BYR Achieve · 镜像论坛

bg:北邮硕(请认识的朋友不要撕我马甲！求求了?)。秋招结果：后端中厂ssp*1(用大厂a出来的),大厂安全岗sp*2。说明：我主要实习的安全岗位是攻方岗位（内部授权对抗），其中网络上大量的教程均涉及黑灰产，大家如果想从事该方向，请抵制诱惑，不要从事不法行业。下文中，将会用中型词汇描述该岗位，也请各位在评论区不要提及敏感的岗位相关的词语。叠甲完毕。研究生三年的心路历程：由于本人有高强度刷论坛的习惯，研一入学的时候就知道自己的研究方向不好就业，并且确定不读博，所以研一的时候听从论坛建议开始准备后端开发，开始学习刷lc。第一段面实习的经历：在研一十一月时，和前辈交流说研一课多，科研压力小，最适合实习，于是萌生了投实习的想法。当时在论坛投了字节懂车帝（现在回想实在是太猪了），当然，当时没有任何项目，lc也没刷多少，八股也没看多少，面试是一塌糊涂，但是面试官也是非常好（怀疑是北邮学长），会引导回答各种问题，发现我实在太菜了，也是让大胆表达自己，说一说本科做过的课设项目等，也给了很多职业发展的建议，至今记忆犹新，感恩！与此同时，在boss上有一个小公司邀请我面试，我抱着试试的心态也接受了，面试问了很多数据结构的基础问题，由于看过一些八股，也答得七七八八，最后布置了两道简单的算法题和一道业务题，说对实习生要求不高，结束面试三天内提交就行。两道算法题一道是lc原题lru，一道是递归查询文件夹所有的文件，没啥问题。第三道业务题就是针对一家境外电商网站的数据采集，我也是研究了几天，用自动化写出来了。也是顺利发了offer，日薪也还可以，后来聊天也知道mt是从大厂卷不动退休的后端，到了这家小公司做技术顾问，表示愿意带我一起成长，我犹豫了几天，还是答应了。（一个小插曲，本来这家公司是线下实习，需要每天去望京，但是就在我接了offer的第二天，北京疫情升级，线下实习变成了纯线上实习，也算是幸运）。第一段实习经历：这家公司是做跨境珠宝行业电商，需要对国外电商的珠宝数据进行采集（强调一下是境外，不触犯中国法律）。开发语言是python，实习生的最开始的工作就是看懂原先的代码以及做一些解析json和html的工作，算是比较简单的类型。后面也涉及数据库和缓存这类中间件的使用和处理(这一部分更接近传统后端开发)，在这份工作的过程中开始逐渐接触js逆向这一类逆向工作。第一次实习的后记:这段实习由于疫情线上的好处其实持续了很久，其实当时并没有想好要做什么，空闲的时间还是在继续准备java后端，在工作中遇到了一些特定的js逆向相关的知识才会去学习一下。学习点:js逆向(主要是简单js逆向和简单的补环境，一些常见的debugger检测)，算是开始入门js逆向(大佬勿喷)。第二段面实习的经历:由于本人有高强度逛论坛的习惯，会经常关注悄悄话和兼职实习板块，有一次刷到了一个比较大的金融国企的数据采集实习机会，报着面面看的心态就投递了，面试官也是北邮的学姐，问了一些比较常见的js逆向和自动化采集的问题就面试通过了，一开始我其实没想着会过以及过了之后要去，但是学姐说来这里实习的话会让我有一个金融实习的背景，以后面银行会好过一点(事实证明确实是这样，有这段实习背景秋招投银行总行和一些好的分行基本简历还是都能过的)，我听了这点也就去答应去实习一段时间。第二段实习的经历:先说在金融国企实习的缺点:钱少的可怜(但是会有免费的豪华食堂，给我吃迷糊了都)，技术一般(这个不便展开)。再说优点，一个是上班时间比较短，我一般下午五点就可以收拾收拾回学校了，工作的内容也比较少(一周的工作量就一点点，抓紧点做一天就可以做完)。工作内容是采集外国政府网站公开的经济数据、贸易数据、舆情等(后来复盘时意识到从这里开始接触到情报学)。由于各国政府采用的防护手段不一，并且大部分都是一次性采集任务，所以前人都是采用自动化和rpa的方式采集，我的任务也基本就是使用用公司采买的框架和一些开源的框架写一些采集任务。巧合的是这份实习由于我频繁请假回学校和老师开会，后来也转成了线上办公，并且表示可以长期线上。第二次实习的后记:这段实习由于工作量不大，所以我有很多自由的时间成长，在采集国外网站的过程中也遇到了一些检测自动化的点，也就会在空闲时间学习从网站防护角度如何检测自动化，以及如何将这些检测点hook掉，或者是利用一些开源的方案过人机交互。在学习这些的过程中，也有接触浏览器指纹，无头浏览器+虚拟显示技术，自动化技术特征这一类的点，处于一直学习的阶段。从这家公司离职时，+2的北邮人老学长也语重心长的讲了很多(中金炫富事件对金融业的技术岗带来的影响)。学习点:自动化技术和反自动化检测技术，更为复杂的js逆向等。面暑期实习的过程:接下来就是漫长的面暑期的过程，一开始觉得我原来做的方向就业面比较窄，而且感觉大厂不会有这样的岗位，所以又重新捡起了java后端，虽然说有准备lc和经典项目，但是我实在是lc苦手以及项目确实不如同级的其他佬理解的深刻，所以一直屡面屡败。就当六月份已经面到没啥大厂能投的地步，又是北邮人论坛拯救了我，一个北邮学长(入职后发现是+2内推)发帖，我大胆投递，方向非常契合，连续三天1-2-hr面试，光速入职某大厂(一面java相关，二面数据采集工程相关)。第三次实习的经历:这次入门的部门是一个刚刚建立的情报学小组(做的是商机层面的侦测)，内容就不展开了。但是由于是一个新兴的部门，有幸从头开始经历了整个后端项目的建立到完善的整个流程，也在几位经验丰富的mentor的带领下深入学习了各种安卓逆向和流量拦截篡改相关的技术。暑期实习的后记:在这个团队中，我飞速成长，每天都在学习各种新的知识，一点摸鱼的时间都没有，由于我经历了项目的架构阶段(不再是像之前学习，只是站在一个角落做好自己的事)，这次我的脑海中也出现了很多更自驱的想法(知道我的薄弱点在哪里，并会在休息时间继续学习)。学习点:安卓正向开发(四大组件的学习)与逆向，jsvmp等。秋招的过程:由于种种原因，没有留在原来的公司，九月中旬就离职回校准备秋招。主要还是投递后端开发和逆向开发两方面的岗位，但是在面试的过程中，主要还是逆向开发的岗位(主要是各个大中厂的安全部门约面)面试邀约比较多，后面就主要面逆向了。在等待面试的过程中，我也根据之前总结的缺失的技术栈进行准备，发现他们很喜欢问自己厂做的一些安全措施的点，所以会从安卓逆向和js逆向方面有所准备和学习。最后秋招获得了一家中厂的后端和两家大厂的安全岗位的offer。确认offer后的提前实习:最后选择入职某大厂安全的蓝军部门，也选择去提前实习互相了解一下。这次的提前实习与其说是实习的不如说是学习，入职后在和mentor交流后，确立了这次实习的重点还是以学习为主，针对我目前对复杂native层样本缺少实战经验的问题，布置了一些已经分析结束的样本让跟着学习，后来为了补足安全基础，也布置了一些漏洞让复现。学习点:native正向开发，so逆向，安卓漏洞复现等。提前实习后记:在北邮读研的三年非常充实，确实是得到了很多北邮前辈的帮助，所以想将自己的经历整理下来，提供一些思路给学弟学妹。替大家总结一下几个我觉得重要的点: 1.多实习，只要能力或者背书能提升就可以去，小厂和国企也会对简历有一定的提升。有机会去大厂就去，成长速度会超过你的想象，哪怕一个小项目带来的成长也不是玩具项目能比的。 2.在越来越卷的就业背景下，第一次实习的业务可能就会成为你之后一直实习的业务，所以需要注意这一点。 3.虽然大厂会招收逆向方向和rom对抗方向(有些学校会有专门的组做这个)，但是岗位hc相较后端少非常非常多，对实战经验的要求也比较高，所以如果真的想做这个方向，需要多实战，多思考你的优势在哪里(参考字节T型人才理论)，但是需要严格遵守中国法律，不要以能力盈利。 4.对于学习建议，这个方向学习曲线比较陡峭，如果想参考我的路线成长，推荐先从js逆向开始学，请不要尝试爬学校论坛和学校网站，现在有很多开放的靶场可以用，而且难度也是由简单到困难的，适合初学者入门。如果是已经有一定基础的朋友，可以多思考各种风控的解法。 5.所有经验仅对初学者和零基础者有效，大佬勿喷。 6.关于手撕，有极少数大厂会有手撕或者现场打开一个网站让你分析(常见于不知名小厂实习)。

从后端到安全的求职路