您现在的位置: Tracy‘Blog > 博客 > 心情杂记 > 正文
再写水文


再写水文

主要是总觉得没什么牛逼的技术点值得总结、展示出来,平平谈谈的技术记录,又显得太low,于是,干脆写水文罢了,其实想想,这样或许也不太好,很多东西不记录起来,会立马忘掉,然后下次要用的时候重新走一遍。就比如前几天在办公室发现了C118,想着电脑上也刚好有当时折腾过的整套环境,可,发现已经完全忘了怎么玩了,这记忆力也是个硬伤。

那么,这篇文章,就写写最近挺有感触,或者说,让自己心生涟漪或者波澜的一些事吧。第一是:面试;第二是:梦想;对前段时间爆文《腾讯没有梦想》中得到的一些感悟作总结,也当给自己做作总结,或者聊聊自己的现状和想法,总结总结又一个一年。



(一)面试

x哥还在的时候说:“我走之前最大的成就就是招进来了俩web”,然后,他离职了。可web这块还得继续招人,然后我也开始申请权限帮着面试候选人了,从校招到社招,也筛过、看过简历,面过些人。(其实当时感悟挺大的,也挺深刻的,就觉得得下这些感悟来着,可拖延症犯了,那,这句话就当我为怕没描述清楚要讲啥感悟做铺垫吧。)干脆,这段就讲讲我作为从应聘者到面试官这个过程中,觉得需要注意一些地方吧。



简历

其实,一份简历,要从庞大的简历系统里筛选出来也是挺难、挺佛系的。为什么这么说呢,其他公司我不清楚,但就比如腾讯,一个很大的简历检索平台,支持各类关键词检索,当然,搜出来的东西也是一大堆,那么怎么才能让人对你的简历感兴趣再点进去看呢?

很多人对各个公司发起的资料、简历填写平台并不感兴趣,而且往往草草了事,觉得东西都在简历.doc里,没必要在外面这些框框里填那么清楚。可,哥们,你错了,其实,我搜索的关键词是需要去匹配你们填写的内容的。你不填,我自然看不到你简历。当然,你会说,有解析简历的功能,可是,东西是死的,人是活的,对应位置该填写什么还是你本人更清楚的。其次,通过搜索点击看到的页面其实就是你填写的界面。很多时候通过这个页面我们就会做个是否发起面试的初步判断,可,你什么都没写,于是,我还得点击下载你上传的简历,但更多的时候,我们会根据你留在平台上的信息来决定是否需要打开你的简历,比如学校、专业(这是必填项)等等。所以,请一定好好填写应聘公司发来的简历填写页面(当然,有些公司没有这个,那就另说了,继续看下面)。

其次,还是简历的事情了。请在投递简历前,多上心看看投递职位的一些要求,针对性的准备简历吧。在让面试官对你感兴趣打开你简历后,也还是需要在简历里写一写能让面试官感兴趣的事情吧,不然,真的不知道怎么发起面试啊。按照我自己的习惯,如果我要对你发起面试,我肯定会好好的研读你的简历、了解你的工作经历、技术点,并且针对性的写下一些要问的问题,那么,问题来了,我怎么去准备这些问题(可能每个面试官都不一样),我肯定会找一些我了解、感兴趣的方向去问,碰到我不了解的点,我也肯定在面试你之前自己先去网上大体学习一番自己心里有一定了解后,再去和面试时你传递给我的信息进行综合。所以,这中间的问题就出来了,你需要找面试官了解、感兴趣的点。(当然,这些真的是因人而异的,我参与过两次总监面试别人,就一般都是让面试者先描述一番自己的学习、工作经历,然后中间总结自己想了解、询问的地方。我把这个看作是内力深厚后可以达到的境地)往往,技术面过程中,面试官肯定还是会和你有共同话题的,这就要求你在简历里多体现自己的学习、工作经历了。而且,荣誉、技术点,最好也和需要面试职位相关,很多时候收到的应届生简历中都会写到很多和要面试的东西无关的内容,这会给面试官一种抓不中重点的感觉。比如,你面网络安全说你能熟练使用office、参加公益活动获得xxx奖,你希望我对这些信息如何处理呢?而且,一些与面试岗位无关的信息太多会让面试官感觉到不到你认真对待的态度。其实,稍有亮点,就会通过简历审核,发起面试流程。就怕无毫无亮点、无从下手的简历。


所以,请认真对待简历



面试

目前为止,都为电话面试,而非现场。所以,也只能说说电话面试的一些感悟。

首先,沟通无障碍、交流顺利是基础吧。如果连回答都描述不清楚,那肯定不太会继续考虑了。

其次,对要回答的问题,稍微做一些发散,把自己了解的、尝试过的,尽量都聊聊,这会是你的亮点,并能让人看到你对技术的热情,一般情况下,面试过程中的问题,都会根据应聘者的工作、学习经历来针对性的提问,有些是不了解然后询问做了解,更多时候是大家都了解,但就想知道你了解到什么深度了,有没有总结成自己理解的知识。比如,面试两个应届生,问了两个相同的问题,其中一个很本分的回答到点了,但另一个不仅仅把问题回答了,更多的说了说自己了解的问题形成原因、解决方案,以及自己在处理过程中发现的可以比较好防御的思路。那这个时候,我就会认为后者可能更愿意思考,更有亮点。或许前者也有做过研究,但从你口中我只得到了两个人都知道的点,你给我的感觉也就只是中规中矩,而无亮点。

再者,适当的把面试官往你了解的、他感兴趣的方向去引导。如果任凭面试官问的话,可能,问完和你简历中交集部分后就不知道怎么继续了,而往往这个时候,他就开始问他知道的东西了,而这个时候,你是毫无准备的,比如:“你了解xxx么?”,“不了解”,“那你对xxx的理解呢?”“没接触过”,“说说你对xxx的看法”“不好意思,这个,这个我想要学习,但还没开始”,“好的,你有没有什么要问我的?”。。。这就很尴尬了。正常情况下,聊天总会有个人把控话题,而且,这个时候往往应聘者更有主动权,你往往更容易把控话题,因为在面试官问你的时候就表达了他感兴趣的点,那么,你要做的就是继续推进话题,往你知道的地方、深度去引导。

最后,展示你的亮点、热情,附加其他资料。亮点,往往展现在你对某个问题钻研的深度、技术的全面,对做过的项目的把控上。就我个人而言,我挺在乎一个人对于技术的热情的,有没有总结自己知识的习惯的,而这些往往体现在无监督学习上,对于学生而言,如果没有自发学习知识的热情,简历所写的所有项目都是因为实验室需要、导师安排,而无丝毫自己的思考、总结、沉淀的话,我会认为你有实力,但无热情。所以,这个时候,一些blog、github等佐证资料就相当管用了。一般我看到的简历,带有博客、git的我都会去看看,看看你的学习状态,你的生活态度,你的自发学习、分享的态度和对技术的热情。所以,一般博客、git都会有印象加分,但博客、git无内容,或者一直没更新过的,那还是不放了吧。



(二)梦想

这一段,其实我也没想好要写些什么,但在前阵子那篇《腾讯没有梦想》的文章的激发下,突然多了和腾讯、梦想相关的文章和剖析,同时,也多了很多对个人、部门、公司的一些思考。腾讯有没有梦想,其实我们都没有话语权的,因为我们了解到的都不是一个完整的、充满思想的腾讯。

那会儿的确是看到了太多能引人深思的文章。其中,在内部论坛中,有人提到,或许,真正的原因在于,腾讯的确越来越不像是一个技术公司而转变成了投资公司,并引发对比为什么向来以产品自豪的腾讯为何很久没有爆款而头条却能在短时间内连续出很多现象级的产品?

得出的结论是,我们没有成熟、像样的中后台技术作为支撑。公司bg、部门之间隔着一道墙,数据无法共享,内容无法共享,甚至,连每个业务所用到的技术也都是不一样的。反观头条,一个整体性的中后台技术支撑,所有产品、业务均在这套中后台技术上产生的数据中实现各自对外的产品形态。

的确,我对这个理论深信不疑,因为事实也的确是这样的 ,每个人进来都在想办法造轮子,而不是去好好学习、维护好轮子,让轮子给更多的人用。于是,公司内部的轮子开始越来越多,每个轮子都有他的优势同样也有缺陷。但在高速运行的腾讯中,很多人、事都开始变得浮躁,以至于这些有优势的轮子并没有得到更好地发展,同样,这些轮子的缺陷也没有继续被人修补。用完后,轮子还是最开始的轮子,丢弃在了仓库的某个阴暗的角落,无人知晓。后来者需要的时候,找不到这个轮子,即使找到了,也没办法搬出来修补修补继续用,更多人的想法是选择重新造个轮子吧,造个更适合自己的轮子。

于是乎,轮子的数量大幅增加,可也始终没有积累成完全独立的、优秀的轮子。

这种状态的形成是有很多原因的,其中一点也是最近思考的挺多的一点。是该扎扎实实做技术呢?还是高高调调地做个发声者,诚然发声者得到的回馈往往会比前者好且高更多。

我跟自己说,做好手里的事情吧,总得有人做些踏踏实实的事情,把能力输出出来,支持上层各个产品、各个业务。可更多时候,你会担心你做的事情的价值会不会有你想象的那么大。

其实写到这,我也不知道我想表达啥,有些担心、有些彷徨吧。但心里还是告诉自己,要把事情坚持下去,但又会担心这个浮躁的时代下,并不会让你如愿的坚持下去。

————————————————–分隔符———————————————–


入职也快到两年了,我记得去年的时候做了个总结,总结了入职一年个人大致做了些什么,有哪些成长。那么,这第二年呢?是否也该记录一下,于是打开周报,好好理了理。

是的,去年七月后,组织架构调整了。我也是直接转到安全研究组了,和海哥的娱乐圈分开了。

那会儿,还在继续做表情,一些运营、开发的事情,后面就是写了个《imagemagick表情制作》应该就在前几篇文章吧。再后来,感觉表情项目就差不多要停滞投入开发了,于是慢慢的又开始找其他的方向。

快速实现了灰黑产聚类线路,发现可行后,开始投入搭建系统。应该也是挺快的吧,一周时间,搭建好了整个前后台,跑通了整个流程,从url到md5,从md5到guid,再从guid回溯md5,也算是达到了刚开始定下的聚类系统的目标。

同时整个部门的方向开始往2b发展,自然地我开始着手整理web方面的东西,对于我来说,web也算是挺久没去学习新知识了。整个知识库还停留在08-10年那段时间,对新出漏洞的不关注,新工具的原理不了解等,一度不自信。同时,也开始着手接一些渗透测试的单子作为输出吧。当时渗透测试还作为专门的项目立项跟踪,但最终也是不了了之,虽然对外是有渗透测试服务,但对内并没有很好的立项,大概,对方有需求的时候,会找到我们吧,但,做服务终归不是管家想做的,靠渗透赚钱也终归不太可能。

在这基础上,发展出来——威胁预警平台,web漏洞监控平台,增加微博、twitter等web安全相关关键字,增加对厂家安全公告的监控等。

由于Defcon没帮上忙,想着tctf还是得打打,并且认真用心打,至少,展示下实力吧,和rr组队去打了内部的tctf,成绩嘛,只能说总分第一,但种种原因,浪费了时间,综合下来,第三。

也开始和sobug合作做一些内侧、众测方面的事情了,同时对儿研所的事情大意了,扫描器不慎把数据库中数据都给update了,由此整理出《安全渗透测试服务规范》,尽可能的降低对甲方的影响。同时也整理《渗透测试合同》等模板。为了更好地进行渗透测试方面事情,整理起信息库。

后面,接下第一单签合同的、免费的渗透测试,也还好发现了不少问题,也得到了一些肯定,至少有了些自信,相信能够搞定这些。

12月了,空间测绘项目启动了,也开始确定了要做扫描器。刚好,ere、evilcg也都来公司了,后面的这段时间,基本都在灰黑产聚类和空间测绘上了。

过完年过来后,空间测绘发展成以扫描器为主的御知——“yuzhi.qq.com”,也还算是有个对外的产品吧。大概,收集整理了现有扫描器后,综合各个的优缺点,开发了一套扫描器,同时基于PoCsuite,也做了一套组件扫描器。

在这个基础上,衍生发展出一套漏洞管理平台,作为赋能基础。提出开发webscan_vdc作为鉴定能力的对比项。

至此,这大概就是整个这块一年的事情吧,本来这篇文应该7月份写的。刚巧有空,就综合整理了一遍。

对御知,我的感觉是太慢了。虽然也不知道为何会有这感觉,但总觉得这项目和我想象中的不太一样。但做能力,还是坚持做好自己的能力积累。

记得在表情项目的时候,对自己的定位也一直不定。从切入进去的时候,x哥也只是让我帮忙做个爬虫,慢慢地到批量加群,自动化收集群聊图片,再到后来的运营系统搭建,再到后来的对整个表情项目后台数据流的把控掌握,各个技术节点的方案探讨等,渐渐地发现,整个项目看起来我什么都没做,但又什么都做了(从前端到后台,从数据产生到最后输出),可以说了解整个项目的除了x哥就是我吧,有什么流程上的改动,也都是和x哥一起探讨各个方案优缺点的。当时其实也挺迷茫,不知道这个状态是好还是不好。

其实当时也一直不理解这句话,也没明白这中间的缘由。再后来就进入到御知,我当时的想法只是,做好扫描器,做一个优秀的扫描器给自己用,给产品赋能。自然地,我也并不会太关心项目的整体进度,安安心心地做自己的能力。后来沮丧地发现,这个项目和表情并不一样,大家都在做着自己的那一块事情,但也就局限于做自己的一块,而并不会了解对方是怎么做的,不了解整个项目的数据流到底是怎样的。也就是说,并没有一个做整体技术把控的人。直到这个时候,我才意识到,出了什么问题,我才理解了我先前的迷茫定位其实是可行的。毕竟,经历过表情项目后,我知道有个有担当的把控者的重要性,同时也明白了这个把控者有个可以探讨方向的人的重要性。就算是自恋吧,但我觉得这的确是个好事,至少,项目成员的凝聚力绝对会以此提升。

啰啰嗦嗦的了这些,其实要讲什么我也不清楚。

接下来后面,好好做好自己的储能吧,有机会的话,多上心把控起整个项目趋势吧。



——Tracy_梓朋
2018年5月19日15:19:11


发表评论(0)
姓名 *
电子邮件
QQ
评论内容 *
验证码 *图片看不清?点击重新得到验证码请输入图片后链接字符‘a’