月薪9k小厂程序员工作三年，利用闲暇时间终于拿下自己向往已久的字节offer，薪水不能透露（25k以上）

前言

6年前，BAT冲到了风口浪尖，美国上市的阿里成为中国体量最大的互联网公司，腾讯借助微信成为移动互联网的霸主，外企开始撤离中国，国企的光环也慢慢褪去。

到了近年，应届毕业生心中最炙手可热的公司换成了TMD及各路独角兽公司，这些公司代表着科技最前沿，能够许诺高薪和美好前景。

字节最让我中意的不是薪资，也不是免费三餐下午茶，也不是免费无限量供应的零食和现磨咖啡，也不是优越的办公环境，也不是价值两万块钱的苹果电脑，也不是价值小一万的人体工学椅字节最让我中意的是每周五的狼人杀活动，和一群聪明人一起打狼人杀真的很快乐

面试经历

一面

面试官上来就说我就问二进制，然后先问了如何写shellcode的reverse shell，reverse shell中有哪些组成，接下来问了一点Buffer Overflow，问了用户态和内核态，问了之间的区别和转换方法。之后问了简历里的Mempodipper，然后问了Race Condition，Dirty Cow等。过程中用Python写了一个Socket编程。感觉大部分是按照简历中的内容来的，大家在准备面试的时候一定要把简历好好弄透。我当时由于shellcode都是直接msfvenom生成的，所以第一个问题就卡壳了，但是很幸运进入了二面。

二面

主要问题集中在Web方面，问了no sql注入（这个也是简历上写的，Mongodb），是否是基于拼接，然后问了一下Redis的攻击方法（这个不是很会，没有实际操作过）。接下来问了XSS，shellshock漏洞，这些也是简历上有的，其中shellshock子进程使用parsing出现的问题没有回答好。然后问了简单的SSL连接过程。最后问了一个加入你拥有了内网机器的权限，你如何扩大攻击，开放性题目吧，看个人经历感觉，做的越多答的越好。

三面

三面明显和之前不同，面试官人很好，一直在强调这一面不问太多基础，主要是要看你的实际能力。一上来就问我你觉得你自己什么方面比较强，他就打算问什么方面（气场拉满！）。

其实这一轮我也挺没底的，感觉之前都是对以前的一些漏洞看的比较多，实操比较多，但是最新的漏洞，攻击方向了解的比较少，以后还是要多了解一些新的，现在工业界正在面临的攻击。

三面主要问题问了sql注入，先问了一下平时的经验，在注入的时候有什么要注意的地方，然后问如何使用mysql进行文件的读写，有什么前提要求。

然后面试官给定一个条件是比如你输入中的逗号，这个逗号在最后解码之后会被删除，问是否有方法绕过。我主要想的是使用二次注入，一次先把逗号放入数据库中，第二次希望直接从数据库里提取使用，绕过验证。（不知道这个方法对不对，评论如果有大神请教教孩子吧！）然后问了一下对mXSS的了解，在面试官的一些提示下稍微讲了一下原理，但是确实不是我熟悉的方向。总之，三面更多的是一个实际应用的过程吧，不会说多么的基础，但是一定是建立在良好的基础之上的。

会问一些相对比较新的攻击手段，攻击思路。我认为对于安全方面来说，永远要记住紧跟潮流，在了解的同时，最新的漏洞也要会实操，还是要多下功夫啊。

学习经验及思路总结

（一）调整自己的心态，正确面对得失

面试中常见的问题，主要是心态，面试调整心态是第一位的，如何调整成最佳心态呢？很多求职者在面试过程中自己思路不清晰，语言不流畅，说话毫无逻辑，会不断否定自己，归根结底都是面试心态问题，所以调整自己的心态，正确面对得失是非常重要的，我的方法是给自己足够的心理暗示。

（二）提升技术，扩宽知识

对于程序员来说，要想成长为一名行业内的大牛大神级别的人物，那么唯一的办法就是通过学习，来不断提升自己的技术，扩宽知识，达到一定的高度和深度。那么如何提升自己的技术，扩宽自己的知识储备呢？

最后为方便大家学习测试，特意给大家准备了一份13G的超实用干货学习资源，涉及的内容非常全面。

包括，软件学习路线图，50多天的上课视频、16个突击实战项目，80余个软件测试用软件，37份测试文档，70个软件测试相关问题，40篇测试经验级文章，上千份测试真题分享，还有2021软件测试面试宝典，还有软件测试求职的各类精选简历，希望对大家有所帮助……

关注我公众号：【程序员二黑】即可获取这份资料了！

如果你不想再体验一次自学时找不到资料，没人解答问题，坚持几天便放弃的感受的话，可以加入我们的群：785128166 大家一起讨论交流，里面也有各种软件测试资料和技术交流。