招聘信息怎么写?最吸引人的招聘广告语

此前所有公司的招聘都是写出一些招聘要求,应聘者根据要求来判断自身是否满足,然后主动联系企业招聘人员进行面试,这种方式有一种企业高高在上的感觉,如果是人才多于公司需求的情况下,这种方式是没有问题的,对于企业而言,招人轻而易举,根本不用考虑做些许改变。

我认为这样的招聘模式对于应聘者是不公平的,因为应聘者对于公司的情况、团队的情况很难知晓,而且发的招聘要求各家公司大同小异,对于应聘者而言,实际的帮助不大,具体的情况还得在面试沟通之后才能知道,对于候选人的时间浪费很大。

不一样的招聘发布

信安之路一直以来不怎么帮公司发招聘信息,一方面确实对公司帮助不大,想要找工作的会主动收集招聘信息,而不会因为推送而突然想要找工作,另一方面发的招聘要求对于读者而言能了解到的信息有限,无法更好的呈现团队的情况以及未来的发展,也无法从招聘信息中提取对自己有帮助的信息,信安之路的目的是帮助安全从业者成长和学习,所以这类招聘信息一直坚持不发。

如果实在需要帮忙发送招聘信息,我们之前制定了一个要求,必须满足我们的要求才可以帮忙发送招聘信息,具体要求情况:《信安之路对安全圈的一点贡献》,其中关键信息:

1、发布招聘者必须是招聘岗位的直接 leader,因为只有这样才真的知道自己要招一个什么样的成员。

2、发布者必须在提交招聘需求的同时,要为大家分享一段自己经验(对安全的理解、对安全从业的建议、对安全学习建议或者工作经验等,能做 leader 必定是一个从事多年安全工作的人,这点要求根本不算什么)

3、需要招人的朋友请加微信 myh0st,我要确保招聘者真实有效、满足以上要求才可以在公众号正式发布

这个文章发布之后,当时也收到了一个朋友的需求,帮他发了一次招聘信息,当时他也分享了自己的一些心得,因为招聘信息已经过去很久就不发链接了,具体建议请看:

一.对渗透新人成长的建议

1.挖洞一定要去实战:

不能只在漏洞环境复现漏洞,实战和环境是不一样的。

实战环境的选择:

(1)漏洞盒子:新人建议首先去漏洞和提挖洞,漏洞盒子接收大多互联网漏洞,无论该单位是否在盒子注册过,漏洞审核相对容易通过。

(2)补天:分为公益 SRC 和专属 SRC,补天的审核较为严格,且通常只接收在补天注册的厂商的漏洞和大中型厂商漏洞,其他小站漏洞通常审核不通过。在熟悉漏洞盒子挖洞后,建议去补天挖洞,先挖公益 SRC,再挖专属 SRC(给现金奖励)。

(3)各大互联网 SRC,能够在补天专属 SRC 挖洞,基本可以去各个互联网 SRC 挖洞了,无论大小厂的 SRC 都可以尝试。

2.掌握利用简单、危害高的逻辑漏洞:

常见的简单高危漏洞,提交漏洞要制造出高伤害:

(1) 竞争条件漏洞(并发抽奖、领取、提现等)。

(2) 水平越权:当一个公司用户量越大,越权造成的用户数据泄露越多,对甲方的危害极大。注意提交漏洞时,可以遍历一下泄露用户数量的上线,有时候一个简单的越权,泄露几百万用户信息,但切不可拖数据(犯罪),遍历统计上限和样本即可。

(3)各种刷量的逻辑漏洞:例如电商的抢优惠券,社区的刷点赞、人气,视频的刷播放量等。

(4)测试逻辑漏洞时,注意 Response 返回包中的信息,有些 Response 返回包的参数被篡改后,会进入下一步逻辑流程,并使用被篡改的参数在下一步流程提交。

3.学习前端跨域漏洞:Jsonp 劫持、CORS、CSP 等

面试过不少年轻白帽子,不熟悉前端跨域漏洞,在不少互联网公司 Jsonp 劫持是常见的漏洞,建议大家要学会前端漏洞挖掘和基本知识。

4.提交漏洞要做出高危害

几个栗子:

(1) SSRF:内网应用越多,危害越大。提交漏洞不要只扫描一下内网访问多个系统就提交了,建议拿下一个内网应用的权限,内网应用通常漏洞多,弱口令多,造成高危害后提交。

(2) 水平越权:上面说过了,遍历出影响的用户量,如造成用户数据泄露或篡改,遍历泄露的用户数据量、可篡改量。

(3) XSS:能打到几个账号的 Cookie 并登录最好,或接收到后台的 cookie 登录后台,将漏洞尽可能升级其影响范围。

(4) 其他漏洞类似,尽可能做出高危害和对业务的影响。

(5) 要多挖 APP 漏洞,移动互联网时代,很多互联网公司 90% 以上的流量在 APP 端。

5.渗透人员要学会代码层如果修复漏洞,尽量细化到用哪个函数(会攻击也会防御)

例如:指导研发修复要细化到修复漏洞的函数和示例代码,后端用函数,前端过滤为了减少后端服务器的计算压力。

(1)代码层如何修复 xss 漏洞:后端:在 html 输出用哪个函数过滤,在 JavaScript 中输出,用哪个函数过滤等;前端对输入做哪些过滤。

(2)代码层如何修复 SQL 注入漏洞:后端 PHP 代码用哪个函数,JAVA 代码怎么做。前端对用户输入做哪些过滤。

(3)水平越权的修复:校验用户 Session,不能只校验 uid 等等。

(4)其他漏洞修复类似,不要只提一句话修复文字,最好能够细化到代码层的实现,或者逻辑的设计,针对逻辑漏洞,说明逻辑,或者能画出逻辑流程图和文字更好,方便产品经理和开发理解。

二.安全人员要熟悉公司业务:

甲方安全人员必须知道公司是怎么赚钱的、怎么赢利的,这样才能够知道直接影响公司利益的业务系统、部门人员,知道这些才是重要的,提交漏洞要优先和能够赢利的业务挂钩,这样安全需求和修复漏洞更能够受到重视。可惜不少甲方安全工程师,不熟悉公司业务,不知道公司利润的来源,支持业务的生产系统和各个部门人员。

三.熟悉渗透之后的 4 个技术方向:

安全开发、Android 逆向、安全产品运维、业务风控。建议:优先安全开发和 Android 逆向

当熟悉渗透之后,比较容易上手的两个技术方向是:安全开发、Android 逆向。建议渗透人员不能只会挖 Web 漏洞,熟悉之后,学习 Python 开发、 PHP 开发(含代码审计)。也可以学 Android 逆向,能够逆向、修改、分析 Android APP。做到:渗透+安全开发,或者 渗透+Android 逆向。

安全运维和业务风控(风控引擎、大数据、AI、机器学习、黑灰产羊毛党对抗等)这些需要有生产环境才能够实战,建议工作之后找机会学习。在有足够的用户量、流量、黑灰产对抗环境中,才能够实战成长。

完美世界安全招聘(内容来自公众号 小议安全)

作者:完美世界的安全负责人何艺

简介:在甲方安全工作 16 年,负责完美世界安全工作,聚焦在安全管理、零信任架构、体系建设,安全架构和安全分析上,争取做个不走偏,服务型领导。

这位安全负责人在自己的公众号发布了一个不一样的招聘信息,跟我之前的想法不谋而合,详情请看:《硬核安全招聘,有干货有福利,还有顶配iPhone等你拿》,提取其中对于自身安全定位、部门组织架构、招聘职位定位分析、入职完美的优劣势等分析,如下:

安全部门的自我定位

一个公司对安全部门的定位应该是多方位的,不同视角对安全的期望和定位会有很大差异,会直接导致安全工作的开展,例如:

1、公司对安全的定位:不出事,少花钱应该是多数公司的定位,甚至是“不出事要你何用,出了事情要你何用”的尴尬定位;

2、业务对安全的定位:别搞我,少烦我,同样是多数业务部门的心声,轻者勉励配合,重则见安全如见瘟神。

这个时候安全对自我的定位就很重要了,上面都是客观存在的事实,但不代表正确,因为行业不一样,对安全的理解是不一样的,而安全负责人应该是要清楚的,这时的自我的定位往往决定了未来的方向,如果定位是救火队,最后可能会成为杰出的救火英雄,而我们的定位如下:

自我定位:服务业务、集中资源,统筹规划,翻译成人话就是业务优先,不能为了安全而让业务死掉(是的,我们不是安全第一),而集中资源,统筹规划是因为安全的成本并不低,集中资源和统筹才可以用尽量少的资源来获得较大的成效,安全需要考虑成本。

从结果上来看,按这个定位,一步步走下来是可以获得公司和业务的理解与支持。目前我们负责了全集团安全,通过集中化的平台以较低的成本输出各种安全服务来支撑业务,并不断的提高安全效率来让业务感受到安全是和业务一个方向,获得业务的理解和支持。

安全部门组织架构

我理解的安全组织架构并没有好坏、也没有标准之分,只有适合不适合,因为每个公司环境和发展阶段都不尽相同,我们的安全组织架构经历过三个阶段,如下:

(1)扁平化架构

其实就是穷,几个人的安全部还要什么组织架构不是。这个阶段的特点是每个人都身兼数职,安全运维、渗透、开发混在一起,大家工作起来也不分你我,效率其实不低,但问题是虽然能救火,但长远规划很难落地和做精,过了救火阶段后就不适合后面的阵地战了。

(2)攻、防、开发为模型架构

招聘信息怎么写?最吸引人的招聘广告语

这个阶段特点因为资源相对充足点了,可以专人专事,而一般负责人的精力也不足以支撑超过10个以上同学了,因此这个阶段将部门以攻击、防御为视角进行了拆分,主要目的是:

1、明确职能,专人专事来保障结果与质量;

2、通过攻击团队来发现问题,以攻促防;

3、通过防守团队进行安全建设,构建防护体系,检验攻击效果;

4、通过开发团队来输出系统、平台,提供火力支援。

这个模式我们进行了很长一段时间,但后续问题也开始凸显,即评价体系难以落地,因为安全监控、响应分散在攻击和防守团队中,让自己评估自己是没有意义的。

(3)攻、防、检测、双开发模型

招聘信息怎么写?最吸引人的招聘广告语

为了弥补裁判的问题,这个阶段将团队进行了进一步的拆分,将安全检测独立出来,负责安全分析、规则维护、事件调查与响应,以及将开发团队也拆分为两个小组,主要的目的如下:

1、形成,攻击、防护、检测的三角模型,三个部门可以互相检验和促进;

2、开发分为两个小组,分别为:

防护体系开发,即我们的零信任架构体系开发,支持防护体系的建设和提升;

检测体系开发,即我们的SOC、SADB、可视化分析等系统开发,支援安全分析能力的提升;

3、满足大家职业发展的需求,对管理方向的提供上升空间,技术方向提供专精空间。

招聘职位定位于分析(北京地区)

这是篇硬核招聘文,这里是我们迫切要招的一些岗位,在这里对阐述下对这些岗位的定位与规划,当然最好的体验是加入我们!

(1)高级开发工程师

负责零信任体系中很非常重要的 Linux agent、server 端开发,我们的零信任定位是统一架构全端覆盖,包括服务器的覆盖,这个岗位会负责 Linux 端 agent、server 端的功能迭代。

游戏行业是会遇到真实的 APT 攻击,也会遇到很专业的 rootkit、入侵手法,因此这个岗位在入侵检测技术对抗上会有很真实的挑战,以及会从攻,防,检测团队中获取一手需求与反馈来改进系统。

(2)业务安全工程师

游戏是完美世界核心业务之一,除此外我们还有很多互联网业务,因此在业务安全上,账号安全、薅羊毛、漏洞刷分等场景都会遇到。

这个岗位会借助我们统一分析平台的能力,协同业务,识别业务风险,建立风控模型,推动开发部门进一步完善平台能力。这部分的挑战在于,业务类型多变,如何找寻规则形成较为通用的方法,以及如何让安全数据发挥更大的价值。

(3)风控算法工程师

这个岗位是和业务安全工程师合作的岗位,即负责相关系统的开发。现有的 SOC 上我们已实现了实时、离线、机器学习、SOAR 安全流程编排等能力,但在风控上还很薄弱,需要进一步丰富和完善风控模块和能力,给业务提供支撑。

另外借助零信任架构体系,安全解决了数据质量不高的痛点,可以形成完整的闭环,如何支撑这些海量数据的安全分析,更智能的关联,也是其中的挑战。

(4)渗透工程师

负责内网渗透、线上业务安全测试,通过内部红蓝对抗方式,推动安全运营能力的提升,用攻击来检验安全防守、分析团队的能力。

另外渗透工程师可以借助部门内的主、被动式扫描器,安全资产、钓鱼系统来提高攻击效率,以及将将重复性工作推动开发转为自动化的方式,让攻击测试也能效率化。

(5)安全运维工程师

负责零信任架构体系的实施、管理,运营。安全运维不是一个轻松的活,事实上充满了挑战,因为攻击团队只需要利用一个点就可以进行突破,而安全防守团队需要面对全集团数万设备,数百个业务系统的安全加固、权限管理、漏洞修复。

安全运维工程师一大方向是将繁琐重复性的工作转为自助和自动化,进而演变为以安全角度对业务整体环境进行评估,发现薄弱点并设计解决方案。毕竟没有人比安全运维工程师更懂业务。

(6)安全合规工程师

一直以来在合规上我们有着自己的想法,不请外部咨询顾问,所有的合规流程都自己走,这是因为合规本应该是安全最基本的要求。这里的挑战是如何找到业务和合规的平衡,保证合规的同时不要影响到业务的发展,将合规的需求融入到了安全体系、平台中,用系统来支撑合规。

这个阶段中我们希望把合规引导到数据安全方向,对合规的定位是对外、也对内,更要对自己,以合规推动标准化、数据安全系统化工程落地。

入职完美优劣势分析

任何一个选择都是有正有负,找到适合自己的是最重要的,因此我会从自己的视角尽量客观的分析入职完美安全的优劣势,希望对你的选择有所帮助:

(一)劣势

1、超大规模的场景:不是垄断型头部企业,没有春晚那类数亿人刷刷的超大场景,但有还算丰富的场景类型,安全各个领域都会涉及;(基础安全、渗透、移动安全、应急响应、业务安全、黑产等)

2、不成熟:无论是我自己还是系统、架构,我想是不如一线大厂的,事实上我们一直在不断试错,不断改进的路上;

(二)优势

1、讲人文关怀的公司:应该是少有让你每周都放下工作,强制你去学习的公司了,董事长对员工的成长关怀甚于你自己,公司氛围鼓励大家去尝试,去试错;

2、有理想的安全部门:追求卓越,希望真正解决公司安全问题的同时,可以提升自己,这也是为什么零信任架构、安全自动编排、等新技术,我们都乐于探索,并且有能力落地执行;

3、平等的工作氛围:没有森严的等级,勾心斗角的人际关系,有话直说既是完美的文化,也是部门的文化;

4、工作与生活的平衡:没有996、没有强制加班,只要结果棒,不加班年底绩效一样可以是S级;

5、友善的业务环境:没有山头、站队一说,业务普遍给予安全很大的支持与包容。(不然零信任架构也推不动…)

总结

对于何艺总写的招聘要求,即使你去不了或者不合适,那么你也能从中学到一些知识,了解其团队的情况,现在在做的事情,可以在面试之前就能了解一些情况,不是说面试的时候才去了解一些影响入职的因素,而是提前了解,大大提升了面试的效率,减少了候选人面试的时间,也能给暂时不满足要求的同学以指导,知道自己可以在什么方向上进行努力,达到公司的要求。

除了自己技术能力的问题,还能了解安全团队的核心,团队领导的情况,毕竟工作是否长久,工作是否开心,跟直属领导有很大的关系,一个好的领导可遇不可求,我认为这么坦诚的老板,这么有诚意的招聘,团队氛围一定不会太差,有兴趣加入完美世界安全团队的同学就请主动联系吧。(以你的能力,你一定可以找到联系方式,这里就不提了)

金亿云课堂 金亿云课堂

海哥副业(金亿云课堂的旗下博客)是一家创业点子副业项目分享平台,在这里提供互联网引流技术、创业项目、网络营销、和实操案例分享,需要副业学习那就到海哥副业会,学推广,找项目,就来海哥副业会!

金亿云课堂 35000+课程在线学习,大量课程每天更新,所以请务必加微信公众号!

据说扫下这个二维码的,一个月都可以赚几万块!试试就知道哦

  

版权声明:本站部分文章来源或改编自互联网及其他公众平台,主要目的在于分享信息,版权归原作者所有,内容仅供读者参考,如有侵权请联系我们,如若转载,请注明出处:https://www.gd200.com/22455.html

发表评论

邮箱地址不会被公开。 必填项已用*标注