安全测试都不敢写精通，薪资还敢要25K？

事情是这样的：上个月松勤软件学院安全班的同窗出去面试，其中一个拿到了30k的offer，还有两位同窗面试一周都没有拿到最终面试的机会，因而让这位学员把面试过程录音，而后从头至尾分析一下问题。听了录音以后发现，原来是由于：简历和面试中信息不对等的缘由，致使他一个offer都没拿到。

下面松勤软件测试程老师将出现的问题复原一遍（略有改动）

 

程序员：面试官好！

 

面试官：你好！你的一些基本状况我已经看过了，你说你熟悉安全测试，我们面试直接进入正题吧！

 

程序员：好的！

面试官：嗯，对SQL注入漏洞有一些深刻了解是吧？

 

程序员：是的，SQL漏洞的掌握是学习安全测试从入门到高级的一个必备技能，因此平时关注得也比较多。

面试官：入门？~好， 那我就来问问，在web页面的什么位置能够进行SQL注入？

 

程序员：一，HTTP GET 提交中的赋值；二，HTTP POST 提交中的赋值；三，HTTP 头的 Cookie 变量。

面试官：其实在HTTP头的其余位置好比 REFER等也是可能的注入点。按参数类型，说说SQL 注入有几种类型。

 

程序员：数字型，字符型，搜索型。

面试官：按返回结果，说说SQL 注入有几种类型。

 

程序员：回显注入，报错注入，盲注。

面试官：说了这么多注入，它们是什么缘由形成的？

 

程序员：是程序开发人员没有注意书写规范，没有对特殊字符进行过滤形成的。

面试官：说一说小马，中马，大马，一句话木马，挖矿木马，加密木马, DoS木马, php木马，java木马，icmp木马，msf木马，bat木马，python木马？

 

程序员：这是背顺口溜吗 ?

面试官：说不出来不要紧，说说非对称加密的工做过程和暴力破解的方法 ?

 

程序员：......

面试官：不知道？说一说Linux服务器的防御策略和安全基线。

面试官：这些都不知道，你写什么熟悉啊？

 

程序员：······

面试官：行了，如今已经两点了，天色不早，回家等通知吧！

 

程序员：我写的熟悉又不是精通，你是否是故意整我？

面试官：安全测试都不敢写精通，你敢要25K？

敢要25K!？敢要25K...25K...25K...kkkkkkkk

 

你知道你和高薪的距离在哪里吗？​
 

Linux知识，防护策略，SQL注入，木马的编写，加密解密等都是安全入门必学知识。同时，仅仅了解一点SQL注入的知识远远没法知足成为一个高级安全测试工程师的标准。

要能熟练地利用工具进行漏洞挖掘，充分了解渗透测试流程，掌握安全测试领域方面各类知识，知其然知其因此然，只有这样，在面试的时候，才能游刃有余，测试路上还得不断学习啊！