有所了解吗？

我答的是我目前还没遇到过，主要还都是MySQL的。

3 那咱们来说一下XSS吧，XSS有哪几类？

反射型、存储型和DOM型。

3.1 那你说下反射型和DOM型的区别吧

我巴拉巴拉说了一点自己还记得的。
（来吧，hxd们，一起再来学学XSS。Web安全 – XSS漏洞.）

4 说说CSRF和SSRF的区别吧

我面试前还看到了这两个，可是太紧张，只说了CSRF相关的。

4.1 那你说说CSRF有什么应用场景？怎么防御？

我说了CSRF点链接给转钱，然后说了防御措施是验证HTTP Referer头、添加token并验证。
（面试官也看出来我比较紧张，让我别紧张，慢慢想一下SSRF。可我实在是记不起来了，所以就没说这个。）
让我们一起再来FreeBuf学习学习吧！
浅谈CSRF.
SSRF学习之路.
简述CSRF、SSRF的区别.

5 你知道XXE吗？

我当时记不太清了，没答太好。在问利用XXE能做什么的时候，我说了可以RCE（）、可以读取任意文件。然后面试官说你刚说到了RCE，是在特定情况下的吗？我说是的，面试官问是在什么情况下呢？我又卡住了。
继续一起学习XXE从入门到放弃.XXE萌新进阶全攻略.

6 你写过小工具吗？用的什么语言？

我说我用的python，目前买了书，正在学习中。

7 你了解过代码审计吗？

我说我有做过相关的靶机，具体的也正在补充学习中。

8 你了解过我们公司吗？你了解过A-TEAM吗？

我说奇安信是网络安全行业的巨头公司，在业界很有名。然后我说A-TEAM是研究APT，结果面试官笑了，他说主要是红队方向。

9 你有什么想问的吗？

我说我现在太菜了，需要更多的去提升自己，我不配问你（手动狗头）。

整场面试持续了将近30分钟，很多东西自己都知道，但是人生第一次太紧张了就感觉没答太好。面试官人很不错，很和蔼，一直在让我不要太紧张，我没答上来的，他也说没说，你现在还是学生，还有时间再学。

第一次笔试+面试就这样结束了。通过这次面试也发现了自己的不足，找到了自己欠缺的东西，自己以后的学习也有了目标和方向。

继续努力吧！