我在Doyensec的实习经历

2022年8月24日 - 作者：Robert Dick

在2022年夏季，我作为实习生在Doyensec工作。本文将描述我在Doyensec的经历，以便其他潜在实习生能够判断是否适合申请。

招聘流程

招聘流程从一次非技术性电话沟通开始，进行自我介绍和信息交流。在双方确认匹配后，我们安排了一场技术挑战，我有两个小时时间完成答题。我很享受这个挑战过程，觉得非常有价值。

通过技术挑战后，我分别与Tony和John进行了两轮技术面试。在Web安全问题上我表现出色，但在一些不熟悉的应用安全领域（如移动端、桌面端等）存在知识盲区。由于Doyensec的业务涵盖非Web应用评估，这些提问非常合理。

最终电话面试后，我通过邮件收到了录用通知。

工作内容

作为实习生，我的时间主要分配在内部培训演示、安全研究和安全评估三个方面。

制作培训演示让我深入学习了Semgrep这个开源静态代码分析工具的高级功能，这些知识无论是否留在Doyensec都对我未来很有帮助。我利用研究时间学习相关知识并完成演示。Doyensec经常举办交叉培训，团队成员会展示新工具、新技术或在项目中发现的"最佳漏洞"。

进行研究工作让我深入了解了Electron及其Web API权限实现机制。不必担心自己没有现成的研究课题——公司已经准备了多个可选课题，如果不确定研究方向还可以寻求帮助。我的研究课题最初就是别人的想法。

实习中最喜欢的部分是参与安全评估。在额外指导下，我能够像正式顾问一样工作。我学习了许多不同Web框架和编程语言的知识，接触了真实企业使用的技术并审查了实际源代码。例如，在实习前我对Go语言应用的经验有限，但现在已能熟练测试Go Web应用。我还获得了移动应用安全测试的经验。除了学习之外，我还能为企业提供可操作的安全发现，帮助降低风险。我发现了各种严重等级的漏洞，并撰写了包含修复建议的报告。

你是否适合成为实习生？

我在寻找实习机会时，最看重的是学习机会。由于实习是临时性的，其他因素都是次要的。如果你真正热爱应用安全并希望深入学习，这个实习是绝佳机会。Doyensec的团队成员在各个应用安全领域都知识渊博，并且乐于与实习生分享知识。

尽管我的重点是学习，但远程工作和灵活工作时间也是很大优势。有些日子我喜欢在下午2-3点结束工作，晚上再继续。我认为这种条件对任何人都有吸引力，不仅仅是实习生。

关于资质要求，Doyensec表示理想候选人应：

• 具备手动代码审计和Burp Suite/OWASP ZAP使用经验
• 学习能力强
• 能够用英语撰写报告
• 自我组织能力强
• 能够从错误中学习
• 有工作/学习动力并主动积极
• 必须具备沟通能力（否则难以有效指导）
• 能带来独特价值（如创造力、学术知识等）

我在实习前的经验主要来自漏洞赏金计划和CTF比赛。对于零经验的大学生来说机会不多，因此在实习前我花了近两年时间兼职进行漏洞挖掘。我还持有OSWE认证以证明代码审计能力，但这绝对不是必需条件（公司会另行测试）。仅仅积极参与专注于Web安全和代码审计的CTF可能就足够。如果不常参加CTF，也可以通过其他方式学习Web安全知识。

最终感想

我很享受在Doyensec的实习经历。学习与责任之间的良好平衡让我为在Doyensec或其他地方从事应用安全工作做好了准备。

如果你对这个职位感兴趣并认为自己适合，请通过我们的招聘页面申请：https://www.careers-page.com/doyensec-llc。我们正在接收2022年秋季实习项目的候选人。