我在某网络安全公司做了 5 年 HR，同时兼任技术面试官。这 5 年里，我面试过 500+ 候选人，发过 80+ offer，也 pass 过 400+ 人。

今天我想说一些“内部真心话”。这些话，面试时我不会直接告诉你，但今天写出来，是希望帮你少走弯路。

以下 5 类候选人，我看到简历或面试时，基本会直接 pass。希望你对号入座，有则改之。

第 1 类：简历写“精通”，一问三不知

这是最常见的问题。很多候选人喜欢在技能栏写：

● 精通渗透测试

● 熟悉各类 Web 漏洞原理

● 熟练使用 Burp Suite、sqlmap 等工具

面试时，我问：“你说精通渗透测试，那讲讲你最近做的一个渗透项目？”

候选人：“呃……就是按流程扫一遍，然后写报告。”

❌ 问题在哪

“精通”是最高级别，意味着你在这个领域有深度理解和实战经验。但大多数写“精通”的人，只是上过几节网课、打过几个靶场。

✅ HR 建议

用“掌握/熟悉/了解”代替“精通”，并用案例证明：

✅ “独立完成 XX 系统渗透测试，发现 SQL 注入、越权等 5 个高危漏洞”

✅ “在 XX SRC 提交有效漏洞 12 个，获得 500 积分”

核心逻辑：用案例代替形容词，用数据代替模糊描述。

第 2 类：项目经历全是“参与”，说不清自己负责什么

简历上写：

● 参与 XX 系统安全建设

● 参与公司渗透测试工作

● 参与安全工具开发

我问：“你说的‘参与’，具体负责哪部分？”

候选人：“就是……跟着团队一起做。”

❌ 问题在哪

“参与”是一个模糊词，可能意味着：

• 你只是旁听会议，没有实际贡献
• 你做了边缘工作，不敢写具体
• 你确实做了核心工作，但不会表达

无论哪种，都说明你缺乏清晰的项目复盘能力。

✅ HR 建议（STAR 法则）

用 STAR 法则重写项目经历：

S（情境）

XX 系统上线前，需要进行安全评估

T（任务）

我负责 Web 层渗透测试，目标是发现高危漏洞

A（行动）

使用 Burp Suite 进行手工测试，结合 sqlmap 自动化扫描，发现 3 个 SQL 注入点和 2 个越权漏洞

R（结果）

推动开发团队修复，系统按期上线，获得团队表彰

这样写，HR 和技术面试官一眼就能看出你的价值。

第 3 类：技术回答背概念，没有实战案例

我问：“说说 SQL 注入的原理和防御。”

候选人开始背诵：“SQL 注入是……攻击者通过……OWASP Top 10……预编译……”

听起来都对，但我追问：“你实际项目中遇到过吗？怎么发现的？”

候选人：“呃……靶场里做过。”

❌ 问题在哪

安全岗位需要的是能实战的人，不是会背书的人。背概念只能证明你“知道”，不能证明你“会用”。

✅ HR 建议

回答技术问题的“三步法”：

1. 先给结论：“SQL 注入本质是用户输入未过滤，直接拼接到 SQL 语句中”
2. 再举案例：“我在 XX 项目中遇到过……”
3. 最后延伸：“后来我总结了 3 种检测方法……”

有案例的回答，比背书强 10 倍。

第 4 类：作品/证书一堆，但没有一个能深入讲解

有些候选人很用心，简历附了：

● 5 个证书：CISP、CISA、Security+...

● 3 个 GitHub 项目链接

● 10 篇技术博客

我问：“选一个你最满意的项目，讲讲技术细节？”

候选人支支吾吾，说不清楚架构设计、技术选型、遇到的坑。

❌ 问题在哪

堆砌数量不如精选质量。面试官不关心你有多少证书，关心的是：

1. 你是否真的理解自己做过的东西
2. 你是否有深入思考和技术沉淀
3. 你是否有持续学习和输出的习惯

✅ HR 建议

精选 2-3 个最有代表性的作品，每个附一句话说明：

✅ “XX 漏洞扫描工具（GitHub 200 star）：用 Python 编写，支持 SQL 注入、XSS 等 5 种漏洞检测”

✅ “技术博客（累计 10 万字）：专注 Web 安全，单篇最高阅读 5000+”

记住：一个能深入讲解的项目，胜过 10 个浅尝辄止的证书。

第 5 类：谈薪要么不敢说，要么漫天要价

我问：“你的期望薪资是多少？”

候选人 A：“呃……按公司规定就好。”（显得没自信）

候选人 B：“我要 30K。”（但没有给出依据）

❌ 问题在哪

不敢谈薪，说明你对自己的价值没信心；漫天要价，说明你对市场没认知。

✅ HR 建议

正确谈薪方式：

1. 基于市场数据：“我了解到这个岗位在 XX 城市平均薪资是 15-25K”
2. 基于个人价值：“我有 3 年渗透测试经验，能独立负责项目，期望薪资是 20-25K”
3. 留有余地：“当然，我更看重发展机会，薪资可以谈”

谈薪不是“要钱”，而是“证明你的价值配得上这个钱”。

HR 真心建议：不同阶段怎么准备

0 经验新人

• 重点：靶场经历、SRC、技术博客
• 避坑：不要假装有经验，诚实说“我在学习”

1-3 年经验

• 重点：项目案例、解决问题的能力
• 避坑：不要只说“参与”，要说“负责”

3-5 年经验

• 重点：技术深度、带人经验、架构理解
• 避坑：不要还在拼执行，要展示思考

互动环节

你觉得哪个坑最难避？

A) 简历不会写  B) 技术面紧张  C) 不知道怎么谈薪

推荐阅读

1. 安全岗位面试，这 3 个问题答不上来基本没戏
2. 网络安全入门学习路线，看这一篇就够了（2026 最新版）
3. 2026 网络安全行业人才缺口、薪资水平深度解析

—— 安全指北针 · 专注网络安全技术分享 ——