4月,换
2019-05-19
今天是2019年5月12日。11年前在读初三,2018年的5月12日,感受到了四川汶川的震动。去年的5月12,参加JH一个姊妹的婚礼。回头看看,时间很快,从老家的小县城,到旁边的另一个小城读高中,来沈阳读大学。到北京实习,毕业后在那里工作了两年。去年的现在,在北京在思考着去上海,工作,爱情,以及以后的生活。现在回头看看,去年的抉择在今天有了新的果实。万事互相效力,很感恩的。
游泳
一次
20190512
电影
二部
- 断背山
- 调音师
跑步
一次
20190402 4.57km
这次先聊聊工作。因为在RS客户那里驻场了几个月,项目也快结束了。可能会签订二期,不知道会不会派新人过来。一直看机会,总想着去甲方,换一个角度,怎么自己去做安全。看了上海的互联网机会不是很多,正好一家公司在住的附近,且新建的安全部门在招人。抱着试试的态度去面试了,聊得还行。基本上能达到他们的要求,接下来谈了薪资。base没有达到自己的要求,总包可能会满意一些。
3月下旬开始走流程,最后几天催来催去的,终于在要入职的前一天把流程办完。在Topsec有三年的时间,从实习到转正。2016/2/26-2018/6/1,这一段时间是在北京任职,然后转岗到上海,2018/6/7-2019/4/2。在这里三年的时间里,也是初入职场的前三年,很多的时候都是很焦虑。总想做出一些牛逼的事情,让自己很厉害。好高骛远,动手能力薄弱,做的太少看到太多。总感觉是成长的很慢,一种焦虑在困扰着自己。现在回头看看,成长是需要脚踏实地,一步步的来走的,慢慢的积累,多多的去做,静静的思考。
2019年4月3号来喜马入职,来到了心心念的甲方。首先要做的是什么?把众测的漏洞复现一遍,看看有哪些没有修复,提交到内部的SOC上面,和对应的业务线负责人联系。把漏洞的发现,分配、修复、复测这一个流程打通了。这里面有一个问题,一个域名可能包含多个业务线,要多去沟通交流。这里面怎么去交流,需要多去思考,因为”安全漏洞“有时候会是个麻烦,如何让开发的同学欣然的接受,乐意的来修复。
看到众测里面的很多漏洞,又在思考。里面的fastjson,注入、越权等高危漏洞,为什么自己没有挖出来呢?这次众测是国内顶尖的高手来做的,从报告中就可以看到其内功之深厚。总是从代码层面来挖掘漏洞,比如登陆接口是怎么写的,去分析APK源码,看看代码是怎么写的。还有对Nday漏洞的熟悉利用,这个需要自己平时的收集,关注重大漏洞,并去复现收集exp。
这一个月做的事情。把已有漏洞的复现,协助开发修复。自研的WAF规则的优化,学习Nginx+Lua,怎么去编写一个WAF引擎,其中原理。员工安全意识的提高,首先去收集整理一些试题,测试一下对安全的认识。