5
Interview Fragen zu Penetration-Tester
Hallo Experten,
Ich gehe mal davon aus, dass im Linux Bereich die meisten Profis unterwegs sind.
Ich habe demnächst ein Interview zu einer eher juniorigen Penetration Tester Position.
Welche 5 Fragen würden euch einfallen um einen Bewerber zu befragen und wo würdet ihr
auch bei noch wenig vor-Erfahrung meinen jmd würde mit seinen Antworten gut punkten können?
(so banal sie auch sein mögen!) ;)
Bin für jeden Tip dankbar.
Bin mal gespannt was ich von diesem Forum hier noch lernen darf.
Ich gehe mal davon aus, dass im Linux Bereich die meisten Profis unterwegs sind.
Ich habe demnächst ein Interview zu einer eher juniorigen Penetration Tester Position.
Welche 5 Fragen würden euch einfallen um einen Bewerber zu befragen und wo würdet ihr
auch bei noch wenig vor-Erfahrung meinen jmd würde mit seinen Antworten gut punkten können?
(so banal sie auch sein mögen!) ;)
Bin für jeden Tip dankbar.
Bin mal gespannt was ich von diesem Forum hier noch lernen darf.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2028960450
Url: https://administrator.de/contentid/2028960450
Printed on: April 23, 2024 at 17:04 o'clock
5 Comments
Latest comment
Hi,
das lässt sich nicht verallgemeinern, weil entscheidend fachliche Fragen sind. Sinnvolle fachliche Fragen ergeben sich immer konkret aus deinem Lebenslauf oder der Stellenbeschreibung.
Da für eine Position als Junior Penetration Tester ein Arbeitgeber im gegenwärtigen Marktumfeld nur geringste Anforderungen stellen kann, würde der Fokus auf dem Abtasten der von dir angegebenen Kenntnisse liegen.
Hier mangelt es leider oft an gesundem Menschenverstand, sowohl bei der Gestaltung des Lebenslaufes als auch bei der Gesprächsführung: Wenn eine Kenntnis bzw. Fähigkeit im Lebenslauf oder auch im Dialog angepriesen wird, ist mit Fragen aus dem Bereich zu rechnen. Eine Kenntnis ist ein gegenwärtig vorliegender subjektiver Tatbestand und nicht die Tatsache, dass etwas im Curriculum des besuchten Studiengangs oder der erworbenen Zertifizierung genannt war. Als Kenntnis gilt deshalb insbesondere all jenes ausgegeben, was separat gelistet und keiner Station im Lebenslauf zugeordnet wurde (Risiko "Skill Matrix").
Mangels Überlappung der Fachkenntnisse sind die Fragen meist von jemandem gestellt, der selbst seine Kenntnis in dem Bereich nicht in seinen Lebenslauf aufnehmen würde. Umso problematischer ist es, wenn sich mit solchen, gewissermaßen aus der fachlichen Allgemeinbildung des Fragestellers und der vermeintlichen Expertise des Befragten gegriffenen Themen kein Gesprächsfluss herstellen lässt.
Grüße
Richard
das lässt sich nicht verallgemeinern, weil entscheidend fachliche Fragen sind. Sinnvolle fachliche Fragen ergeben sich immer konkret aus deinem Lebenslauf oder der Stellenbeschreibung.
Da für eine Position als Junior Penetration Tester ein Arbeitgeber im gegenwärtigen Marktumfeld nur geringste Anforderungen stellen kann, würde der Fokus auf dem Abtasten der von dir angegebenen Kenntnisse liegen.
Hier mangelt es leider oft an gesundem Menschenverstand, sowohl bei der Gestaltung des Lebenslaufes als auch bei der Gesprächsführung: Wenn eine Kenntnis bzw. Fähigkeit im Lebenslauf oder auch im Dialog angepriesen wird, ist mit Fragen aus dem Bereich zu rechnen. Eine Kenntnis ist ein gegenwärtig vorliegender subjektiver Tatbestand und nicht die Tatsache, dass etwas im Curriculum des besuchten Studiengangs oder der erworbenen Zertifizierung genannt war. Als Kenntnis gilt deshalb insbesondere all jenes ausgegeben, was separat gelistet und keiner Station im Lebenslauf zugeordnet wurde (Risiko "Skill Matrix").
Mangels Überlappung der Fachkenntnisse sind die Fragen meist von jemandem gestellt, der selbst seine Kenntnis in dem Bereich nicht in seinen Lebenslauf aufnehmen würde. Umso problematischer ist es, wenn sich mit solchen, gewissermaßen aus der fachlichen Allgemeinbildung des Fragestellers und der vermeintlichen Expertise des Befragten gegriffenen Themen kein Gesprächsfluss herstellen lässt.
Grüße
Richard
Moin,
um auch mal ernsthaft dazu was zu sagen:
Du bewirbst Dich auf eine Stelle als pentester. Da gibt es zwei Möglichkeiten:
Dann solltest Du Dir das gut überlegen. Da hilft Dir auch nichts, wenn wir Dir hier irgendwelche Hypothetischen fragen liefern. Selbst wenn wir Dir die Antworten liefern wirst Du ohne jegliche Erfahrung gleich am ersten Arbeitstag auf die Nase fallen.
Dann solltest Du selbst am besten wissen, was beim Pentesting wichtig ist und mit welchen Tools Du gearbeitet hast. Die Fragen hier im Forum die als Beispiel kommen könnten, können Dich auf die Fragen des Personalers oder der Fachkraft gar nciht vorbereiten, weil auch unsere Kristallkugeln nciht wissen welche Anforderugnen das Unternehmen an Dich stellt und wir auch nicht wissen, was Du überhaupt kannst.
Ganz Allgemein zu Deinem Hilfeschrei:
Wenn Du Dich auf eine Stelle bewirbst, solltest Du Dich eigentlich fragen, ob Du genug Ahnung von der Materie hast. Allein die Tatsache, daß Du Pentesting mit Linux allein assoziierstspricht schon Bände, daß Du da anscheinen noch nie etwas ernsthaftes in dieser Richtung gemacht hast. Pentesting ist nicht einfach sich irgendeine "Security-Distribution" herunterladen und die Tools da drauf nacheinander aufrufen, sondern das Wissen wann welche Tools einzusetzen sind. Man kann das alles genauso mit Windows macOS, Solaris, BSD etc. machen. Sogar eine Büroklammer kann ein geeignetes Pentesting-Tool sein.
Würde ich mich bewerben, würde ich vorher eine Analyse der "Einbruchsmöglichkeiten" in das Unternehmen sowohl elektronisch als auch physikalisch machen und das Reslutat gleich als ersten dem Personaler auf den Tisch legen.
Auch aufmerksames Beobachten des Unternehmens, bis man vom Betreten des Firmengeländes im Besprechungszimmer angekommen ist und alles was einem in Punkto Schwachstelle auffällt und das mitteilen an den personaler oder die Fachkraft verschafft Pluspunkte. Und es gibt in jedem Unternehmen Schwachpuntke! Und selbst wenn man keine gefunden hat, sollte man die Maßnahmen erkennen und darlegen können, die das Unternehmen ergriffen hat.
Wäre ich Personaler (oder derjenige der Deine Kenntnis zu beurteilen hat), würde ich Dir genau solche Fragen stellen. ich würde sogar extra "honeypots" auslegen, um zu schauen, ob Du die entdeckst.
lks
PS: Wenn Du in Deinem Lebenslauf irgendetwas angegeben hast, was Du in Richtung Pentesting gemacht hast, wird das vermutlich auch detailierter abgefragt, um zu prüfen, ob Du das auch wirklich gemacht hast.
PPS: Übertreibe das mit dem "vorab pentesten" nicht, weil der Grat zwischen einer Anzeige und vom Fleck weg eingestellt werden ist sehr sehr schmal.
um auch mal ernsthaft dazu was zu sagen:
Du bewirbst Dich auf eine Stelle als pentester. Da gibt es zwei Möglichkeiten:
- Du hast da keinerlei Erfahrung
Dann solltest Du Dir das gut überlegen. Da hilft Dir auch nichts, wenn wir Dir hier irgendwelche Hypothetischen fragen liefern. Selbst wenn wir Dir die Antworten liefern wirst Du ohne jegliche Erfahrung gleich am ersten Arbeitstag auf die Nase fallen.
- Du hast schon Pentests gemacht
Dann solltest Du selbst am besten wissen, was beim Pentesting wichtig ist und mit welchen Tools Du gearbeitet hast. Die Fragen hier im Forum die als Beispiel kommen könnten, können Dich auf die Fragen des Personalers oder der Fachkraft gar nciht vorbereiten, weil auch unsere Kristallkugeln nciht wissen welche Anforderugnen das Unternehmen an Dich stellt und wir auch nicht wissen, was Du überhaupt kannst.
Ganz Allgemein zu Deinem Hilfeschrei:
Wenn Du Dich auf eine Stelle bewirbst, solltest Du Dich eigentlich fragen, ob Du genug Ahnung von der Materie hast. Allein die Tatsache, daß Du Pentesting mit Linux allein assoziierstspricht schon Bände, daß Du da anscheinen noch nie etwas ernsthaftes in dieser Richtung gemacht hast. Pentesting ist nicht einfach sich irgendeine "Security-Distribution" herunterladen und die Tools da drauf nacheinander aufrufen, sondern das Wissen wann welche Tools einzusetzen sind. Man kann das alles genauso mit Windows macOS, Solaris, BSD etc. machen. Sogar eine Büroklammer kann ein geeignetes Pentesting-Tool sein.
Würde ich mich bewerben, würde ich vorher eine Analyse der "Einbruchsmöglichkeiten" in das Unternehmen sowohl elektronisch als auch physikalisch machen und das Reslutat gleich als ersten dem Personaler auf den Tisch legen.
Auch aufmerksames Beobachten des Unternehmens, bis man vom Betreten des Firmengeländes im Besprechungszimmer angekommen ist und alles was einem in Punkto Schwachstelle auffällt und das mitteilen an den personaler oder die Fachkraft verschafft Pluspunkte. Und es gibt in jedem Unternehmen Schwachpuntke! Und selbst wenn man keine gefunden hat, sollte man die Maßnahmen erkennen und darlegen können, die das Unternehmen ergriffen hat.Wäre ich Personaler (oder derjenige der Deine Kenntnis zu beurteilen hat), würde ich Dir genau solche Fragen stellen. ich würde sogar extra "honeypots" auslegen, um zu schauen, ob Du die entdeckst.
lks
PS: Wenn Du in Deinem Lebenslauf irgendetwas angegeben hast, was Du in Richtung Pentesting gemacht hast, wird das vermutlich auch detailierter abgefragt, um zu prüfen, ob Du das auch wirklich gemacht hast.
PPS: Übertreibe das mit dem "vorab pentesten" nicht, weil der Grat zwischen einer Anzeige und vom Fleck weg eingestellt werden ist sehr sehr schmal.
Absehen davon, dass Du hoffentlich nicht im schwarzen Latexkostüm vorsprichst (um mal an den Faden der Vor-Kommentatoren anzuschliessen)... 
))
Als Mensch, der auch auf der anderen Seite des Tisches bei Bewerbungsgesprächen sitzt, weiss ich, dass man eventuell technische Fragen stellen möchte, für deren Beantwortung die Bewerber Detailwissen des Unternehmens vorweisen müssen. Sehr erfahrene Techniker tendieren dazu, ihr (umfangreiches und breites) Wissen auf Frischlinge zu projizieren.
Bewerbungsgespräche eigenen sich nur dazu, um einen ersten Eindruck zu erhalten und eventuell die Stressresistenz von Bewerbern zu prüfen. Von vielen technischen Fragen, womöglich noch garniert mit "Honeypots", wie es jemand hier formulierte, halte ich gar nichts. Eventuell hat man einen Profi als Bewerber vor sich sitzen, der aber leider an Asperger leidet und dann entweder überhaupt nicht auf menschliche Interaktion reagiert oder anfängt zu schwitzen und kein Wort mehr rausbringt.
Firmen, die Bewerbungsgespräche als "Praxistests" missbrauchen, erhalten eigentlich nur die Erkenntnis, ob jemand bei der Präsentation seiner Arbeitsweise gut ist - nicht, ob die Arbeitsweise an sich taugt. Bei solchen Firmen würde ich nicht anfangen wollen zu arbeiten.
Deshalb mein Rat: wenn Du Ahnung hast von der Materie: auf was willst Du dich vorbereiten? Hab das Selbstvertrauen, dass Du die Ahnung hast und verstecke Dich nicht. Bescheuerte Fragen in Bewerbungsgesprächen sollte man mit "Könnten Sie das umformulieren? Ich hab das nicht verstanden." begegnen. Damit nimmt man den Personalern den Wind aus den Segeln, die die bescheuerten Fragen selber nicht formuliert haben und selber keine Ahnung haben.
Wenn Du wenig Ahnung hast, dann sag es. Sag, dass Du den Job als Chance begreifst, weiterzukommen und dabei der Firma ebenfalls hilfst. Außerdem bist Du preiswerter als die Vollprofis. Überleg Dir, wie lange Du vielleicht brauchen wirst, um den "Profi"-Status halbwegs zu erreichen. Das ist die Zeit, die das Unternehmen in dich investieren muss.
Und schau Dir auf keinen Fall irgendwelche Pseudo-Interviewfragen an mit technischen Blabla-Fragen, die am Ende nichts über Dich aussagen.
))Als Mensch, der auch auf der anderen Seite des Tisches bei Bewerbungsgesprächen sitzt, weiss ich, dass man eventuell technische Fragen stellen möchte, für deren Beantwortung die Bewerber Detailwissen des Unternehmens vorweisen müssen. Sehr erfahrene Techniker tendieren dazu, ihr (umfangreiches und breites) Wissen auf Frischlinge zu projizieren.
Bewerbungsgespräche eigenen sich nur dazu, um einen ersten Eindruck zu erhalten und eventuell die Stressresistenz von Bewerbern zu prüfen. Von vielen technischen Fragen, womöglich noch garniert mit "Honeypots", wie es jemand hier formulierte, halte ich gar nichts. Eventuell hat man einen Profi als Bewerber vor sich sitzen, der aber leider an Asperger leidet und dann entweder überhaupt nicht auf menschliche Interaktion reagiert oder anfängt zu schwitzen und kein Wort mehr rausbringt.
Firmen, die Bewerbungsgespräche als "Praxistests" missbrauchen, erhalten eigentlich nur die Erkenntnis, ob jemand bei der Präsentation seiner Arbeitsweise gut ist - nicht, ob die Arbeitsweise an sich taugt. Bei solchen Firmen würde ich nicht anfangen wollen zu arbeiten.
Deshalb mein Rat: wenn Du Ahnung hast von der Materie: auf was willst Du dich vorbereiten? Hab das Selbstvertrauen, dass Du die Ahnung hast und verstecke Dich nicht. Bescheuerte Fragen in Bewerbungsgesprächen sollte man mit "Könnten Sie das umformulieren? Ich hab das nicht verstanden." begegnen. Damit nimmt man den Personalern den Wind aus den Segeln, die die bescheuerten Fragen selber nicht formuliert haben und selber keine Ahnung haben.
Wenn Du wenig Ahnung hast, dann sag es. Sag, dass Du den Job als Chance begreifst, weiterzukommen und dabei der Firma ebenfalls hilfst. Außerdem bist Du preiswerter als die Vollprofis. Überleg Dir, wie lange Du vielleicht brauchen wirst, um den "Profi"-Status halbwegs zu erreichen. Das ist die Zeit, die das Unternehmen in dich investieren muss.
Und schau Dir auf keinen Fall irgendwelche Pseudo-Interviewfragen an mit technischen Blabla-Fragen, die am Ende nichts über Dich aussagen.
1
Uh, da hat ja ein Moderator dieses Forums ganz viel Arbeit geleistet und diesen Thread grundlegend aufgeräumt.
Alle Achtung! ;)
Also da ich meinen ersten Post nicht mehr editieren kann wollte ich noch folgendes Hinzufügen:
Der Ziel dieses Beitrages war es auch echten Erfahrungen von echten Experten aus dieser Branche lernen zu können. Also es wären eher Fragen hilfreich die bei einer Junior Position auf das Fach und Basiswissen abzielen. Alles andere was die Persönlichkeit angeht, was eher abstrakt oder sehr global ist, brauch ich nicht! Also wirklich nur sehr konkrete Fragen und Antworten zu diesem Job.
Vielleicht traut sich ja doch noch ein echter Pen-Tester hier zu antworten. Würd mich auf jeden Fall freuen.
LG
Alle Achtung! ;)
Also da ich meinen ersten Post nicht mehr editieren kann wollte ich noch folgendes Hinzufügen:
Der Ziel dieses Beitrages war es auch echten Erfahrungen von echten Experten aus dieser Branche lernen zu können. Also es wären eher Fragen hilfreich die bei einer Junior Position auf das Fach und Basiswissen abzielen. Alles andere was die Persönlichkeit angeht, was eher abstrakt oder sehr global ist, brauch ich nicht! Also wirklich nur sehr konkrete Fragen und Antworten zu diesem Job.
Vielleicht traut sich ja doch noch ein echter Pen-Tester hier zu antworten. Würd mich auf jeden Fall freuen.
LG
Zitat von @Shepherd81:
Alles andere was die Persönlichkeit angeht, was eher abstrakt oder sehr global ist, brauch ich nicht!
Alles andere was die Persönlichkeit angeht, was eher abstrakt oder sehr global ist, brauch ich nicht!
Also du hast den Job schon?
