just something i can want to do(work)

2018-06-28

三个月之前迷茫的前方逐渐有了清晰的方向。马上2018年要过去一半了，总想说好像昨天的元旦还在嘉兴游玩，好快。这半年都过去了，谈谈工作的事情，真是没有的进步。因为从元旦开始，就一直在投简历，面试，然后到过年回家，直到3月份来回公司上班。这几个月里面，一个是元旦，新年新气象，没有心思学点什么了，只是重复性的把工作做好，没有实质性的突破。堵破口，解决一些小问题。

过年后回京，开始考虑想换个城市，换份工作，从新出发。准备了又近三个月，终于达到了自己的心愿。现在工作也换了，来到了潮潮的江南。心思得多放在工作上了，如何快速提升自己的技能？为什么要提升自己的工作能力呢？一个是为了挣点钱，养活好自己，以后还得结婚生子养家糊口呢，还有房价这么高，需要好多钱。二是工作能力强了，努力做一个专家型的人才，做的事情会有成就感，好像做的工作能给让这个世界变得美好一些。

Just something i can turn to

做一些力所能及的事情。

想要出去看看更大的世界，一个是先有足够的银子，二是学好英语。

银子。工作挣得的钱将尽20%都要让国家保管着，剩下的交房租，吃喝花花就剩不多了。所以单靠着那点工资是不能养活好自己的，得发展第二职业或者挣一些外快。

创造的价值多了，自己的薪水自然也就上来了。毕竟薪水和创造的价值是匹配的。

需要提升的技术方向。

Web安全

既然做了两年Web安全，对其中的漏洞不能说是精通，但至少也得非常熟悉吧。能单独分析爆出来的漏洞吗？挖出多少个0Day，提交了多少个CVE。好像没有。

要做的是，对Web安全各个漏洞的深入理解，多去动手实现。想要更快的提升自己，需要从代码层面去分析漏洞，复现和分析之前的经典或者严重漏洞。

接下来要做的是。

1. 各个Web漏洞环境的编写，尝试写一个自己的靶机
2. 深入分析每一个Web上的漏洞，从细节底层分析。比如注入，不单单是加一个单引号，或者一些payload。要去分析一些绕过，不同数据库的属性。
3. 要思考，你已经从入门到初级了，现在马马虎虎也是个中级。这个中级还是你自封的。如何成为一个高级的安全工程师，怎么更好更快的解决问题。进步需要一朝一夕的积累，不可能说是我今天熬夜了，就会进步。技术是遇到的问题多了，踩过的坑多了，成功解决的问题多了，这才会一点点的积累。其中需要更多去总结和思考，做笔记等等。
4. 代码审计 把别人发出来的CMS漏洞都去复现了。复现不是简单的搭建个环境，测试一下。你要先去尝试自己能不能发出来这个漏洞，学习别人的思路。多去尝试，代码看不懂没问题，看得多了，敲的多了，自然而然地就懂了。POC以及EXP如何编写，漏洞复现之后，提交到Github上面的项目上，争取一周提交三个吧。
5. Java 想要进一些大型互联网公司，java需要学熟悉一些。不是说让你去做开发。因为Java的框架Struts2爆出了很多的严重漏洞，真可是遗臭万年。你得去一个个的分析其中的原理，打断点从代码层面分析。你会说不会，什么都是从不会到会的。别人为什么可以分析，你怎么能做不到呢？搭建环境，测试，漏洞分析，EXP的编写，工具的实现。这一套都要掌握的。

漏洞挖掘

现在工作换了一个方向，做渗透测试。这个是需要你有产出的，看看你挖出来了多少个漏洞，有时候别人能挖出来，为什么你就不能挖出来呢？漏洞本来是存在的。差距在哪里，该如何去追赶？

1. 认真的对待每一次的测试，多去尝试和分析。分析扫描器的扫描原理，如何做到自动化的扫描，精准度高，误报少。
2. 别人挖出来的漏洞，多去尝试复现。学习别人的思路，见的多了，测试也就得心应手了。
3. 耐心，细心，静心。 比如一个网站扫描端口，你没有全部扫描，又一个端口漏掉了，但恰好这个端口的存在一个漏洞，那你就错过了。所以不给自己设限，多去尝试，凡事都有可能的思想来去做，灵活多变一些，不能死脑筋。多去搜索，一页页的查找，慢慢的来，不着急。
4. 趁着这个好机会，多去挖漏洞。这个挖漏洞和你研究漏洞，是相辅相成的，实战和理论相结合。国家领导人都说了实践出真知的。

安全开发

漏洞研究和漏洞挖掘做的多了，接下来就要想着如何提高效率了。需要编写自己的工具来实现自动化，这个需要多读一些开源的代码，看看别人的思路，自己多去写适合自己的工具。

互联网安全

终究还是要去甲方的，这个时候多去补充甲方安全运营的一些知识。在乙方做的只是一个点的话，去了甲方就是一个面了。可能不需要你对技术研究的多么深入，可能需要你得精通某个方向，然后涉猎的知识面要多。

多去看看一类似个人的安全部分享的安全建设的知识，还有市场上的一些互联网企业安全建设的书籍，多去思考和实践。

其他安全知识

应急响应、入侵分析、取证、基线检查、安全加固、漏洞扫描等等这些知识在工作中多去积累。

六便士

虽说生活艰难，钱来得不容易。还是想要多要一些。利用自己的技术，或者开展自己的副职业，想一些门路。视野开阔一些，不要局限了思维，做一个井底之蛙。给自己目标设置的高一些，取法乎上得乎其中。还是要学好英语，看看世界上的大黑客在做些什么。

• 挖漏洞。国内的SRC可以挖，国外的Hackerone平台，多去尝试一下，在上面会学到很多知识的。
• 漏洞分析。多去写博客，分析技术文章。投稿给国内的一些安全平台，或许会有一个稿费的。足够自己的零花钱了。
• 翻译国外经典文章。一方面可以锻炼英语翻译能力，二是学到新的技术，最后如果翻译的好了，进行投稿，也会有稿费的。
• 对安全漏洞的敏感性。爆出了什么严重的漏洞，24小时之内要紧紧的跟踪着，尝试去分析和搭建环境测试。
• 顶尖安全会议的关注。时刻关注前沿安全方向，不单单是脚踏实地，更要仰望星空。

脚踏实地的，慢慢的做一些事情吧。知行合一很重要，大胆的去做，不要怕。很多事情，都是一步步的来，从0到1的过程肯定是艰苦的，都有这个阶段，坚持下去就好了。

人生本来就是艰苦的，知道了这点，心里会稍微放开一些。那就去挑战吧。