自由职业的第三年
2023-12-27 09:25:44 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

不知不觉又年底,时间过的好快,每年的传统,总结下自己这一年都做了什么,今年总结一句话就是太难了,这两天看到各种安全企业裁员降薪的消息,不知道真假,还想着来年出去打工,这么看来,能不能找到工作都是问题了。

回顾一下今年,整体环境问题对我影响最大的就是自媒体部分广告的收入,大家也能看的出来,今年没咋发广告,主要原因是广告主不知道去哪儿了,从而负反馈到整年分享也变的少了,主要还是自己的原因。

今年对于我而言,最大的事儿就是儿子出生了,五月份迎来一只兔宝宝,带娃成了生活的一部分,专注于技术分享的时间又少了一部分,勉强整理下今年的推文,从推文的内容可以大概看出今年都干了些啥技术:

  1. 安全的尽头是什么

  2. 轻松理解什么是同源策略

  3. 开工大吉,聊聊学习方法

  4. 常见的敏感文件泄漏总结

  5. 域名资产收集整理实践篇

  6. WebSocket 测试入门篇

  7. 渗透测试中的 URL 重定向

  8. 盘点最近两年出版的信息安全类图书「送书」

  9. 公益刷洞前奏,目标哪里来?

  10. 如何更高效的玩儿 nday 漏洞

  11. 跟随信安之路学习一年有感而发(学员投稿)

  12. 手把手教你写 hacking 脚本

  13. 首期公开课,web 漏洞自动化挖掘实战

  14. 欣赏一份 APP 后门分析报告

  15. 从弱口令到 RCE,就是这么简单!

  16. 一个专门聊渗透的社群

  17. 一本专门聊 web 漏洞的新书

  18. 得奖了

  19. 聊聊白帽子与审核的对立面

  20. 终于完结了

  21. 利用 PHP 特性绕 WAF 测试

  22. 违规上传数据,还不做好保护,被罚百万

  23. 白帽子们请注意,一不小心可能变间谍 !!!

  24. QQ 这个 1day 算漏洞吗?

  25. 迎合扫描器的探测,让攻击者头疼脑热

  26. 从 CNAME 解析记录我们能知道什么

  27. 盘点那些漏洞 POC 测试工具

  28. 总榜第七

  29. 反查 IP 自动化

  30. 一键 web 资产信息收集

  31. swagger 接口未授权怎么玩儿

  32. JavaScript 前端对抗那些事儿

  33. Sqlmap 反制 ???

  34. 挖 HackerOne 安全吗?

整理完发现也还不少,不过相比去年少了很多,总结一下,主要做了几件事儿:

1、完成了一期脚本开发实训课程录制,主要目标是编写自动化脚本实现自动化挖洞

2、给补天平台打工,累计提交并审核通过两万多个漏洞,勉强进入总榜第二名

因此,受邀参加补天白帽大会,现场领奖,跟一众大佬同台

相比去年,多了一个奖杯

早期没有实现漏洞自动化提交,纯手工时代,这就是个体力活,自从实现全自动化之后,发现漏洞不够了,这就驱使我继续深耕漏洞类型的覆盖,尽可能多的发现安全风险,为国内安全尽一份力。

3、维护信安之路的知识库,近一年的更新量还是很足的(数量超过1.4k),只不过看的人并不多

这个就算没人看,我也会更新下去,算是我的一个知识产品,总结沉淀知识体系,作为一个长期时间投入的工作内容。

4、没落的信安之路成长平台,学习是件难以坚持的事情,成长平台是一个自学的辅助平台,需要参与者编写学习报告,从而沉淀知识技能。

简单统计了下今年大家提交的报告数量,不到 200 份,平台学员总报告数 2763 个,今年还不到十分之一,一方面参与的老学员少,另一方面新人加入的少。100 分榜单累计 86 个,距离我最初设计的 100 个目标还差几个,不知道何时可以达到 100 个百分成就学员,

5、知识星球还在持续更新状态,确实分享的内容过于单一,毕竟时间精力有限,可以分享的也就是自己在实践过程中的研究成果。今年新建了一个专门聊渗透的圈子,目的是为了方便注册成长平台,去学习做任务,既有星球看,又能自己基于任务目标自己沉淀,相比之前 128 单注册平台更有优势,目前定位:

信安之路知识星球 = 成长平台(送230信安币) + 内部文库(全部文档)+ 历史视频录播 + 历史沉淀内容 + 企业SRC资产

渗透测试那些事儿 = 成长平台(送30信安币)+ 内部文库(部分文档)+ 渗透相关内容分享 + 企业SRC资产

6、在给补天打工的这段时间,积累了很多资产信息,主要关注网站系统,同时为了方便阅读,将所有信息进行了归类。方便针对某个域名进行渗透时,直接将相关内容进行整合,包括了网站指纹识别的结果以及对应 POC 线索、爬虫爬取的网页链接、网站基本信息等,基于 xray 的报告,生成一份便于阅读的资产报告:

当然不仅仅是报告,还有收集到的历史数据,防止报告漏掉,只要你有需要,都会给到你,比如子域名、网页内容、所有 url 等:

你可以用这些数据来扩展自己的资产库,从而发现更多隐藏资产。

7、其他就是一些比较短期的事儿,比如参加攻防演练,给别人做安全支撑等,今年就这么过去了,来年计划出去打工,不知道有没有老板接收,欢迎老板们勾搭,我去给你打工,做一个安安分分的打工仔。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247498924&idx=1&sn=a182bb828735da2a9263a2c07baa0e85&chksm=ec1dcc84db6a4592ad4b992455311a66a6904f64c7dff46d99667ee171ab08f6f94d43898053&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh