这周我有半天在批阅阿里巴巴校招实习生卷子上。在技术领域里，安全工程师工作与开发工作有很大的区别。开发工作的主要目的是考核数据结构和算法相关，而安全工程师所要考核题目很多在书上并没有，需要依赖于应试者自己兴趣爱好实战与积极主动的课外学习才能获取。最终的结果与我理解的类似，100分的答卷，能拿到60分以上的人非常少。大部分人在20～30分左右，而这还是在开卷考试的情况下。

　　在阅卷过程中，我也发现一些特别优秀让人眼前一亮的考生，接下来将会进入面试阶段。仔细想来，目前会让大家眼前一亮的有以下特点：

在Wooyun或漏洞收集平台提交过安全漏洞。

目前国内比较出名且最早进行漏洞披露平台的就是乌云（wooyun）。后来各大厂商都推出了自己的漏洞收集平台如ASRC，TSRC。相比而言，乌云的漏洞通过门槛比较高（一般重点关注大规模数据泄露、入侵等），xss漏洞等的审核也比较慢。而各大公司自己的SRC则是都会收。在漏洞确认之后会给予漏洞发现者相应的奖励。

　　信息安全是一门偏实战的学科，依靠死记硬背是无法深刻理解安全攻防的。随便一问就问出来了。

写过安全扫描器，会一些脚本语言如python、php、ruby；能够分析java的漏洞。

在列出来的几项语言中，如果要选择安全工作最需要掌握的语言，那么就是python。python有很多现成的扫描库可以帮助进行黑盒扫描验证与白盒源代码分析。

　　在所有漏洞类型中，最容易入门的就是xss漏洞和csrf漏洞。但是随着黑产攻防的升级，现在对xss的利用是比较少了，相比而言越权和业务逻辑漏洞危害比较大。若有发现过其他有深度的利用和较巧妙的方法，会有大的帮助。

在安全会议或者社团内有过演讲与分享。

这一项与大多数文学小说中对黑客形象的塑造不同。文学小说里总让人觉得黑客角色的工作是神秘且有社交恐惧症。但是在中国这个社会上不管是攻击方还是防守方都是需要有一定影响力的，需要能够与别人交流合作达到目标。

6、有投稿过安全文章。

不管是翻译的优质文章还是原创，质量高就好。

7、维护自己的安全主题网站。

这一条要求比较高。但是安全工程师还是需要自己有一些编程和建站基础，这样知识体系将更全面。

8、做过创新的安全项目。

　　这一条要求比较高。但是如果是本科生而具备研究生的研究经历和成果，那样就非常棒。