这是一个创建于 3262 天前的主题,其中的信息可能已经有所发展或是发生改变。
9 月中旬离职了,到现在都还没找到工作 离职期间也都在投简历,但是面试邀请收到的很少 大部分工作要求 2-3 年的工作经验,但是我只有 1 年的工作经验 自我感觉除了项目经验略低,其他的技能点都还不错 比如代码质量啊,思维逻辑什么的(和之前公司里面的程序员比较起来说)
当然也是有收到一些公司的面试邀请 但是最终都没能面试上 发现自己嘴巴不是特别会说,如果面试官问一些技术上的问题还好 但是问道类似人生规划,梦想,以后准备...这类的我就会懵逼
上周也去了一家公司面试,面试期间感觉还行 期间讲过自己会一点网络安全和渗透方面的技能 但因为那个面试是当天就约到后去的 时间匆忙,没有对他们公司进行一些安全检测
面试完后,回到家就对面试的公司官网进行了一些简单的检测 发现了几个重大的漏洞吧
- 任意账户密码修改漏洞
- 任意文件上传漏洞
第二个漏洞直接就把公司官网的服务器也拿下了
第二天就给面试的公司打电话,最后联系到了昨天的面试官 然后是通过 QQ 的远程桌面给面试官演示了我上面发现的两个漏洞 当时我感觉面试官应该会满脸惊讶;) 但是面试官说给我看这个漏洞干嘛......
妈蛋,今天我又去那个公司官网看了下 居然还没修复我说的漏洞 而且我测试的时候上传的木马都没有删(免责声明:本人只是检测漏洞,并未通过漏洞进一步获取网站内容进行任何牟利行为)
哎,话说这家公司面试的时候 聊得还可以啊,而且我都把他们网站发现了几个高危漏洞 这也不要我...
不算其他的,如果这类网站去白帽众测的话 拿到服务器的漏洞,应该可以拿接近 5k 了吧...
这都快两月了,还好中间接了点爬虫单子 勉强维持生活
所以我想问问各位前辈 像我这种工作经验略低的程序员怎么才能找到工作?
个人博客:( http://www.wd0g.com) 邮箱:[email protected](0 是数字哦)
如果有成都的大大要招 php 的,可以联系邮箱哦 感谢!
第 1 条附言 2016-11-05 13:22:18 +08:00
文中所讲到的安全部分并不是用来炫耀的,而且也没什么值得炫耀的地方
第 2 条附言 2016-11-05 13:23:00 +08:00
我博客用的证书就是沃痛的...我也对 linux 不是很熟悉
第 3 条附言 2016-11-05 13:37:08 +08:00
各位大大说的我也不好意思了...
宝宝会努力的;)
宝宝会努力的;)
第 4 条附言 2016-11-06 18:30:34 +08:00
证书已经去掉沃痛的了...
 | 1 cxbig 2016-11-05 00:29:44 +08:00 你干嘛要跟不识货的公司死磕。。。 |
| 3 cxbig 2016-11-05 00:43:32 +08:00 @WWd0g 先别怀疑自己的能力,你只是没找对平台。你有没有试过远程 Freelancer 模式?英语沟通能力如何?可以试试国外的自由职业者平台。 |
 | 5 ranwu 2016-11-05 00:45:39 +08:00 熟人 |
 | 6 WWd0g OP @cxbig 这个就是文中讲到的任意文件上传漏洞 https://www.wd0g.com/?p=138 |
 | 7 tinyproxy 2016-11-05 00:46:05 +08:00 之前乌云那事应该还有人记得吧,你这算不算人赃并获。 祝找到合适的工作。 |
 | 12 run2 2016-11-05 00:52:19 +08:00 lz 可以先检查下 blog 里的文章, https://www.wd0g.com/?p=108 你干嘛要用别人的脚本安,还是 777 权限给目录 你 blog 里也提 非最小权限的危害,但自己还是没有最佳实践 |
 | 13 misaka19000 2016-11-05 01:03:07 +08:00 via iPad 我只要上传的文件不位于服务器下能彻底杜绝这种漏洞吗?使用单独的静态资源服务器来保存上传的文件。 |
| 14 cxbig 2016-11-05 01:45:18 +08:00 @misaka19000 LZ 说的这种漏洞太低级了,随便一个框架都有机制杜绝这种事情。 上传文件都能搞定,只能说他提及的这个公司太差了。 哪怕不用框架,做一个后缀检查或者 mime_type 就能搞定。 |
| 15 run2 2016-11-05 01:48:46 +08:00 via iPhone @misaka19000 单独静态是可以(如果不会被 copy 或者读取的情况下 比如你想读了然后缩放万一有漏洞还是不能完全保证 oss 可以 检查 mime 然后目录没有运行权限也能防止一些 to lz 我还见过 CHRO 教底下的 hr 的面试题什么是主键 什么是外键的奇葩呢 (奇葩的是他们的程序 数据库 mysql 里完全看不到外键) 你也许可以关注一下运维安全方面的工作 |
 | 19 franklinyu 2016-11-05 08:10:58 +08:00 @sobigfish {{12L}}: 那篇博客,我充一下: 1. <code>chmod -R 777 /server</code> 行面 <code>/server</code> 改成 <code>./server</code> 否改的是根目下的 <code>server</code>。 2. HTTPS 是自己的吧…… 不如有 TLS 呢。 |
 | 20 zachlhb 2016-11-05 08:20:32 +08:00 via Android 同是 PHP 没找到,感觉现在随便一个公司都要求高,一个几人的公司,要千万级 pv 开发经验,去,也不想想自己能不能达到,现在有点不想找了,自己做项目不是更好,干嘛非要去看那些臭老板的逼脸 |
 | 21 dennyzhang 2016-11-05 08:30:44 +08:00 |
 | 22 imcxy 2016-11-05 08:36:05 +08:00 现在的网站技术已经很多年了。该占位的公司都占了,该垄断的垄断了,每年几百万毕业生。。。不是你不够好,而是挑选余地太多了,走移动端吧。机会更多点~ |
 | 23 GG668v26Fd55CP5W 2016-11-05 09:54:36 +08:00 via iPhone 这个漏洞太 low 了,这样的公司不去也罢 |
 | 24 abcbuzhiming 2016-11-05 10:13:50 +08:00 楼主,下次别这么干,人家不理你是轻,人家要是报警了你就掉的大 |
 | 25 jellybool 2016-11-05 10:35:16 +08:00 |
 | 26 Sunyanzi 2016-11-05 11:20:41 +08:00 通篇都是在抱怨这个世界不识货自己这么牛逼找不到工作 ... 所以你开的多少月薪说来听听 ..? 还有 ... 职业方向呢 ..? 口口声声说要做 PHP 却一直在讲自己的安全实力 ... 所以你还要不要开发 ..? 至于标题的问题 ... 或者你独行于世 ... 或者在你觉得别人都傻逼的时候先停下来看看自己 ... P.S. 不用沃通的证书难道还没有成为一个常识吗 ... |
| 27 WWd0g OP @jellybool 这是微博 sdk 里面写的代码,我直接 copy 的当时只是测试下,没太注重质量 |
 | 29 helihuo 2016-11-05 12:27:00 +08:00 沃通证书。。。。我这里直接拦截了 |
 | 30 q397064399 2016-11-05 12:34:34 +08:00  2 @WWd0g web 狗那点东西 说实话,拿出来炫 真搞安全的笑掉大牙了,搞开发的不是不注重安全,而是国内大环境就是 中小公司根本不注重这些玩意,你哪怕是把人家整个内网服务器全拿下了,人家技术主管也不会鸟你,真的触及到对方利益的话 直接就报警了,上次某云那位仁兄, 32 岁的大叔了 居然还想搞个大新闻,结果呢?把自己送进去不说,还害了家里的父母亲 上传漏洞这玩意,其实很多年前就有了(最早有 fckeditor 以及很多著名的在线编辑器 asp 有动力论坛之流), 最保险的办法 就是文件全保存为 二进制 不留后缀,将后缀名写进数据库,在返回的时候 通过 IO 写进 http 输出流 |
 | 31 elvba 2016-11-05 13:13:34 +08:00 @WWd0g 做开发和搞安全是两个不同的方向啊,做事的时候这俩的思路都不一样…… 别人招你是去做开发,以及说公司规模稍微大点,有安全要求的项目,上线的时候都有专门的安全部门做安全测试 |
| 32 Sunyanzi 2016-11-05 13:16:26 +08:00 @WWd0g 并不矛盾但是要分清主次 ... 掌握安全技能自然是极好的 ... 但首先你开发实力要过硬 ... 以及一年经验 5k 这价格并不过分 ... 成都居然惨成这样了我也是没想到 ... 所以现在的建议 ... 在简历里写几个自己之前独立完成的项目 ... 然后勤投投吧 ... |
| 33 WWd0g OP |
 | 35 q397064399 2016-11-05 13:40:52 +08:00 @WWd0g 不是炫耀安全,而是 现实是 安全根本就不是一回事 |
 | 37 fatesb 2016-11-05 14:07:35 +08:00 可以转渗透 |
 | 38 dsphper 2016-11-05 14:21:48 +08:00 这 tm 是什么公司,对技术根本就不重视好吧?随随便便黑盒就能找到这么明显的漏洞?我擦,这 tm 明显公司人就不 care 安全嘛!!! |
| 39 dsphper 2016-11-05 14:22:08 +08:00 千万别去!!! |
 | 41 dabpop139 2016-11-05 15:34:09 +08:00 via Android 不用太焦虑,总有一段时间是迷茫的过了就好了。 |
 | 42 zz 2016-11-05 15:54:07 +08:00 via Android 只能降薪了 |
 | 43 7jmS8834H50s975y 2016-11-05 15:56:04 +08:00 @WWd0g 在看你的博客,我感觉最好加一个 你自己的介绍,如果有 github 最好,也方便别人了解你的特长。 |
 | 46 lan894734188 2016-11-05 16:47:59 +08:00 via Android 广州一样 很多出 1k 的 都不让人活了 |
 | 48 exalex 2016-11-05 17:59:22 +08:00 @lan894734188 出 1k 是什么鬼。。。 |
 | 49 bramblex 2016-11-05 18:00:59 +08:00 via Android 不错啊,挺有前途的啊。 问题不在炫不炫安全,而是光有这个意识就很不错了。这跟安全无关,而是跟有没有想把东西做得更好的意识有关。 以前我面试 php 程序员的时候,面试了半个月才有一个能把一个 http 从请求到响应都干了啥说清楚的,心塞… |
 | 50 dko 2016-11-05 18:38:56 +08:00 两个漏洞不值 5K 。 |
| 51 lan894734188 2016-11-05 18:49:36 +08:00 via Android @exalex 50 块钱一天… |
 | 52 lianxiaoyi 2016-11-05 19:13:59 +08:00 via Android 官网而已!都是随便找的 cms 改改而已!只要没被拿去挂广告就行! |
 | 54 m2shad0w 2016-11-05 22:39:53 +08:00 可以来杭州。。 |
| 55 cxbig 2016-11-06 08:36:46 +08:00 via iPhone @lan894734188 广州哪家公司 PHP 开一千?搞笑呢吧?只会 MS Office 也不是这个价啊…… |
| 56 cxbig 2016-11-06 08:42:18 +08:00 via iPhone @dennyzhang 在国内的时候大部分时间都是 Freelancer 的状态,个人觉得这种工作方式更锻炼人。 |
| 57 dennyzhang 2016-11-06 11:42:56 +08:00 @cxbig 是锻炼人。但是工作才一两年,没有养成良好的工作习惯和思维模式。会走很多弯路吧。 |
 | 58 yoke123 2016-11-06 15:17:25 +08:00 厉害啊 我的哥 跑这上面来了 (滑稽) |
 | 59 huai 2016-11-07 10:33:51 +08:00 爆裂狗? |
 | 60 cultivator 2016-11-07 11:10:04 +08:00 虽然不是 PHPer ,但是翻了翻你的博客,感觉没什么亮点,对于一年的程序员,公司可能更看中的是你拥有一个扎实的基础。 |
 | 61 timestamp 2016-11-07 14:43:59 +08:00 没事学学写框架或者商城,有自己的东西比较好证明实力。祝楼猪早日找到满意的工作! |
 | 62 Jakesoft 2016-11-08 00:08:13 +08:00 所别字看着好难受,沃痛 -> 沃通 |
 | 63 ahkxhyl 2016-11-11 18:56:34 +08:00 我玩了 4-5 年入侵类的~~~~ 现在没玩这个也 4-5 年了~ |
| 64 ahkxhyl 2016-11-11 19:05:04 +08:00 burpsuite ? |
Select Language