面试流程与注意项
面试前准备
- 提前约好面试时间和方式(电话/视频/现场)
- 对岗位要求和职责有清晰认识
- 阅读候选人简历,了解之前的面试评价
- 明确本轮面试的主要考察点
- 整理对候选人的疑惑和感兴趣的方向
- 预留足够时间,调整好状态
面试流程
第一步:自我介绍
让候选人介绍个人情况、做过的项目和技能,观察谈吐、思维逻辑是否有条理,沟通是否顺畅,性格类型是否合适。
第二步:围绕项目深入提问
以候选人做过的真实项目为主线进行细节提问,考察项目真实性、在项目中的角色和分工、对项目的理解程度和深度思考。不要一上来就查户口式地罗列问题,从他讲到的项目信息切入,把想问的问题融入进去。
第三步:技术细节考察
根据岗位从面试题库中选取题目,围绕漏洞原理、利用方式、修复方案、应急思路等方向深入提问。遇到不清楚的地方继续追问,而不是跳过。
第四步:综合素质考察
- 遇到解决不了的问题怎么做(考察学习和动手解决能力)
- CTF、技术博客、开源项目、常浏览网站、业余时间干嘛(综合体现技术热度)
- 自认为比身边人的优势和不足(挖掘亮点,考察自我认知)
- 最有成就感的事情(考察价值观)
- 未来职业规划(是否有长远思考,与岗位匹配度)
第五步:候选人提问
留时间让候选人提问,了解他所关心的内容,也体现他对岗位的兴趣程度。
面试注意项
- 准时参与,有事情应提前电话沟通
- 把握好节奏:及时阻止话多的,多留停顿给话少的
- 不问/不透露公司敏感信息
- 即使只聊一分钟就觉得不合适,也不应立即结束——面试应不少于 20 分钟,通常控制在 1 小时以内
- 及时反馈面试信息:层级评估、录用意见、不足之处、待下轮考察的内容
多轮面试的分工
每轮面试考察的重点不同,要了解之前几面的评价再决定本轮重点。
从前到后依次考察:知识和经验 → 能力 → 意愿和动机 → 个性特质 → 价值观。安全技术负责人需要亲自至少把关一轮技术面,安全圈的东西行业内的人谁都能聊一点,只有深入问细节才能判断真实水平。
笔试
面试题目容易传播,做过准备的候选人即使被问到深处也可能应付,笔试能更好地看出动手能力。应尽量出无法提前预知、无法直接搜索答案的专属题目,侧重开发、调试、数据操作等实际动手能力。
- 渗透测试方向:给定漏洞靶场,在规定时间内找出最多漏洞;给定匿名访问 Redis,GET SHELL;给定项目场景进行安全评估
- 软件开发方向:读取文件第 100-200 行并发送到指定 API(重点考察对异常情况的考虑);以最快方式获取百万子域名响应内容并找出真实存在的子域名
- 数据结构方向:给定数组,找出所有和为某值的二元组;将 list 结构转换为树状结构(测试编程思维和时间/空间复杂度意识)