type
status
date
slug
summary
tags
category
icon
password
上次写博客还是大三上学期末,现在都差不多要毕业了。大二大三那会,在学校啥都干,从之前的文章也能看出,服务器运维、开发、CTF....
顺便做个总结,这一年虽没写博客,不过找了两份实习,一个是做渗透测试、一个是安全攻防研究,还有学校各种各样的事情,好像上次跑
hexo d 还是不久之前(主要是被 notion 和 语雀 惯懒了)...- 2020.4 - 2020.10 渗透测试实习生,算是正式入门网安吧...感谢组内大佬肯收留我个菜鸡,哈哈,一开始还很纠结,以后是做安全还是运维,所以各投了一份实习(刚过完年做师兄的疯狂安利下),面试和准备,发现还是对网安更敢兴趣一些~,所以选了网安。不过现在偶尔会想,要是当初我选了另外一个实习,现在会怎样?(毕竟两边面试都过了),实习过程中被各种带飞,认识了几个大佬,其中的项目经验,都给秋招打下了基础。
- 2020.10 - 2020.12 学校项目,模仿大佬的开源项目,结合深度学习和网安和同学一起做了个《基于A2C和MSF的自适应渗透测试工具》,作为代码和文档的主要贡献者,虽然没做到想象中效果,不过也是第一次尝试去学习和改动大佬的开源项目。虽然功能上没能做的很好(不过还是做了许多的不错的优化),但是以后对开源项目都不会有那种陌生的隔离感了(就这个语言学过,也写过项目,但看着大佬写的就是有点抽象)
- 2020.11 - 2021.3 安全攻防研究实习生,第一次在大型项目中技术上承担一定角色,挑战很大,过了一个月才习惯这些工作,之前实习主要是渗透,这次还有很多代码审计、尤其是hvv相关的,代码审计任务很繁重,平均一天要审个6000+行代码(而且还是各种语言,有的压根就不怎么熟悉...)。也做了很多尝试,比如威胁建模评审,安全红线落实等,也是第一次接触SDL,也由此知道为啥大厂核心业务漏洞会难挖,毕竟别人都有做SDL流程。当然除此之外,由于我们部门很看重产出,所以这次实习也没上次实习那么轻松。特别是我这个产品线,迭代了很多代,漏洞特别难挖,而且渗透也比较麻烦,因为环境比较复杂,没有在搞站那会随随便便抓个包改改参数那么舒服了~ 当然产出不仅仅是挖洞,还可以有安全研究分享,输出文档等等等等~
总之就是从之前各种打杂到现在会稍微专注于一个方向,所以成长也挺快的,虽然还是很菜(x,其实主要还是被各种大佬带飞,少走了一些坑 (
今年,虽然过年很久了,先立一些 flag 吧~,毕竟实习了两次,发现一些东西需要补补了
- SDL,把实习学的做个总结并做一些拓展
- 云安全,先把威胁建模学个差不多,然后熟悉一波主流的云基础框架,毕竟工作要用到
- 二进制,常见漏洞点和利用方式要掌握,感觉熟悉二进制以后审计C/C++会舒服不少
- 代码审计,把白嫖过来的CTFSHOW入门大部分给刷完,巩固一波基础~
迟些会把一些正常点的笔记放上来,2333