作者: 邓永凯
创建: 2022-02-18 01:24
《邓永凯的绿盟成长记忆》
感谢绿盟带我进入网络安全大门,陪我一路成长!
* 我也成了绿盟的旧友
我一直都有关注四哥的公众号,之前都是技术文,忽然变成NSFOCUS旧友记了,里面都是当年进入安全行业时膜拜的大牛,每一篇都有看,前几天忽然收到四哥的约稿,有点激动,一时间想到了太多有意思的事情,不知道从何说起,所以决定说一下我在绿盟的成长流水账吧。
* 拿到进入绿盟的门票
第一次接触到绿盟是在我大三的时候,绿盟到学校校招,有个学长作为代表发言,说在绿盟你能真正明白网络安全是干什么的,而且工资很高(当时工资4250元),我一下激动了,我就要去绿盟实习。然后暑假我就去绿盟西安研发中心面试产品测试,刚好那年夏天是绿盟西研刚成立,才十几个人(现在已经三四百人了),面试的时候问了我交换机和路由器的配置,我一气呵成(当时我可是背过CCNA和CCNP的啊),当时就继续二面了,西研总监面试,聊起了信息安全管理和职业发展,很high,当时我就觉得成了,后来没过几天我就去实习了,简直不要太顺利!
* 赌了一把,差点没工作
我在绿盟实习了大半年,快毕业了,大家都去找工作了,我没有去找工作,参加了绿盟的实习生转正面试,面试完成后,我都快毕业了,绿盟还没有给我发offer,但是我觉得我可以,所以我赌了一把,当时要是绿盟不给我发offer,我就会面临毕业即失业。在一个月黑风高,焦灼等待的晚上,我的邮箱收到了绿盟的offer,当时激动的不能呼吸。
后来入职去北京培训,到北京我们一路的小伙伴,一下火车,看到了两节的公交车,大喊“快看快看,那个公交车好长啊”,车站的人都看着我们。再入职培训结束的时候,每个团队需要表演节目,我们组搞了一个街舞,我竟然是领舞,当时火了一阵子,回到西安,大家都知道我跳了一个很妖娆的街舞。
北京食堂的饭不要太好吃了,堪比酒店的自助餐,还有各种饭后水果,酸奶,以至于有人半个月的入职培训回去后胖了一圈。有一次我们在食堂吃饭,在食堂看到了四哥,他跟公司几个大佬坐一桌,我们一桌几个都非常激动,但是就只能远观,但是我在想,那么好的伙食,四哥为啥吃不胖呢?
* 见识到了安全漏洞的真面目
去绿盟后,我第一份工作是写bvs配置核查模板,我学会了Perl语言,但是我还是不知道网络安全到底是干啥的,后来我被调到绿盟最牛逼的产品rsas产品测试组,第一次接触到漏洞扫描,没过多久我又被调到rsas插件组,第一次接触到漏洞扫描插件,见到了漏洞的真面目,然后就开始学习系统漏洞,写shellcode,写漏洞扫描插件,那个时候插件组是star带队,叫做核心技术部,star给我们讲他当时在绿盟的时候,经常为了研究漏洞不回家,甚至有时候一个礼拜都不下楼,说是有一次嫂子就带着娃跑到公司喊他回家,让娃抱着四哥的腿,让他爸爸回家。我们小组最喜欢Star来西安,因为他一来我们就可以吃好吃的,听他给我们讲故事,star来西安最喜欢吃灌汤包,但是每次都会吐槽为啥西安吃饭不给纸,虽然star很瘦,但是他爬华山是最快的。
* 开始研究web安全
后来公司准备研发web扫描器,我主动请缨去写web扫描器的插件,从0开始学习web安全,从这时算是我真正进入安全攻防领域的开始。那个时候完全不知道web安全是什么,就买来各种书,安全杂志,天天泡安全论坛,发表技术文章,我竟然成了好几个安全论坛的版主,自己组织了几个人,搞了一个安全杂志《安全参考》,《书安》,搞了三年多,每个月发一期,现在应该还能下载到,当时也帮助不少人进入网络安全行业吧。
当时为了搞定一些web漏洞插件,跟几个小伙伴,连续几天都在公司搞到半夜,后来有个小伙伴直接把洗漱用品拿来公司,晚上不回去了,还有个兄弟直接买了几瓶二锅头放电脑后面。当时也不知道哪来的动力,每个人都兴奋的不行。在公司产品集采测试的时候,我们都是连续1-2周通宵,白天回去睡半天,当时我还在客户机房睡了几晚,就是为了能拿第一,最后都是最大份额中标。可惜的是,公司不给团队发奖金,最多就是西安周边一日游,听说后来都是出国游了哦。
自从进入web安全产品组后,对web安全着了迷,白天工作,晚上回家挖漏洞,在各种漏洞平台提交漏洞。我提交的第一个代码审计漏洞是ecshop的越权信息泄漏,给公司研究院发了一封邮件,答复的大致意思就是这个没有危害,因为那个时候公司更重视系统级别的漏洞,web安全漏洞不是很重要,然后我把这个漏洞提交到了某漏洞收集平台,结果我收到了2000人民币奖金,我都不信,我半个月工资啊,从此我爱上了代码审计。
从那以后我就开始大量审计开源系统代码漏洞,提交给官方,然后写成插件,也可以算是0day插件,偶尔还能拿奖金,到现在我的硬盘还有十几个G的源代码。
后来公司内部也开了漏洞赏金,对公司产品和信息系统进行漏洞挖掘,然后我一直都榜首,把公司能接触到的产品和信息化系统都审计了一遍,有一段时间,赏金平台说他们没预算了,还有产品的人来找我,那个时候估计研发们都恨死我了。
* 挖漏洞有点上头
那个时候代码审计,漏洞挖掘有点着魔,php,java,python各种系统看到源代码就想审计一遍,后来为了能专心挖漏洞,研究攻防技术,就跑去研究院,搞代码审计自动化,搞移动安全,搞物联网安全,还买了一堆网络摄像头,挖了几十个高危漏洞,还拿了施耐德的多次官方致谢。
最有意思的事情是,当时挖掘过很多行业其他安全产品的漏洞,有一天一个友商公司的人加我,说让我不要再挖他们产品漏洞,公司快把产品研发开除了,然后让我去他们公司,待遇我随便提,我没答应,然后我就没有挖过他们漏洞了。
记得当时我统计过,在绿盟那几年,各种乱七八糟的漏洞加起来数量已经破千了。
* 其他爆料
因为经常要去北京总部,然后每次都住到北洼路那个汉庭,公司的协议酒店,黑咕隆咚,还很贵,隔壁就是香格里拉,一直梦想的能住一次,可是一直没机会,估计门口保安都眼熟我们了。
西研成立的前几年,跟北京总部一样,饮料汽水水果管饱,后来就只有汽水了,再到后来就只有矿泉水了,再再到后来就是桶装水了,行政说总部不给预算了。
我们入职的时候,绿盟还没上市,hr就开始给我们说,公司马上就要上市了,到时候大家都能分到股票,我们一直抱着一个暴富的梦想在绿盟工作,后来虽然我们没有经济上暴富,但是在绿盟的那些年真的很充实,从一个小白,到script kid,再到漏洞榜首,再到现在的安全攻防本领,绿盟给了我们很大的帮助,希望绿盟越来越强,继续为网络安全护航。
最后爆一个料,在绿盟能拿金牌,真的,我家有5块,想知道网络安全是干啥的就去绿盟!
------------------------------------------------
scz:
永凯当年霸榜,我印象深刻,就知道非池中之物。有一次在看雪峰会上听他侃侃而谈,一种对技术拥有绝对自信的感觉扑面而来。看了他的这篇,我也感触良多,有志者事竞成,学习方法、热爱、执着,这些凑在一起,真地是想不光彩夺目都难,太多人印证了这一点,永凯是其中一个。
永凯现在创业"零时科技",祝他在新的赛道上扬帆远航、再创辉煌。